I sistemi antivirus o, più in generale, antimalware effettuano scansioni dei dispositivi USB quando vengono collegati al pc, perché da anni sono in circolazione codici maligni che sfruttano questo veicolo di infezione.
I ricercatori del Berlin Security Research Labs (SRLabs) hanno però scoperto un nuovo metodo di attacco che è stato dimostrato alla Black Hat Hacker Conference di Las Vegas all'inizio di agosto. In pratica, viene modificato il firmware del dispositivo USB, cosicché questo si "presenta" al computer come qualcosa di diverso.
Per esempio, una volta connesso, una chiavetta USB potrebbe spacciarsi per una fotocamera, una tastiera o qualcos'altro, ingannando il sistema antimalware, e inserire linee di comando per infettare e prendere il controllo del pc. Potrebbe diventare un virus USB, poiché il malware può copiare se stesso su altri dispositivi USB, come facevano i primi virus che si divulgano tramite i floppy disk, come i più "saggi" tra noi ricorderanno.
La minaccia di un virus USB
Ovviamente non tutti i sistemi antimalware verranno ingannati, ma la maggior parte effettua una scrematura, analizzando il contenuto solo dei dispositivi ritenuti insicuri.
Al momento, comunque, non si hanno ancora notizie di attacchi, stando a quanto risulta agli esperti di G Data, che hanno divulgato la scoperta, ma il rischio è elevato, avverte Ralf Benzmüller, Head of G DATA SecurityLabs: "Se il firware viene sovrascritto, ogni dispositivo USB può trasformarsi in una potenziale fonte di pericolo. Nel peggiore dei casi si possono creare virus USB".
Per esempio, se il pc ritiene di aver collegato una tastiera, accetterà i comandi ritenendoli immessi direttamente dall'utilizzatore e non potrà evitare un'infezione. In pratica, "quando si connette un dispositivo USB infetto è come se un hacker si sedesse di fronte al nostro pc", spiega Benzmüller.
Proprio pensando alle tastiere USB, ritenute la via di accesso più probabile dagli esperti di G Data, questi ultimi hanno realizzato un tool per una protezione dalle forme di abuso impiegate in attacchi tramiti dispositivi USB, chiamato "G Data USB Keyboard Guard".
Il tool, disponibile gratuitamente, è indipendente dal sistema antivirus utilizzato. In pratica, se il sistema rileva una nuova tastiera, l'accesso viene in prima battuta bloccato e viene mostrato un pop-up. L'utente ha così modo e tempo di controllare se il dispositivo è davvero una tastiera in modo tale da permetterne o impedirne l'accesso.
Il tool richiede i seguenti requisiti di sistema: Windows: Windows 8.x, 7 e Vista, con almeno 1 GB RAM; Windows XP (SP2 o superiore), con almeno 512 MB RAM; DVD-ROM drive opzionale. Una connessione Internet è richiesta per installare il software via ESD (Electronic Software Download), per le firme virali e per gli upgrade.