Otro día, otro pronóstico apocalíptico de fatalidad de la seguridad informática, esta vez centrándonos en la omnipresente conexión USB. Se llama 'BadUSB' y es una prueba de concepto de malware creada por los investigadores de seguridad Karsten Nohl y Jakob Lell que explota una falla y reside en el firmware que controla la función básica de USB dispositivos. Los investigadores afirman que no se trata de un problema que pueda solucionarse y afirman que están "explotando la manera misma en que está diseñado el USB", pero en al final, todo lo que han hecho es resaltar que no debe andar conectando unidades USB, dispositivos o cualquier otra cosa que no confíe en su computadora.
Hay formas mucho más fáciles de piratear la mayoría de las computadoras, especialmente cuando este método requiere lograr acceso físico. Como hemos dicho muchas veces antes, una vez que haya perdido el control físico de su dispositivo, todas las apuestas están canceladas. Esta es solo una forma más, aunque está explotando algo que damos por sentado en estos días.
Debido a que el código BadUSB vive en el firmware USB del dispositivo, no es algo que pueda eliminarse fácilmente de un dispositivo. Limpiar o reformatear una unidad USB no afecta el firmware USB, por lo que el malware aún estaría presente. BadUSB podría permitir que cualquier computadora conectada sea explotada a través de esa conexión, con Nohl y Lell ofreciendo vulnerabilidades más tradicionales desde allí, como reemplazar archivos en la computadora con malware adicional, actuar como un teclado virtual para ejecutar comandos en la computadora o secuestrar y espiar en Internet tráfico.
BadUSB también se propaga a sí mismo: puede copiarse a sí mismo en una computadora y reprogramar el firmware USB de otros dispositivos USB conectados. Incluso puede residir en dispositivos que no son de almacenamiento, como teléfonos inteligentes y ratones.
Si bien dudamos que esto sea de hecho un exploit imposible de parchear, ciertamente, parchear el firmware USB en las computadoras para evitar dicho acceso parece una posibilidad, y muy pocos probablemente harían el esfuerzo de parchear sus unidades flash; mientras tanto, plantea un desafío teórico para usuarios
Pero todo se reduce a esto: No conecte nada en lo que no confíe a su computadora, su teléfono inteligente o su tableta. Sin embargo, eso es bastante sentido común, así que solo piense antes de conectar su teléfono a una computadora al azar para cargarlo, o aceptar una unidad USB de un extraño. Sea inteligente con lo que conecta a su computadora y (mucho más importante) esté atento a las amenazas en línea que se le presentan todos los días en el mundo real.
Fuente: cableado