Las herramientas se pueden utilizar para modificar el firmware de las unidades flash USB para infectar computadoras con software malicioso.

En una maniobra dirigida reforzar la protección para el firmware de los dispositivos USB, dos investigadores de seguridad han lanzado una colección de herramientas que pueden ser utilizadas para convertir esas unidades en instaladores de malware silenciosos.

La liberación del código por los investigadores Adam Caudill y Brandon Wilson llega dos meses después de que investigadores de Security Research Labs (SRLabs), con sede en Berlín, demostraron un ataque denominado BadUSB en la conferencia de seguridad Black Hat, en Las Vegas.

El ataque BadUSB mostró como un dispositivo USB conectado a un equipo puede cambiar automáticamente su perfil al de un teclado (y enviar pulsaciones de teclas para descargar e instalar malware) o emular el perfil de un controlador de red para secuestrar la configuración de DNS.

El ataque requiere modificar el firmware del controlador USB, lo que se puede hacer fácilmente desde el interior del sistema operativo, dijeron los investigadores de SRLabs. Sin embargo, no liberaron herramientas ni detalles de cómo hacerlo, ya que la vulnerabilidad no tiene una solución fácil, dijeron.

Esto llevó a Caudill y a Wilson a replicar el ataque con el fin de comprender mejor cómo funciona y los riesgos de seguridad que supone para los usuarios de computadoras. Presentaron sus hallazgos el viernes pasado en la conferencia de seguridad Derbycon en Louisville, Kentucky, pero a diferencia de los investigadores de SRLabs, ellos liberaron las herramientas utilizadas, con parches de firmware, cargas útiles y documentación.

Durante su demostración en Derbycon, que está disponible en YouTube, los dos investigadores replicaron el ataque de teclado emulado, pero también mostraron cómo crear una partición oculta de las unidades USB para derrotar herramientas forenses y cómo eludir la contraseña para las particiones protegidas en algunas unidades USB que proporcionan esta característica.

Las herramientas publicadas fueron diseñadas para trabajar con unidades USB que utilizan un controlador llamado Phison 2251-03. Sin embargo, pueden ser fácilmente adaptados para trabajar con otros controladores diseñados por Phison Electronics, una empresa de electrónicos taiwanesa, dijeron los investigadores durante su presentación. Los controladores de Phison se encuentran en un gran número de dispositivos USB disponibles en el mercado.

"Realmente esperamos que liberar esto presione a los fabricantes de dispositivos a insistir en las actualizaciones de firmware firmadas; y a que Phison añada soporte para las actualizaciones firmadas a todos los controladores que vende", dijo Caudill en un blog. "Phison no es el único jugador aquí, a pesar de que son los más comunes. Me encantaría verlos tomar la iniciativa para mejorar la seguridad de estos dispositivos."

Por desgracia, en realidad no hay buenas opciones para defenderse de tales ataques, dijo Wilson durante la presentación. "Estás lidiando con una pequeña computadora que tiene el control total sobre lo que sucede a través de la USB, por lo que podría mentirte, podría hacer lo que sea."

Una forma de prevenir ataques sería que los fabricantes exigieran actualizaciones firmadas de firmware para controladores USB o para deshabilitar la capacidad de modificar el firmware una vez que un dispositivo sale de la fábrica. Algunos fabricantes tal vez ya hagan esto, pero muchos no. Incluso si más fabricantes comienzan a hacerlo, los millones de dispositivos USB inseguros existentes persistirán durante años y los usuarios tendrán dificultades para diferenciarlos.