Os riscos oferecidos por
pen drives
são ainda mais graves do que se pensava. Dois pesquisadores descobriram
uma nova falha no funcionamento das conexões USB, que permite que um
vírus altere o código no firmware dos dispositivos do gênero – o que
cria uma ameaça que não é detectada por antivírus, como são os malware
tradicionais.
A pesquisa de Karsten Nohl e Jakob Lell, do SR Labs,
foi divulgada pela Wired,
e "mostra como a segurança de dispositivos USB está quebrada há
tempos”, segundo afirma a matéria. Um malware criado por eles, batizado
de BadUSB, afeta o controlador dos pen drives e outros acessórios do
tipo, e não fica na memória flash como é de costume. Quando os
dispositivos infectados são conectados a um computador, dão ao atacante a
capacidade de tomá-lo por completo – e tudo sem que um software de
proteção detecte o ataque.
Funcionamento – Soa como algo que pode ser resolvido
de forma não muito complicada, mas não é bem assim. Para encontrar essa
brecha, os dois pesquisadores fizeram engenharia reversa em
dispositivos USB, até descobrirem que é possível reprogramar o firmware
deles para esconder um código ali. Tudo porque esses aparelhos não são
protegidos nem por um sistema de ACL (lista de controle de acesso), que
poderia limitar, com a ajuda de certificados, as empresas que têm acesso
ao firmware e são capazes de modificá-lo.
Como esse novo código malicioso implantado fica “longe” da memória
flash, ele consegue fugir dos “radares” de antivírus tradicionais. Isso
porque essas soluções costumam trabalhar com um sistema de assinaturas,
que detecta as ameaças nos níveis das aplicações, do kernel e dos
drivers.
Ou seja, como destacou Lell em entrevista à
Wired,
alguém do TI de uma empresa poderia muito bem “escanear o pen drive,
apagar alguns arquivos e devolvê-lo ao dono”, sem ter achado nada.
Assim, isso não resolveria em nada o problema, que está muito mais
embaixo. A única forma de corrigi-lo mesmo seria fazer a engenharia
reversa, encontrar o código malicioso e fazê-lo voltar ao estado
original – que pode muito bem ser desconhecido.
Os riscos – Ficando no exemplo de um pen drive, o
firmware reprogramado poderia mudar o DNS da máquina para redirecionar o
tráfego assim que o periférico fosse conectado. Também poderia agir
como um teclado “para digitar comandos de repente” ou mesmo substituir
um “programa sendo instalado por uma versão corrompida ou com uma
backdoor”, conforme diz a matéria.
Mas como as mudanças no firmware podem ser feitas até em smartphones
ou outros aparelhos conectados à internet, dá para programá-los para
agir como um “intruso” nas comunicações fenquanto estiver plugado na
máquina do alvo.
Uma solução de proteção mais avançada até pode detectar atividades
suspeitas (como a transferência de dados para um servidor externo e
desconhecido) e impedir a ameaça de agir. Mas um dispositivo
identificado como “teclado”, que estivesse apenas digitando comandos,
não seria nada anormal – e continuaria funcionando tranquilamente.
Aliás, no caso da ameaça desenvolvida pelos dois pesquisadores, a
alteração no controlador dos periféricos se dá quando eles são
conectados em um computador e atingidos pelo tal BadUSB. Em um cenário
assim, daria para se prevenir usando um pen drive apenas em máquinas
confiáveis, evitando que ele fosse infectado e modificado.
Mas sempre existe a possibilidade mais paranoica de o firmware já vir
corrompido de fábrica, ou uma alteração ter sido feita antes de um
dispositivo chegar às mãos do usuário. Imagens mostraram que a NSA
chegou a interceptar encomendas para implantar backdoors em aparelhos, e
o relativamente
recente vírus Stuxnet se espalhou mais ou menos dessa forma.
Por isso, não é nada improvável imaginar que algo assim possa
acontecer novamente ou já tenha acontecido – ainda mais se levarmos em
conta que a brecha existe desde a origem do USB, em meados da década de
90.
Solução? – Não há um patch capaz de corrigir essa vulnerabilidade, e, segundo disseram os dois especialistas à
Wired,
uma opção seria mudar a forma como utilizamos pen drives ou outros
periféricos do tipo. Ou seja, evitar conectá-los em qualquer lugar –
limitando o uso deles às máquinas confiáveis – e também fugir de
dispositivos suspeitos.
Mas além de ser um inconveniente, como mencionado, em um cenário um
pouco mais paranoico – embora possível –, mesmo essas medidas não
serviriam de muita coisa, a menos que fosse possível checar eventuais
alterações feitas no firmware. E isso, como diz um trecho destacado pelo
especialista em segurança Bruce Schneier,
é algo quase impossível para um usuário. Karsten Nohl e Jakob Lell
deverão falar mais sobre a descoberta (e demonstrar seu funcionamento)
durante a próxima
convenção Black Hat, a ser realizada entre os dias 2 e 7 de agosto.
FONTE