Video: Como Tener Windows 10 En Una USB Para Instalacion Facil en Cualquier PC (Noviembre 2024)
Si no ha desactivado la reproducción automática USB en su PC, es concebible que enchufar una unidad USB infectada pueda instalar malware en su sistema. Los ingenieros cuyas centrifugadoras purificadoras de uranio fueron explotadas por Stuxnet lo aprendieron por las malas. Sin embargo, resulta que el malware de reproducción automática no es la única forma en que los dispositivos USB pueden ser armados. En la conferencia Black Hat 2014, dos investigadores de SRLabs con sede en Berlín revelaron una técnica para modificar el chip controlador de un dispositivo USB para que pueda "falsificar otros tipos de dispositivos con el fin de tomar el control de una computadora, filtrar datos o espiar al usuario ". Eso suena un poco mal, pero de hecho es realmente terrible.
Vuelta al lado oscuro
"Somos un laboratorio de piratería que generalmente se centra en la seguridad integrada", dijo el investigador Karsten Noll, hablando en una sala repleta. "Esta es la primera vez que buscamos una computadora de seguridad, con un ángulo incrustado. ¿Cómo podría el USB ser reutilizado de manera maliciosa?"
El investigador Jakob Lell saltó directamente a una demostración. Conectó una unidad USB a una computadora con Windows; apareció como un disco, tal como era de esperar. Pero poco tiempo después, se redefinió como un teclado USB y emitió un comando que descargó un troyano de acceso remoto. Eso provocó aplausos!
"No hablaremos de virus en el almacenamiento USB", dijo Noll. "Nuestra técnica funciona con un disco vacío. Incluso puede formatearlo. Esta no es una vulnerabilidad de Windows que podría ser parcheada. Estamos enfocados en la implementación, no en el troyano".
Control del controlador
"El USB es muy popular", dijo Noll. "La mayoría (si no todos) los dispositivos USB tienen un chip controlador. Nunca interactúas con el chip, ni el sistema operativo lo ve. Pero este controlador es lo que 'habla USB'".
El chip USB identifica su tipo de dispositivo en la computadora, y puede repetir este proceso en cualquier momento. Noll señaló que hay razones válidas para que un dispositivo se presente como más de uno, como una cámara web que tiene un controlador para video y otro para el micrófono conectado. Y la verdadera identificación de unidades USB es difícil, porque un número de serie es opcional y no tiene formato fijo.
Lell siguió los pasos precisos tomados por el equipo para reprogramar el firmware en un tipo específico de controlador USB. Brevemente, tuvieron que espiar el proceso de actualización del firmware, aplicar ingeniería inversa al firmware y luego crear una versión modificada del firmware que contenga su código malicioso. "No rompimos todo sobre USB", señaló Noll. "Realizamos ingeniería inversa de dos chips controladores muy populares. El primero tardó quizás dos meses, el segundo un mes".
Autorreplicación
Para la segunda demostración, Lell insertó una nueva unidad USB en blanco en la PC infectada desde la primera demostración. La PC infectada reprogramó el firmware de la unidad USB en blanco, replicándose así. Oh querido.
Luego conectó la unidad recién infectada en una computadora portátil Linux, donde emitió visiblemente comandos de teclado para cargar código malicioso. Una vez más, la demostración atrajo aplausos de la audiencia.
Robar contraseñas
"Ese fue un segundo ejemplo en el que un USB hace eco de otro tipo de dispositivo", dijo Noll, "pero esto es solo la punta del iceberg. Para nuestra próxima demostración, reprogramamos una unidad USB 3 para que sea un tipo de dispositivo que sea más difícil de detectar". Mire de cerca, es casi imposible de ver ".
De hecho, no pude detectar el parpadeo del ícono de red, pero después de enchufar la unidad USB, apareció una nueva red. Noll explicó que la unidad ahora emulaba una conexión Ethernet, redirigiendo la búsqueda de DNS de la computadora. Específicamente, si el usuario visita el sitio web de PayPal, será redirigido de forma invisible a un sitio de robo de contraseñas. Por desgracia, los demonios de demostración reclamaron este; No funcionó.
Confía en USB
"Discutamos por un momento la confianza que depositamos en USB", dijo Noll. "Es popular porque es fácil de usar. Intercambiar archivos a través de USB es mejor que usar correo electrónico no cifrado o almacenamiento en la nube. USB ha conquistado el mundo. Sabemos cómo escanear virus en una unidad USB. Confiamos aún más en un teclado USB. Esta investigación rompe esa confianza ".
"No es solo la situación en la que alguien te da un USB", continuó. "Solo conectar el dispositivo a su computadora podría infectarlo. Para una última demostración, usaremos el atacante USB más fácil, un teléfono Android".
"Solo conectemos este teléfono Android estándar a la computadora", dijo Lell, "y veamos qué sucede. Oh, de repente hay un dispositivo de red adicional. Vayamos a PayPal e inicie sesión. No hay mensaje de error, nada. Pero capturamos el nombre de usuario y contraseña! " Esta vez, los aplausos fueron atronadores.
"¿Detectará que el teléfono Android se convirtió en un dispositivo Ethernet?" preguntó Noll. "¿El software de control de su dispositivo o de prevención de pérdida de datos lo detecta? En nuestra experiencia, la mayoría no lo hace. Y la mayoría se enfoca solo en el almacenamiento USB, no en otros tipos de dispositivos".
El regreso del infector del sector de arranque
"El BIOS realiza un tipo diferente de enumeración USB que el sistema operativo", dijo Noll. "Podemos aprovechar eso con un dispositivo que emule dos unidades y un teclado. El sistema operativo solo verá una unidad. La segunda solo aparece en el BIOS, que arrancará si está configurado para hacerlo. Si no es así, podemos enviar cualquier pulsación de tecla, tal vez F12, para permitir el arranque desde el dispositivo ".
Noll señaló que el código del rootkit se carga antes que el sistema operativo y que puede infectar otras unidades USB. "Es el despliegue perfecto para un virus", dijo. "Ya se está ejecutando en la computadora antes de que se pueda cargar cualquier antivirus. Es el regreso del virus del sector de arranque".
¿Qué se puede hacer?
Noll señaló que sería extremadamente difícil eliminar un virus que reside en el firmware USB. Sáquelo de la unidad flash USB, podría reinfectarse desde su teclado USB. Incluso los dispositivos USB integrados en su PC podrían estar infectados.
"Desafortunadamente, no existe una solución simple. Casi todas nuestras ideas para la protección interferirían con la utilidad del USB", dijo Noll. "¿Podría incluir en la lista blanca dispositivos USB confiables? Bueno, podría hacerlo si los dispositivos USB fueran identificables de forma exclusiva, pero no lo son".
"Podrías bloquear el USB por completo, pero eso afecta la usabilidad", continuó. "Podrías bloquear tipos de dispositivos críticos, pero incluso se pueden abusar de clases muy básicas. Elimina esos y no quedará mucho. ¿Qué tal escanear en busca de malware? Desafortunadamente, para leer el firmware debes confiar en las funciones del firmware, así que un firmware malicioso podría falsificar uno legítimo ".
"En otras situaciones, los proveedores bloquean las actualizaciones maliciosas de firmware utilizando firmas digitales", dijo Noll. "Pero la criptografía segura es difícil de implementar en controladores pequeños. En cualquier caso, miles de millones de dispositivos existentes siguen siendo vulnerables".
"La única idea viable que se nos ocurrió fue desactivar las actualizaciones de firmware en la fábrica", dijo Noll. "El último paso, lo haces para que el firmware no pueda reprogramarse. Incluso puedes arreglarlo en el software. Grabar una nueva actualización de firmware que bloquee todas las actualizaciones adicionales. Podríamos recuperar un poco de la esfera de los dispositivos USB confiables ".
Noll concluyó señalando algunos usos positivos de la técnica de modificación del controlador que se describe aquí. "Hay un caso para las personas que juegan con esto", dijo, "pero no en entornos confiables". Yo, por mi parte, nunca miraré ningún dispositivo USB como solía hacerlo.
