Dois pesquisadores descobriram uma nova falha no funcionamento das conexões USB, que permite que um vírus altere o código no firmware dos dispositivos do gênero – o que cria uma ameaça que não é detectada por antivírus, como são os malware tradicionais.
A pesquisa de Karsten Nohl e Jakob Lell, do SR Labs, foi divulgada pela Wired e “mostra como a segurança de dispositivos USB está quebrada há tempos”, segundo afirma a matéria.
Um malware criado por eles, batizado de BadUSB, afeta o controlador dos pen drives e outros acessórios do tipo, e não fica na memória flash como é de costume.
Quando os dispositivos infectados são conectados a um computador, dão ao atacante a capacidade de tomá-lo por completo – e tudo sem que um software de proteção detecte o ataque.
Funcionamento – Soa como algo que pode ser resolvido de forma não muito complicada, mas não é bem assim.
Para encontrar essa brecha, os dois pesquisadores fizeram engenharia reversa em dispositivos USB, até descobrirem que é possível reprogramar o firmware deles para esconder um código ali.
Tudo porque esses aparelhos não são protegidos nem por um sistema de ACL (lista de controle de acesso), que poderia limitar, com a ajuda de certificados, as empresas que têm acesso ao firmware e são capazes de modificá-lo.
Como esse novo código malicioso implantado fica “longe” da memória flash, ele consegue fugir dos “radares” de antivírus tradicionais.
Isso porque essas soluções costumam trabalhar com um sistema de assinaturas, que detecta as ameaças nos níveis das aplicações, do kernel e dos drivers.
Ou seja, como destacou Lell em entrevista à Wired, alguém do TI de uma empresa poderia muito bem “escanear o pen drive, apagar alguns arquivos e devolvê-lo ao dono”, sem ter achado nada.
Assim, isso não resolveria em nada o problema, que está muito mais embaixo.
A única forma de corrigi-lo mesmo seria fazer a engenharia reversa, encontrar o código malicioso e fazê-lo voltar ao estado original – que pode muito bem ser desconhecido.
Os riscos – Ficando no exemplo de um pen drive, o firmware reprogramado poderia mudar o DNS da máquina para redirecionar o tráfego assim que o periférico fosse conectado.
Também poderia agir como um teclado “para digitar comandos de repente” ou mesmo substituir um “programa sendo instalado por uma versão corrompida ou com uma backdoor”, conforme diz a matéria.
Mas como as mudanças no firmware podem ser feitas até em smartphones ou outros aparelhos conectados à internet, dá para programá-los para agir como um “intruso” nas comunicações fenquanto estiver plugado na máquina do alvo.
Uma solução de proteção mais avançada até pode detectar atividades suspeitas (como a transferência de dados para um servidor externo e desconhecido) e impedir a ameaça de agir.
Mas um dispositivo identificado como “teclado”, que estivesse apenas digitando comandos, não seria nada anormal – e continuaria funcionando tranquilamente.
Aliás, no caso da ameaça desenvolvida pelos dois pesquisadores, a alteração no controlador dos periféricos se dá quando eles são conectados em um computador e atingidos pelo tal BadUSB.
Em um cenário assim, daria para se prevenir usando um pen drive apenas em máquinas confiáveis, evitando que ele fosse infectado e modificado.
Mas sempre existe a possibilidade mais paranoica de o firmware já vir corrompido de fábrica, ou uma alteração ter sido feita antes de um dispositivo chegar às mãos do usuário.
Imagens mostraram que a NSA chegou a interceptar encomendas para implantar backdoors em aparelhos, e o relativamente recente vírus Stuxnet se espalhou mais ou menos dessa forma.
Por isso, não é nada improvável imaginar que algo assim possa acontecer novamente ou já tenha acontecido – ainda mais se levarmos em conta que a brecha existe desde a origem do USB, em meados da década de 90.
Solução? – Não há um patch capaz de corrigir essa vulnerabilidade, e, segundo disseram os dois especialistas à Wired, uma opção seria mudar a forma como utilizamos pen drives ou outros periféricos do tipo.
Ou seja, evitar conectá-los em qualquer lugar – limitando o uso deles às máquinas confiáveis – e também fugir de dispositivos suspeitos.
Mas além de ser um inconveniente, como mencionado, em um cenário um pouco mais paranoico – embora possível –, mesmo essas medidas não serviriam de muita coisa, a menos que fosse possível checar eventuais alterações feitas no firmware.
E isso, como diz um trecho destacado pelo especialista em segurança Bruce Schneier, é algo quase impossível para um usuário.
FONTE: Revista Exame.
