badUSB: ¿De verdad que es tan grave?

Karsten Nohl y Jakob Lell hablarán en la Black Hat de BadUSB. No es «malware indetectable» ni nada por el estilo, como se está diciendo. Es el nombre «comercial» que le han puesto a una serie de herramientas o técnicas que permitirán realizar ataques más sofisticados a través de dispositivos USB (memorias flash, por ejemplo). Obviamente, esto ha sido acogido en los medios con sirenas, bombos y platillos. Veamos si en realidad es para tanto.

Quiénes son

Karsten Nohl es un viejo conocido en el panorama de la seguridad. En la Black Hat de 2013 demostró cómo se podía tener total acceso a una tarjeta SIM de varios operadores solamente enviando un mensaje SMS y aprovechando fallos de seguridad Java en la implementación del software de la tarjeta SIM. Jakob Lell por su parte en 2012, descubrió cómo se calculaba la contraseña predefinida en routers Belkin.

Ahora han desarrollado una técnica con la que se podría infectar cualquier PC (no habla de sistema operativo) a través de un dispositivo USB. Dicen que se ha atacado al verdadero corazón de los USB y que por tanto, el ataque es prácticamente imparable a menos que se sellen físicamente los puertos del ordenador. Solamente con enchufar un USB, se podría tomar completo control del sistema. A partir de ahí, los medios describen un escenario apocalíptico en los que nadie estaría seguro.

Qué se puede hacer y por qué

A pesar de todas las elucubraciones que se pueden estar lanzando al respecto, lo que parecen haber creado (a la espera de detalles) es un método para modificar el firmware de dispositivos USB y cargar código. Este firmware controla las funciones más básicas, por tanto no se accede a él nunca, y mucho menos como se accede a los archivos almacenados en un USB tradicional.
Así que fundamentalmente, han puesto nombre muy vendible (badUSB, sin duda inspirado en badBIOS, un FUD de principios de 2014) a una técnica consistente en modificar el firmware de un dispositivo para que se haga pasar por un teclado u otro dispositivo y cargue en el sistema (a un nivel de permisos y privilegios que se lo permita) cualquier código. En teoría, esto puede conseguirse con todo dispositivo USB, desde ratones hasta cámaras pasando por teléfonos. Lo que hace esta técnica fundamentalmente, es conseguir que un dispositivo le diga al sistema cuando se enchufa, que es un teclado, por ejemplo.

¿Existía esta técnica antes?

Se ha dicho que esto son «viejas noticias». El firmware de los chips de los dispositivos no suelen ofrecer protección para reprogramarlos. A partir de ahí, se podría crear un firmware modificado que emulase un teclado o falsificar una tarjeta de red. Así, se podría como «simular» que se teclea lo que sea (y por tanto tomar el control) o redirigir el tráfico (y por tanto, también, tomar el control). Si se deja insertado durante el arranque, quizás incluso llegar más profundo al corazón del sistema operativo.
Pero… ¿esto no existía antes?

A muchos, este método les ha recordado a un producto que ya existe. Rubber Ducky. Se trata de lo que parece una memoria USB inocente, pero que integra un pequeño ordenador con tarjeta SD. Al conectarse a un dispositivo, es reconocido como HID (una interfaz humana) o, comúnmente, un teclado. El sistema operativo cargará su driver de teclado USB y a partir de ahí, Rubber Ducky le mandará «pulsaciones» simuladas. Las posibilidades son infinitas.

Ejemplo de script para cargar mimikatz con Rubber Ducky. Fuente: https://forums.hak5.org/index.php?/topic/29657-payload-ducky-script-using-mimikatz-to-dump-passwords-from-memory/

Parece que BadUSB ha ido más allá, y lo que han hecho es convertir un USB (¿cualquiera?) en un Rubber Ducky. Aunque como siempre, sin los detalles en la mano, surgen dudas.

¿Absolutamente todo el firmware de todos los dispositivos USB son modificables? Suponemos que no. En las demostraciones de la Black Hat, trabajarán principalmente con aparatos de Phison Electronics.

¿De verdad no hay defensas y es imparable? En el artículo original, se habla de que obviamente, ni borrando, formateando con herramientas convencionales se llega a ver ese «código» porque está en el firmware del dispositivo. No es noticia que esta parte no es analizada por ningún antimalware. Tampoco una vez cargado, así que, de ahí a disparar la imaginación: «indetectable», «imparable», etc. Luego se especula sobre que hasta podría haber cambiado la BIOS del sistema una vez infectado y ya nunca podrías confiar en el ordenador. Esto es ir mucho más allá de la técnica en sí, y solo sirve para alimentar el «miedo».

Pero aun así, surgen dudas de si de verdad es imparable. Las «no-protecciones» que ofrece el artículo hablan de antimalware (que ya sabemos que no son protección suficiente bajo ninguna circunstancia). Pero… ¿de verdad que no servirían otras?

En última instancia, el FUD no lo han introducido los investigadores sino los medios. La investigación es muy interesante, aunque probablemente no sea tan grave como se ha pintado. Es cierto (desde hace tiempo) que cualquier cosa que se conecte supone un problema de seguridad, y mejorarlo no está de más. Es decir, ataques similares son posibles desde hace tiempo, no hay por qué tomar medidas exclusivamente a partir de ahora. Aunque quizás sirva pare recordar a los principales fabricantes de USB que deben mejorar la seguridad de sus sistemas para impedir que su firmware sea modificado impunemente y a los usuarios, la importancia que siempre ha tenido el impedir el acceso físico al ordenador y la conexión indiscriminada de cualquier dispositivo.