El pasado julio, dos investigadores (Karsten Nohl y Jakob Lell) anunciaron que habían encontrado un fallo de seguridad crítico al que llamaron BadUSB. Este fallo permitía a los atacantes contrabandear malware en los dispositivos detectados. El fallo se encontraba en el firmware USB, por lo que era muy difícil de proteger y cualquiera que usara una memoria USB estaba expuesto. Los investigadores no publicaron el código, por lo que la industria tuvo un tiempo para prepararse.
Desde esta semana, esto ya no es un problema, pues han anunciado (DerbyCon, Adam Caudill y Bradon Wilson) que habían encontrado el problema BadUSB con ingeniería inversa.
Como ejemplo, se podía ver que una aplicación era un ataque que se hace cargo de la entrada de teclado de un usuario, dando el control al atacante. Para estas 3 personas, publicar el código no es ningún problema, por lo que lo han liberado en GitHub, con la intención de demostrar que cualquiera puede utilizarlo:
Si las únicas personas que pueden hacer esto son los que tienen presupuestos importantes, los fabricantes nunca van a hacer nada al respecto. Tiene que demostrar al mundo que es práctico, que cualquiera puede hacerlo – Andy Greenberg
Todo esto nos lleva a plantearnos si se trata de una amenaza seria o no. Y es que si se pueden reprogramar los firware USB, la única manera de solucionar este problema, sería añadir una nueva capa de seguridad en torno al firware, lo que implicaría una actualización completa del estándar USB. Esto es un ciclo que se cierra, porque una actualización del estándar implica años de inseguridad.
Hasta entonces, tendremos que asumir que al conectar una unidad USB en un PC, tenemos el riesgo de recibir un ataque, a no ser que conozcamos realmente la procedencia del dispositivo. ¿Será motivo suficiente para la actualización del estándar USB?
Más información Wired