Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/10/2014
Fan públic el codi de la pitjor vulnerabilitat que afecta els USB
És una maniobra discutible, però potser necessària. El passat mes de juliol, dos investigadors de seguretat van descobrir una vulnerabilitat molt greu i molt difícil de detectar, que afecta qualsevol memòria o dispositiu d’emmagatzematge USB.
Hui, altres dos experts han decidit posar-la a disposició de qualsevol que vullga usar-la, per a bé o per a mal.
La vulnerabilitat original s’anomena badUSB, i és el resultat d’aplicar enginyeria inversa al microprogramari d’este popular port. Els creadors d’este programari maliciós, Karsten Nohl i Jakob Lell, de la firma SR Labs, explicaven que badUSB pot “obtindre control sobre l’ordinador d’un tercer, eliminar i moure arxius o redirigir el trànsit en línia de l’usuari”.
En el seu moment, Nohl i Lell van decidir no fer públic el codi de badUSB a causa de la seua perillositat. No obstant això, altres dos investigadors de seguretat han aconseguit replicar el funcionament d’este programari maliciós i han posat el codi d’este clon a disposició de qualsevol que vullga usar-ho en GitHub.
Adam Caudill i Brandon Wilson justifiquen la seua decisió explicant que “si trobes una vulnerabilitat greu, has de donar a la comunitat la possibilitat de defendre’s contra esta”. Un punt de raó no els falta. Ara que este clon de badUSB camina solt, els fabricants de memòries i les companyies de seguretat tenen el millor incentiu per a resoldre’l. Mentrestant, potser no és bona idea compartir alegrement les nostres memòries USB.