Vídeo: Aprenda a ressuscitar seu pen drive corrompido ou defeituoso (Outubro 2024)
Se você não desativou a reprodução automática de USB no seu PC, é possível que a conexão de uma unidade USB infectada possa instalar malware no seu sistema. Os engenheiros cujas centrífugas purificadoras de urânio foram explodidas pela Stuxnet aprenderam da maneira mais difícil. Acontece, porém, que o malware de reprodução automática não é a única maneira de os dispositivos USB serem armados. Na conferência Black Hat 2014, dois pesquisadores dos SRLabs de Berlim revelaram uma técnica para modificar o chip controlador de um dispositivo USB para que ele possa "falsificar vários outros tipos de dispositivos, a fim de controlar o computador, filtrar dados ou espionar o usuário.. " Isso soa meio ruim, mas na verdade é muito, muito terrível.
Vire para o lado negro
"Somos um laboratório de hackers tipicamente focado na segurança incorporada", disse o pesquisador Karsten Noll, falando em uma sala lotada. "Esta é a primeira vez que procuramos uma segurança de computador, com um ângulo incorporado. Como o USB pode ser reutilizado de maneira maliciosa?"
O pesquisador Jakob Lell pulou direto para uma demonstração. Ele conectou uma unidade USB a um computador Windows; apareceu como uma unidade, exatamente como você esperaria. Mas pouco tempo depois, ele se redefiniu como um teclado USB e emitiu um comando que baixava um Trojan de acesso remoto. Isso atraiu aplausos!
"Não falaremos sobre vírus no armazenamento USB", disse Noll. "Nossa técnica funciona com um disco vazio. Você pode até reformatá-lo. Esta não é uma vulnerabilidade do Windows que possa ser corrigida. Estamos focados na implantação, não no cavalo de Tróia."
Controlando o Controlador
"O USB é muito popular", disse Noll. "A maioria dos dispositivos USB (se não todos) possui um chip controlador. Você nunca interage com o chip, nem o SO o vê. Mas esse controlador é o que 'fala sobre USB'."
O chip USB identifica seu tipo de dispositivo no computador e pode repetir esse processo a qualquer momento. Noll apontou que existem razões válidas para que um dispositivo se apresente como mais de um, como uma webcam que possui um driver para vídeo e outro para o microfone conectado. E realmente identificar as unidades USB é difícil, porque um número de série é opcional e não possui formato fixo.
Lell percorreu as etapas precisas tomadas pela equipe para reprogramar o firmware em um tipo específico de controlador USB. Resumidamente, eles tiveram que bisbilhotar o processo de atualização do firmware, fazer engenharia reversa do firmware e criar uma versão modificada do firmware contendo seu código malicioso. "Não quebramos tudo sobre o USB", observou Noll. "Desenvolvemos engenharia reversa de dois chips controladores muito populares. O primeiro levou talvez dois meses, o segundo, um mês".
Auto-replicação
Para a segunda demonstração, Lell inseriu uma nova unidade USB em branco no PC infectado desde a primeira demonstração. O PC infectado reprogramou o firmware da unidade USB vazia, replicando-se assim. Oh céus.
Em seguida, ele conectou a unidade recém-infectada em um notebook Linux, onde emitiu visivelmente comandos do teclado para carregar código malicioso. Mais uma vez, a demo atraiu aplausos da platéia.
Roubar senhas
"Esse foi um segundo exemplo em que um USB reproduz outro tipo de dispositivo", disse Noll, "mas essa é apenas a ponta do iceberg. Para a nossa próxima demonstração, reprogramamos uma unidade USB 3 para ser um tipo de dispositivo mais difícil de detectar. Assista de perto, é quase impossível ver ".
Na verdade, não consegui detectar a cintilação do ícone de rede, mas depois que a unidade USB foi conectada, uma nova rede apareceu. Noll explicou que a unidade agora estava emulando uma conexão Ethernet, redirecionando a pesquisa de DNS do computador. Especificamente, se o usuário visitar o site do PayPal, ele será invisivelmente redirecionado para um site de roubo de senha. Infelizmente, os demônios demo reivindicaram este; não funcionou.
Confie em USB
"Vamos discutir por um momento a confiança que depositamos no USB", disse Noll. "É popular porque é fácil de usar. A troca de arquivos via USB é melhor do que o uso de e-mail não criptografado ou armazenamento em nuvem. O USB conquistou o mundo. Sabemos como fazer a varredura de vírus em uma unidade USB. Confiamos ainda mais em um teclado USB. Esta pesquisa quebra essa confiança ".
"Não é apenas a situação em que alguém lhe fornece um USB", continuou ele. "Apenas conectar o dispositivo ao seu computador pode infectá-lo. Para uma última demonstração, usaremos o invasor USB mais fácil, um telefone Android".
"Vamos apenas conectar esse telefone Android padrão ao computador", disse Lell, "e ver o que acontece. Ah, de repente, existe um dispositivo de rede adicional. Vamos ao PayPal e fazer login. Não há mensagem de erro, nada. Mas capturamos o nome de usuário e a senha! " Desta vez, os aplausos foram estrondosos.
"Você detectará que o telefone Android se transformou em um dispositivo Ethernet?" perguntou Noll. "O seu dispositivo controla ou o software de prevenção de perda de dados o detecta? Em nossa experiência, a maioria não. E a maioria se concentra apenas no armazenamento USB, não em outros tipos de dispositivos".
O retorno do infector do setor de inicialização
"O BIOS faz um tipo diferente de enumeração USB do que o sistema operacional", disse Noll. "Podemos tirar vantagem disso com um dispositivo que emula duas unidades e um teclado. O sistema operacional verá apenas uma unidade. A segunda aparece apenas no BIOS, que será inicializado se configurado para isso. Caso contrário,, podemos enviar qualquer pressionamento de tecla, talvez F12, para ativar a inicialização a partir do dispositivo ".
Noll apontou que o código do rootkit é carregado antes do sistema operacional e que pode infectar outras unidades USB. "É a implantação perfeita para um vírus", disse ele. "Ele já está sendo executado no computador antes que qualquer antivírus possa ser carregado. É o retorno do vírus do setor de inicialização".
O que pode ser feito?
Noll apontou que seria extremamente difícil remover um vírus que reside no firmware USB. Tire-o da unidade flash USB, pois isso pode se reinfectar no seu teclado USB. Até os dispositivos USB embutidos no seu PC podem estar infectados.
"Infelizmente, não existe uma solução simples. Quase todas as nossas idéias para proteção interferem na utilidade do USB", disse Noll. "Você poderia colocar na lista branca dispositivos USB confiáveis? Bem, você poderia se os dispositivos USB fossem identificáveis exclusivamente, mas não são."
"Você pode bloquear o USB completamente, mas isso afeta a usabilidade", continuou ele. "Você pode bloquear tipos críticos de dispositivos, mas mesmo classes muito básicas podem ser abusadas. Remova-os e não resta muito. Como verificar a existência de malware? Infelizmente, para ler o firmware, você deve confiar nas funções do próprio firmware, então um firmware malicioso pode falsificar um legítimo ".
"Em outras situações, os fornecedores bloqueiam atualizações maliciosas de firmware usando assinaturas digitais", disse Noll. "Mas a criptografia segura é difícil de implementar em pequenos controladores. De qualquer forma, bilhões de dispositivos existentes permanecem vulneráveis".
"A única idéia viável que tivemos foi desativar as atualizações de firmware na fábrica", disse Noll. "A última etapa, você faz com que o firmware não possa ser reprogramado. Você pode até consertá-lo em software. Queime uma nova atualização de firmware que bloqueia todas as atualizações adicionais. Poderíamos recuperar um pouco da esfera de dispositivos USB confiáveis."
Noll encerrou apontando alguns usos positivos para a técnica de modificação do controlador descrita aqui. "Há um argumento a ser dado para as pessoas que brincam com isso", disse ele, "mas não em ambientes confiáveis". Eu, por exemplo, nunca vou olhar para nenhum dispositivo USB do jeito que costumava.
