Mobile Word Congress Barcellona 2016

Protocollo USB: sicurezza addio, c'è una falla enorme

Un gruppo di ricercatori ha scoperto una falla gravissima nel protocollo USB. BadUSB può trasformare qualsiasi prodotto in un veicolo per sottrarre informazioni confidenziali. La cosa peggiore? Non sembrano esistere contromisure valide.

Protocollo USB, sicurezza fantasma. Un film? No, un gravissimo problema. A lanciare l'allarme sono i Security Research Labs di Berlino, e a quanto pare il problema è serio, serissimo. La falla, ribattezzata BadUSB, riguarda infatti i miliardi di dispositivi USB e permette di prendere controllo del computer tramite il versatile connettore che negli anni ci ha reso la vita un po' più facile.

Ed è proprio la versatilità ad aver compromesso la sicurezza. L'USB Implementers Forum, che si occupa di delineare le specifiche degli standard, ha infatti dovuto compiere delle scelte per rendere l'USB uno standard tanto flessibile da trovare rapidamente casa in moltissimi prodotti, praticamente ovunque. Lo stesso USB IF afferma che l'unica difesa contro la vulnerabilità è quella di usare dispositivi di cui siete al 100% sicuri, ma anche così non è detto che la protezione sia assicurata.

La vulnerabilità conta sul fatto che ogni dispositivo USB ha un chip di controllo al suo interno. Secondo gli SR Labs questi controller hanno un firmware - cioè il software fondamentale che li fa funzionare - che può essere interamente riprogrammato senza soluzioni hardware ad hoc per fare cose spiacevoli. Il problema? La riprogrammazione è quasi impossibile da rilevare, a meno che non si sappia dove guardare - ergo, è una cosa complicatissima.

Poiché un prodotto USB può essere connesso praticamente a qualsiasi sistema grazie alla versatilità offerta da quelle che sono definite "classificazioni", riprogrammando il firmware è possibile presentare un prodotto sotto una classificazione differente. L'esempio pratico è presto fatto. Un malintenzionato potrebbe riprogrammare una chiavetta USB in modo che si mascheri come un controller di rete, facendo sì che tutte le comunicazioni - siti web visitati, password, eccetera - vengano reindirizzate al dispositivo.

O, peggio ancora, è possibile riprogrammare una chiavetta in modo che venga vista come una periferica HID (Human interface device), in modo da poter impartire comandi al computer come se vi fossero una tastiera e mouse. Tali comandi potrebbero consentire l'installazione di malware o altre operazioni. Al momento non esiste un fix di sicurezza, non ci sono strumenti per bloccare l'attacco, per cui qualcuno potrebbe progettare un virus ad hoc, infettare migliaia di chiavette e sottrarre informazioni importanti. E formattare potrebbe non servire a niente, assicurano i ricercatori.

Fortunatamente gli SR Labs non sembra siano intenzionati a condividere i dettagli di quanto scoperto con il primo venuto, ma alla BlackHat 2014 del 7 agosto rilasceranno ulteriori informazioni e daranno una dimostrazione. Una possibile soluzione, ma attuabile in futuro, potrebbe essere quella di realizzare una firma univoca digitale per ogni dispositivo, in modo che i computer a cui si collegano le periferiche la verifichino continuamente. Questo però richiedere uno sforzo enorme a tutta l'industria.

Un'altra soluzione potrebbe essere quella di inserire porte USB nei computer dedicate solo a specifiche periferiche. Ad esempio la porta A gestisce mouse, quella B la tastiera, la C i dispositivi di archiviazione. Insomma, si dovrebbe agire sulle classificazioni, a danno della versatilità. Anche questa però sembra una strada impercorribile.

E allora che rimane da fare? Riderci sopra, o tornare momentaneamente ai vecchi standard di una volta (PS/2, seriale, eccetera). "Fondamentalmente è come il sesso non protetto", scrivono i colleghi di Extremetech, "se collegate la vostra chiavetta USB in un altro computer, dovreste accettare il rischio di comprometterla per sempre". Il tutto con il problema che l'infezione può avvenire anche se la collegate al vostro PC, senza che nemmeno ve ne accorgiate. Sapete una cosa? È davvero proprio come nel sesso, ogni tanto è meglio tenersi la chiavetta USB nei pantaloni.