POR QUÊ A SEGURANÇA DO USB ESTÁ FUNDAMENTALMENTE QUEBRADA

Andy Greenberg - 31/07/2014

Usuários de computador passar pendrives por aí como se fossem cartões de visita de silício.
Apesar de sabermos que às vezes podem carregar malwares, nós dependemos de
escaneamentos dos antivírus e de uma formatação ocasional para evitar que nossos drives se
tornem o novo portador para a próxima epidemia digital. Mas os problemas de segurança com
os dispositivos USB vão mais além do que você imagina: O risco deles não está apenas no que
carregam, mas fundamentado no cerne de seu funcionamento.

Essa é a conclusão das descobertas que os pesquisadores de segurança Karsten Nohl e Jakob
Lell planejam apresentar na próxima semana, demonstrando uma coleção de programas
maliciosos como provas que revelam como a segurança de dispositivos USB está quebrada há
muito tempo. O malware que eles desenvolveram, chamado BadUSB, pode ser instalado em
um dispositivo para tomar totalmente o controle de um PC, alterar os arquivos instalados de
forma invisível, ou até mesmo redirecionar o tráfego de internet do usuário. O código atacante
pode permanecer oculto por muito tempo após o conteúdo da memória aparecer ao usuário
para que seja apagado, porque o BadUSB não reside na memória de armazenamento flash do
dispositivo, mas no firmware que controla suas funções básicas. E os dois pesquisadores dizem
que não há solução simples: O tipo de dano que eles estão demonstrando é praticamente
impossível de conter sem que seja banido o compartilhamento de dispositivos USB, ou que
você encha sua porta USB com uma supercola.

“Esses problemas não podem ser remendados (patched – lembra dos patches que corrigem
erros?),” diz Nohl, que se juntará a Lell na apresentação da pesquisa na conferência de
segurança Black Hat em Las Vegas. “Nós estamos explorando a própria forma de design do
USB.”

Nohl e Lell, pesquisadores da SR Labs consultoria de segurança, dificilmente são os primeiros a

apontar para o fato de que dispositivos USB podem armazenar e espalhar malware. Mas o que
os dois hackers fizeram não foi meramente copiar seus próprios códigos customizados de vírus
para a memória de um drive USB. Eles passaram meses fazendo uma engenharia reversa do
firmware que roda as funções básicas de comunicação de dispositivos USB – os chips
controladores que permitem que o dispositivo se comunique com um PC e permita aos
usuários que movam arquivos para dentro e fora deles. Sua descoberta principal é que o
firmware do USB, que existe em formas variáveis em todos os dispositivos, pode ser
reprogramado para ocultar o código atacante. “Você pode entregar o dispositivo pro seu
pessoal de TI, eles escaneiam, deletam alguns arquivos e te devolvem, dizendo que está
limpo”, diz Nohl. Mas a menos que o cara do TI tenha habilidades de engenharia reversa para
encontrar e analisar esse firmware, “o processo de limpeza não chega nem perto dos arquivos
dos quais estamos falando.”

O problema não é limitado a pendrives. Todas as formas de dispositivos USB, de teclados e

mouses até smartphones tem um firmware que pode ser reprogramado – além dos
dispositivos de memória, Nohl e Lell dizem que também testaram seu ataque em um aparelho
Android conectado a um PC. E uma vez que um dispositivo infectado com BadUSB é conectado
ao computador, Nohl e Lell descrevem um pacote de maldades que ele pode fazer. Pode, pr
exemplo, substituir um software sendo instalado por uma versão corrompida. Pode até
mesmo personificar um teclado USB para começar a digitar comandos subitamente. “Ele pode
fazer qualquer coisa que você pode fazer com um teclado, o que é basicamente tudo o que um
computador faz”, diz Nohl.

O malware pode silenciosamente roubar o tráfego de internet também, mudando as

configurações de DNS de um computador para direcionar o tráfego para quaisquer servidores
que quiser. Ou se o código for plantado num celular ou outro dispositivo com conexão à
internet, pode agir como um agente infiltrado, espionando secretamente as comunicações
uma vez que as transmite do computador da vítima.

A maioria de nós aprendeu tempos atrás a não rodar arquivos executáveis de pendrives
suspeitos. Mas os antigos hábitos de segurança USB não podem parar esse novo tipo de
infecção: Até mesmo se os usuários estiverem cientes do potencial de ataques, é quase
impossível assegurar-se de que o firmware de seu USB não foi adulterado. Esses dispositivos
não tem uma restrição conhecida como “code-signing”, uma contramedida que certificaria se
algum novo código adicionado ao dispositivo tem a inviolável assinatura criptográfica de seu
fabricante. Não existe nenhum firmware USB confiável para que o código seja comparado.

O elemento da pesquisa de Nohl e Lell que leva além da ameaça téorica é a noção de que a
infecção pode passar tanto do computador para um USB e vice versa. Qualquer momento que
um dispositivo é conectado a um computador, seu firmware pode ser reprogramado por um
malware naquele PC, sem que haja uma forma fácil de detecção pelo usuário. E da mesma
forma, qualquer dispositivo USB pode silenciosamente infectar o computador de um usuário.
“É uma via de mão dupla”, diz Nohl. “Ninguém pode confiar em ninguém.”

Mas a habilidade do BadUSB de se espalhar indetectável do USB para PC, bem como o
contrário, levanta questões sobre a possibilidade de usar dispositivos USB de forma segura.
“Todos nós sabemos que se você me der acesso à sua porta USB, eu posso fazer coisas muito
ruins ao seu computador,” diz o professor de ciência da computação da Universidade da
Pennsylvania Matt Blaze. “O que isso parece demonstrar é que também é possível ir na direção
contrária, que sugere que a ameaça de um dispositivo USB comprometido é um problema
prático muito sério.”

Blaze especula que o ataque USB pode, de fato, ser uma prática comum para a NSA. Ele se
refere a um dispositivo espião conhecido como Cottonmouth, revelado mais cedo este ano nos
vazamentos de Edward Snowden. O dispositivo, que se escondeu num conector periférico USB,
anunciado numa coleção de documentos internos da NSA por furtivamente instalar malware
numa máquina alvo. O mecanismo exato utilizado por esse ataque USB não foi descrito. “Eu
não me surpreenderia se algumas das coisas descobertas (por Nohl e Lell) são o que ouvimos
falar no catálogo da NSA.”

Nohl diz que ele e Lell procuraram por um fabricante de dispositivos USB taiwanês, que ele se
recusa a identificar, e informou a companhia sobre sua pesquisa com BadUSB. Depois de uma
série de e-mails, a companhia repetidamente negou que o ataque era possível. Quando a
WIRED contatou o Forum de Implementadores USB, uma corporação sem fins lucrativos que
supervisiona o padrão USB, a porta-voz Liz Nardozza respondeu em uma frase: “Consumidores
devem sempre assegurar-se de que seus dispositivos são provenientes de uma fonte segura e
de que apenas fontes seguras interajam com seus dispositivos. Eles guardam seus pertences
pessoais, esse mesmo esforço deveria ser empregado para proteção pessoal quando se trata
de tecnologia.”
Nohl concorda: A solução a curto prazo para BadUSB não é um patch técnico, mas uma
mudança fundamental em como usamos dispositivos USB. Para evitar um ataque, tudo o que
você deve fazer é não conectar seu dispositivo a computadores que não são seus ou que você
não tenha uma boa razão para confiar – e não conecte dispositivos USB não confiáveis no seu
computador. Mas Nohl admite que que isso torna as porções de armazenamento que todos
carregamos em nossos bolsos, dentre vários outros dispositivos, significativamente menos
úteis. “Nessa nova forma de pensar, você não pode confiar num USB pelo simples fato de não
haver um vírus em seu armazenamento. A confiança deve vir do fato de que ninguém suspeito
jamais tocou nele,” diz Nohl. “Você deve considerar um USB infectado e jogá-lo fora tão logo
ele tenha acesso a um computador não confiável. E isso é incompatível com a forma que
usamos dispositivos USB no momento.”

Os dois pesquisadores ainda não decidiram qual dos seus ataques BadUSB eles vão lançar no
Black Hat, se é que vão lançar algum. Nohl diz que ele se preocupa que o firmware malicioso
para drives USB se espalhe rapidamente. Por outro lado, ele diz que os usuários devem estar
cientes dos riscos. Algumas companhias poderiam mudar suas políticas de USB, por exemplo,
para usar os dispositivos de apenas uma fabricante, e insistir que o vendedor implemente
proteções “code-signing” em seus equipamentos.

Implementar esse novo modelo de segurança requer que, primeiro, os fabricantes estejam
convencidos de que a ameaça é real. A alternativa, segundo Nohl, é tratar dispositivos USB
como agulhas hipodérmicas que não podem ser compartilhadas entre usuários – um modelo
que semeia desconfiança e que acaba com os propósitos do dispositivo. “Talvez você se
lembre disso assim que você conectar um USB de alguém em quem você não confia
completamente no seu computador,” diz Nohl. “O que significa que você não pode mais
confiar no seu computador. Essa é uma ameaça numa camada que é invisível. É um tipo
terrível de paranoia.”