Porque a Segurança dos Dispositivos USB é Fundalmentalmente Falha

[zekkerj]

Trata-se de um artigo em inglês da Revista Wired, que eu tomo a liberdade de reproduzir no original.


http://www.wired.com/2014/07/usb-security/

Why the Security of USB Is Fundamentally Broken


tumbdrive, data. Photo: Josh Valcarcel/WIRED
Josh Valcarcel/WIRED

Computer users pass around USB sticks like silicon business cards. Although we know they often carry malware infections, we depend on antivirus scans and the occasional reformatting to keep our thumbdrives from becoming the carrier for the next digital epidemic. But the security problems with USB devices run deeper than you think: Their risk isn't just in what they carry, it's built into the core of how they work.

That's the takeaway from findings security researchers Karsten Nohl and Jakob Lell plan to present next week, demonstrating a collection of proof-of-concept malicious software that highlights how the security of USB devices has long been fundamentally broken. The malware they created, called BadUSB, can be installed on a USB device to completely take over a PC, invisibly alter files installed from the memory stick, or even redirect the user's internet traffic. Because BadUSB resides not in the flash memory storage of USB devices, but in the firmware that controls their basic functions, the attack code can remain hidden long after the contents of the device's memory would appear to the average user to be deleted. And the two researchers say there's no easy fix: The kind of compromise they're demonstrating is nearly impossible to counter without banning the sharing of USB devices or filling your port with superglue.

"These problems can't be patched," says Nohl, who will join Lell in presenting the research at the Black Hat security conference in Las Vegas. "We're exploiting the very way that USB is designed."

'In this new way of thinking, you have to consider a USB infected and throw it away as soon as it touches a non-trusted computer.'
Nohl and Lell, researchers for the security consultancy SR Labs, are hardly the first to point out that USB devices can store and spread malware. But the two hackers didn't merely copy their own custom-coded infections into USB devices' memory. They spent months reverse engineering the firmware that runs the basic communication functions of USB devices—the controller chips that allow the devices to communicate with a PC and let users move files on and off of them. Their central finding is that USB firmware, which exists in varying forms in all USB devices, can be reprogrammed to hide attack code. "You can give it to your IT security people, they scan it, delete some files, and give it back to you telling you it's 'clean,'" says Nohl. But unless the IT guy has the reverse engineering skills to find and analyze that firmware, "the cleaning process doesn't even touch the files we're talking about."

The problem isn't limited to thumb drives. All manner of USB devices from keyboards and mice to smartphones have firmware that can be reprogrammed—in addition to USB memory sticks, Nohl and Lell say they've also tested their attack on an Android handset plugged into a PC. And once a BadUSB-infected device is connected to a computer, Nohl and Lell describe a grab bag of evil tricks it can play. It can, for example, replace software being installed with with a corrupted or backdoored version. It can even impersonate a USB keyboard to suddenly start typing commands. "It can do whatever you can do with a keyboard, which is basically everything a computer does," says Nohl.

The malware can silently hijack internet traffic too, changing a computer's DNS settings to siphon traffic to any servers it pleases. Or if the code is planted on a phone or another device with an internet connection, it can act as a man-in-the-middle, secretly spying on communications as it relays them from the victim's machine.

Most of us learned long ago not to run executable files from sketchy USB sticks. But old-fashioned USB hygiene can't stop this newer flavor of infection: Even if users are aware of the potential for attacks, ensuring that their USB's firmware hasn't been tampered with is nearly impossible. The devices don't have a restriction known as "code-signing," a countermeasure that would make sure any new code added to the device has the unforgeable cryptographic signature of its manufacturer. There's not even any trusted USB firmware to compare the code against.

The element of Nohl and Lell's research that elevates it above the average theoretical threat is the notion that the infection can travel both from computer to USB and vice versa. Any time a USB stick is plugged into a computer, its firmware could be reprogrammed by malware on that PC, with no easy way for the USB device's owner to detect it. And likewise, any USB device could silently infect a user's computer. "It goes both ways," Nohl says. "Nobody can trust anybody."

But BadUSB's ability to spread undetectably from USB to PC and back raises questions about whether it's possible to use USB devices securely at all. "We've all known if that you give me access to your USB port, I can do bad things to your computer," says University of Pennsylvania computer science professor Matt Blaze. "What this appears to demonstrate is that it's also possible to go the other direction, which suggests the threat of compromised USB devices is a very serious practical problem."

Blaze speculates that the USB attack may in fact already be common practice for the NSA. He points to a spying device known as Cottonmouth, revealed earlier this year in the leaks of Edward Snowden. The device, which hid in a USB peripheral plug, was advertised in a collection of NSA internal documents as surreptitiously installing malware on a target's machine. The exact mechanism for that USB attack wasn't described. "I wouldn't be surprised if some of the things [Nohl and Lell] discovered are what we heard about in the NSA catalogue."

The alternative is to treat USB devices like hypodermic needles.
Nohl says he and Lell reached out to a Taiwanese USB device maker, whom he declines to name, and warned the company about their BadUSB research. Over a series of emails, the company repeatedly denied that the attack was possible. When WIRED contacted the USB Implementers Forum, a nonprofit corporation that oversees the USB standard, spokeswoman Liz Nardozza responded in a statement. "Consumers should always ensure their devices are from a trusted source and that only trusted sources interact with their devices," she wrote. "Consumers safeguard their personal belongings and the same effort should be applied to protect themselves when it comes to technology.

Nohl agrees: The short-term solution to BadUSB isn't a technical patch so much as a fundamental change in how we use USB gadgets. To avoid the attack, all you have to do is not connect your USB device to computers you don't own or don't have good reason to trust—and don't plug untrusted USB devices into your own computer. But Nohl admits that makes the convenient slices of storage we all carry in our pockets, among many other devices, significantly less useful. "In this new way of thinking, you can't trust a USB just because its storage doesn't contain a virus. Trust must come from the fact that no one malicious has ever touched it," says Nohl. "You have to consider a USB infected and throw it away as soon as it touches a non-trusted computer. And that's incompatible with how we use USB devices right now."

The two researchers haven't yet decided just which of their BadUSB device attacks they'll release at Black Hat, if any. Nohl says he worries that the malicious firmware for USB sticks could quickly spread. On the other hand, he says users need to be aware of the risks. Some companies could change their USB policies, for instance, to only use a certain manufacturer's USB devices and insist that the vendor implement code-signing protections on their gadgets.

Implementing that new security model will first require convincing device makers that the threat is real. The alternative, Nohl says, is to treat USB devices like hypodermic needles that can't be shared among users—a model that sows suspicion and largely defeats the devices' purpose. "Perhaps you remember once when you've connected some USB device to your computer from someone you don't completely trust," says Nohl. "That means you can't trust your computer anymore. This is a threat on a layer that's invisible. It's a terrible kind of paranoia."

[zekkerj]

Tradução Google (com um pouquinho de melhoria):

Os usuários de computadores trocam entre si cartões de memória USB, como cartões de visita de silício. Embora saibamos que muitas vezes carregam infecções por malwares, dependemos de verificações do antivírus e reformatação ocasional para evitar que nossos pen drives se tornem o portador para a próxima epidemia digital. Mas os problemas de segurança com dispositivos USB são mais profundos do que você pensa: O risco não é apenas no que eles carregam, está no cerne de como eles funcionam.

Essa é a conclusão a que chegaram os pesquisadores de segurança Karsten Nohl e Jakob Lell, e que planejam apresentar na próxima semana, demonstrando uma coleção de software malicioso prova-de-conceito que destaca como a segurança de dispositivos USB tem sido fundamentalmente falha. O malware que eles criaram, chamado BadUSB, pode ser instalado em um dispositivo USB para assumir completamente o controle de um PC, de forma invisível alterar arquivos instalados a partir do cartão de memória, ou até mesmo redirecionar o tráfego de internet do usuário. Porque BadUSB não reside no armazenamento de memória flash de dispositivos USB, mas no firmware que controla as suas funções básicas, o código de ataque pode ficar escondido muito tempo depois que o conteúdo da memória do dispositivo parecesse, para o usuário médio, ter sido eliminado. E os dois pesquisadores dizem que não há solução fácil: o tipo de vulnerabilidade que eles estão demonstrando é quase impossível de corrigir, sem proibir o compartilhamento de dispositivos USB ou encher sua porta USB com supercola.

"Esses problemas não podem ser corrigidos", diz Nohl, que se juntará Lell em apresentar a pesquisa na conferência de segurança Black Hat, em Las Vegas. "Nós estamos explorando a própria forma que o USB foi concebido."

"Nesta nova maneira de pensar, você tem que considerar um USB infectado e jogá-lo fora assim que ele toca um computador não confiável."

Nohl e Lell, os investigadores para a consultoria de segurança SR Labs, estão longe de ser o primeiro a apontar que os dispositivos USB podem armazenar e espalhar malware. Mas os dois hackers não se limitaram a copiar as suas próprias infecções com códigos personalizados para a memória de dispositivos USB. Eles passaram meses fazendo a engenharia reversa do firmware que executa as funções básicas de comunicação de dispositivos USB --- os chips controladores que permitem que os dispositivos para se comunique, com um computador e permitem que os usuários movam arquivos para dentro e fora deles. Sua descoberta central é que firmware USB, que existe em diferentes formas em todos os dispositivos USB, pode ser reprogramado para esconder código de ataque. "Você pode dar para sua equipe de Segurança de TI, eles vão escaneá-lo, apagar alguns arquivos, e dá-lo de volta para você dizendo que é 'limpo'", diz Nohl. Mas a menos que o cara de TI tenha as habilidades de engenharia reversa para encontrar e analisar o firmware, "o processo de limpeza nem sequer tocará nos arquivos de que estamos falando."

O problema não se limita a pen drives. Todos os tipos de dispositivos USB de teclados e mouses para smartphones têm firmware que pode ser reprogramado --- além de cartões de memória USB, Nohl e Lell dizem que também testaram o ataque em um aparelho Android conectado a um PC. E uma vez que um dispositivo BadUSB infectado está conectado a um computador, Nohl e Lell descrevem um saco de truques do mal que podem jogar. Ele pode, por exemplo, substituir o software que está sendo instalado por uma versão corrompida ou com backdoors. Ele pode até mesmo impersonar um teclado USB para começar de repente a digitar comandos. "Ele pode fazer o que você pode fazer com um teclado, que é basicamente tudo o que um computador faz", diz Nohl.

O malware pode silenciosamente seqüestrar o tráfego de internet também, ou alterar as configurações de DNS de um computador para desviar o tráfego para todos os servidores que agrada. Ou ainda, se o código é plantado em um telefone ou outro aparelho com conexão à internet, ele pode agir como um "man-in-the-middle", secretamente espionando as comunicações, uma vez que retransmite-os da máquina da vítima.

A maioria de nós aprendeu há muito tempo não para executar arquivos executáveis ​​a partir de drives USB suspeitos. Mas a antiquada higiene USB não pode parar este sabor mais recente de infecção: Mesmo que os usuários estejam cientes do potencial para ataques, garantir que o firmware do seu USB não foi adulterado é quase impossível. Os dispositivos não têm uma restrição conhecida como "assinatura de código", uma contramedida que permite verificar se qualquer novo código adicionado ao dispositivo tem a assinatura criptográfica não falsificável ​​de seu fabricante. Não há nem mesmo qualquer firmware USB confiável para comparar o código.

O elemento que eleva as pesquisas de Nohl e Lell acima da ameaça teórica média é a noção de que a infecção pode viajar tanto do computador para USB como no caminho contrário. Toda vez que um stick USB é conectado a um computador, o seu firmware pode ser reprogramado pelo malware no PC, e não há nenhuma maneira fácil para o proprietário do dispositivo USB para detectar isso. Da mesma forma, qualquer dispositivo USB pode silenciosamente infectar o computador do usuário. "Isso vai nos dois sentidos", disse Nohl. "Ninguém pode confiar em ninguém."

Mas a capacidade de se espalhar BadUSB furtivamente de USB para PC e vice-versa levanta questões sobre se é possível usar dispositivos USB com segurança, afinal. "Todos nós já sabemos que se que você me dá acesso a sua porta USB, eu posso fazer coisas ruins para o seu computador", diz o professor de Ciência da Computação na Universidade da Pensilvânia, Matt Blaze. "O que isto parece demonstrar é que também é possível ir na outra direção, o que sugere que a ameaça de dispositivos USB comprometidos é um problema prático muito sério."

Blaze especula que o ataque USB pode na verdade já ser uma prática comum para a NSA. Ele aponta para um dispositivo de espionagem conhecida como Cottonmouth, revelado no início deste ano nos vazamentos de Edward Snowden. O dispositivo, que se escondeu em um periférico plug-USB, foi anunciado em uma coleção de documentos internos da NSA como capaz de instalar sub-repticiamente malware na máquina do alvo. O mecanismo exato para que o ataque USB não foi descrita. "Eu não ficaria surpreso se algumas das coisas [Nohl e Lell] descobertas são o que nós ouvimos falar no catálogo NSA."

A alternativa é tratar os dispositivos USB como agulhas hipodérmicas.

Nohl diz que ele e Lell entraram em contato com uma fabricante taiwanesa de dispositivos USB, cujo nome não foi divulgado, e advertiram a empresa sobre suas pesquisas no BadUSB. Ao longo de uma série de e-mails, a empresa negou repetidamente que o ataque fosse possível. Quando WIRED contactou o Fórum de Implementadores USB, uma corporação sem fins lucrativos que supervisiona o padrão USB, sua porta-voz Liz Nardozza respondeu em um comunicado. "Os consumidores devem sempre garantir que seus dispositivos são de uma fonte confiável e que fontes confiáveis ​​só interagem com seus dispositivos", escreveu ela. "Os consumidores devem salvaguardar os seus pertences pessoais e o mesmo esforço deve ser aplicado para proteger-se quando se trata de tecnologia."

Nohl concorda: "A solução de curto prazo para BadUSB não é um remendo técnico, mas sim uma mudança fundamental na forma como usamos dispositivos USB. Para evitar o ataque, tudo que você tem a fazer é não ligar o seu dispositivo USB em computadores que não sejam de sua propriedade ou não tenha boas razões para confiar, e não conectar dispositivos USB não confiáveis ​​em seu próprio computador. Mas Nohl admite que isso fará das porções convenientes de armazenamento que todos nós carregamos em nossos bolsos, entre muitos outros dispositivos, muito menos útil. "Nesta nova maneira de pensar, você não pode confiar em um USB apenas porque o seu armazenamento não contém um vírus. A confiança deve vir do fato de que ninguém malicioso alguma vez o tocou ", diz Nohl. "Você tem que considerar um USB infectado e jogá-lo fora assim que ele toca em um computador não-confiável. E isso é incompatível com a forma como usamos os dispositivos USB agora. "

Os dois pesquisadores ainda não decidiram quais de seus ataques dispositivo BadUSB eles vão liberar no evento Black Hat, se é que vão liberar algum. Nohl diz temer que o firmware malicioso para pen drives se espalhe rapidamente. Por outro lado, ele diz que os usuários precisam estar cientes dos riscos. Algumas empresas podem mudar suas políticas USB, por exemplo, para usar apenas dispositivos USB de um determinado fabricante e insistir que o vendedor implemente proteção por assinaturas de código em seus gadgets.

A implementação desse novo modelo de segurança requer convencer fabricantes de dispositivos que a ameaça é real. A alternativa, Nohl diz, é tratar de dispositivos USB como agulhas hipodérmicas, que não podem ser compartilhados entre os usuários, um modelo que semeia suspeita e em grande parte derrota a finalidade desses dispositivos. "Talvez você se lembre uma vez, quando você conectar algum dispositivo USB ao seu computador de alguém que você não confiar completamente", diz Nohl. "Isso significa que você não pode confiar em seu computador mais. Esta é uma ameaça em uma camada que é invisível. É uma espécie de paranóia terrível. "