Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/11/2014
La greu fallada dels USB només afecta el 50%, però és impossible saber quins
L'estiu passat va saltar la notícia sobre una greu vulnerabilitat en els dispositius USB que podia provocar la instal·lació en l’ordinador del programari maliciós badUSB, la qual cosa permetia que un pirata informàtic poguera controlar l’equip de forma remota.
L’abast d’este problema tan perillós, al ser indetectable per a l’usuari, era de gegantines proporcions, ja que afectava tant ordinadors com discos durs, perifèrics i, fins i tot, mòbils.
Un dels descobridors de la major vulnerabilitat de la història per als USB, el pirata informàtic Karsten Kohl, ha assegurat hui a Tòquio en el marc de la conferència PacSec sobre seguretat informàtica, que esta fallada afectaria només la mitat dels dispositius USB del món. La pitjor cosa és que en estos moments és impossible per a l’usuari determinar quins en concret. Segons una investigació duta a terme per Kohl junt amb Sascha Krissler, l'altre descobridor del problema de badUSB, en la qual s’han analitzat els xips de les unitats USB dels principals fabricants, és impossible oferir al consumidor una llista de productes que estarien compromesos.
La veritat és que saber si un xip muntat en una unitat USB és vulnerable sí que és possible, i és així com Kohl i Krissler han arribat a les conclusions del seu estudi, però segons asseguren que la pitjor cosa és que no podem determinar per endavant si l'USB que adquirirem pot estar exposat, ja que la informació sobre el xip muntat en eixe lot en concret no és fàcil de confrontar, i els resultats obtinguts en les proves han sigut dispars a causa de les múltiples opcions triades per cada marca.
Els fabricants d'USB no informen sobre quin xip ha sigut instal·lat
El problema de badUSB és que es podia utilitzar un dispositiu USB com a porta d’entrada per a instal·lar el codi maliciós en el sistema i controlar per exemple un teclat USB per a manipular-lo a l’hora d’introduir comandos per a l’equip suplantant l’usuari. Els hackers han analitzat els xips de les principals marques: Phison, Alcor , Renesas, ASmedia, Genesys Logic, FTDI, Cypress i Microchip i mentre en alguns casos es podia reprogramar el microprogramari, en altres el dispositiu resistia l’atac. Sense anar més lluny, Kingston utilitza xips d’una dotzena de fabricants en els seus productes, i munta, fins i tot, per al mateix model diferents opcions.
Per a Kohl, la solució passa perquè les companyies que comercialitzen els dispositius USB, informen en l’etiqueta del producte sobre quin xip s'ha instal·lat en eixa unitat en concret, d’esta manera els usuaris poden saber per endavant si s’exposen a badUSB. S’espera que les companyies prenguen mesures per a pal·liar els efectes de badUSB i ajudar a eradicar el problema d’una vegada per sempre.