Attacco al firmware dei device USB con BadUSB

In occasione dell’ultima edizione della nota conferenza Black Hat svoltasi in quel di Las Vegas, i due ricercatori Adam Caudill e Brandon Wilson avevano mostrato una tipologia di attacco non del tutto nuova ma ancor più preoccupante nella forma in cui è stata presentata.
Battezzato BadUSB, l’attacco consiste nel trasformare qualunque dispositivo USB in un device malevolo, capace di infettare qualunque sistema cui venga collegato. L’infezione del dispositivo USB avviene a livello firmware quindi modificando il set di istruzioni di base – contenute nel device – che permettono l’avvio del componente stesso e l’interazione con l’altro hardware.

Attaccabili attraverso l’utilizzo di BadUSB, quindi, non sono soltanto le unità di memorizzazione esterne di tipo USB ma anche periferiche di input facenti anch’esse uso dell’interfaccia di connessione USB.

La “leggerezza” sfruttata da BadUSB sarebbe insita nello standard di comunicazione USB ed al momento, quindi, non vi sarebbe alcun strumento per difendersi in modo efficace.

Secondo il duo Caudill-Wilson, il lavoro condotto su BadUSB sarebbe stato eccessivamente sottovalutato dai produttori di dispositivi hardware tanto che quest’oggi i ricercatori hanno voluto pubblicamente rilasciare il codice alla base dell’attacco. Su GitHub sono stati riversati tutti gli strumenti software utilizzabili per trasformare una qualunque periferica USB di un vettore d’attacco.

Per Caudill, inoltre, questo modo di agire sarebbe già ampiamente conosciuto, da tempo, alla NSA ed alle altre agenzie governative internazionali: l’attacco potrebbe essere stato quindi ripetutamente sfruttato per sottrarre dati sensibili senza che la vittima si accorgesse di nulla. Sarebbe quindi giunto il momento affinché utenti e produttori prendano coscienza della problematica.

BadUSB non è una novità: esistono da molto tempo dispositivi USB che possono essere liberamente programmati per compiere azioni simili a quelle descritte da Caudill e Wilson. Per rendersene conto è sufficiente cercare su Google “USB Rubber Ducky“.
Caudill e Wilson, tuttavia, hanno avuto il merito di evidenziare come l’attacco possa interessare una vastissima schiera di prodotti USB, virtualmente tutte le periferiche oggi in commercio.