La grave falla al protocollo USB, nota anche come BadUSB, svelata ad agosto alla conferenza Black Hat di Las Vegas, torna a far parlare di sé. E le notizie non sono buone, anzi. Stando a quanto riportato in prima battuta da Andy Greenberg su Wired, la vulnerabilità è diventata pubblica.
Si tratta di una notizia importantissima in ambito sicurezza in quanto tramite la vulnerabilità un malintenzionato potrebbe prendere controllo del computer con relativa facilità. Inoltre, stando a quanto dichiarato sinora dai ricercatori, non c'è una soluzione al problema che sia attuabile in tempi relativamente brevi.
A scoprirla furono i SR Labs di Berlino, un team di esperti capitanati da Karsten Nohl. Il ricercatore tedesco, date le proporzioni del problema, scelse di non pubblicare il codice usato per l'attacco. Due suoi colleghi - non legati agli SR Labs - hanno però riprodotto quanto messo a punto da Nohl e hanno deciso di vuotare il sacco.
Durante la Derbycon di Louisville, in Kentucky, i ricercatori Adam Caudill e Brandon Wilson hanno dimostrato come sia possibile fare il reversing engineering del firmware USB, riproducendo parte di quanto mostrato da Nohl con BadUSB. I due hanno inoltre pubblicato il codice per gli attacchi su Github, il che crea non pochi grattacapi ai produttori di chiavette USB: o troveranno un modo per risolvere il problema oppure lasceranno milioni (o miliardi) di utenti esposti alla falla.
"Riteniamo che tutto questo debba essere pubblico. Rilasciamo tutto ciò che abbiamo", ha detto Caudill al Derbycon. "La nostra scelta è stata in gran parte ispirata dagli SR Labs, che non hanno reso pubblico il loro materiale. Se avete intenzione di dimostrare che c'è un difetto, è necessario rilasciare il materiale in modo le persone possano difendersi", ha aggiunto. I due ricercatori ritengono che la pubblicazione del codice permetterà ai "penetration tester" di usare la tecnica e dimostrare che l'USB è vulnerabile nella forma attuale. Inoltre sostengono che rendere pubblico l'exploit è l'unico modo per fare pressione sui produttori e obbligarli a intervenire in qualche modo.
"Se tutto questo deve essere risolto c'è bisogno di più di un semplice intervento al Black Hat", ha detto Caudill a Wired. Il ricercatore sostiene che la falla probabilmente era già disponibile a chi aveva risorse adeguate, come le agenzie di intelligence governative. "Se le uniche persone in grado di sfruttare questa vulnerabilità sono quelli che hanno budget elevati i produttori non faranno mai nulla al riguardo. Bisogna dimostrare al mondo che è fattibile, che chiunque può farlo".
Caudill e Wilson hanno eseguito il reversing engineering del firmware dei microcontroller USB venduti da Phison, uno dei produttori leader del settore. Poi hanno riprogrammato il firmware dimostrando che un dispositivo USB infetto può impersonare una tastiera per digitare una qualsiasi sequenza di tasti sul computer della vittima.
Dato che colpisce il firmware del microcontrollore del USB, il codice d'attacco non è nella memoria flash, quindi anche cancellando l'intero contenuto del dispositivo non è possibile debellare la minaccia. Caudill e Wilson stanno lavorando anche su un altro exploit per iniettare in modo invisibile malware nei file mentre vengono copiati da un dispositivo USB a un computer.
Questo metodo permetterebbe di allargare l'infezione e farle prendere proporzioni enormi. Per questo Caudill e Wilson stanno ancora discutendo se sia o meno giusto pubblicare il codice. Noi ci saremmo fatti questi scrupoli fin da subito. Come diceva Lino Banfi in Fracchia La Belva Umana ora "sono volatili per diabetici". Scusateci il francesismo. A voi la libera traduzione di quest'ultimo pensiero profondo.