Liberan el código fuente de los ataques BadUSB

Escrito por Rubén Velasco
Seguridad
0

BadUSB es una vulnerabilidad que permite a usuarios malintencionados modificar el firmware de un dispositivo USB para ejecutar código automáticamente sin intervención del usuario. Ya han pasado 2 meses desde el descubrimiento de esta vulnerabilidad y aún no hay soluciones definitivas, sino pequeños “parches” que complican la explotación de la vulnerabilidad pero que aún están lejos de solucionarla de forma definitiva.

Una vez se descubrió la vulnerabilidad los investigadores decidieron que la mejor opción era no publicar el código fuente del exploit ni facilitar información a otros usuarios sobre cómo se podía explotar este fallo. Sin embargo, no todos los investigadores estaban de acuerdo con la afirmación.

Algunos de los investigadores que participaron en el descubrimiento de esta vulnerabilidad han afirmado que las agencias de seguridad (como la NSA) probablemente ya hayan sido conscientes de la vulnerabilidad desde hace tiempo y que incluso la han podido explotar en varias ocasiones. También han decidido que el conocimiento debe pertenecer al pueblo y aunque algunos utilizarán dicha vulnerabilidad para hacer el mal, otros pueden incluso desarrollar un posible “parche” que solucione el fallo, por ello han decidido colgar ejemplos de explotación de la vulnerabilidad en la plataforma GitHub.

usb-condom-badusb-foto

Por el momento las únicas soluciones temporales a esta grave vulnerabilidad son, en primer lugar, un dispositivo que corta la conexión de datos y únicamente lleva señal eléctrica por el USB (como podemos ver en la imagen anterior). Este dispositivo nos permite utilizar cables para cargar dispositivos sin peligro a que un malware explote la vulnerabilidad BadUSB. Otra solución desarrollada por una empresa de seguridad detecta que se ha conectado una memoria USB en nuestro equipo y nos permite elegir si acceder a ella o bloquear completamente su conexión, ideal para evitar que terceras personas puedan acercarse a nuestro ordenador en lugares públicos e infectar el equipo conectando únicamente una memoria USB maliciosa.

Por el momento habrá que esperar aún más para encontrar una solución definitiva que nos proteja por completo de esta vulnerabilidad. Varios investigadores de seguridad están trabajando en poder solucionarla y los fabricantes ya están lanzando nuevas memorias y conexiones USB que no son vulnerables a BadUSB.

¿Crees que es buena idea liberar el código fuente sobre cómo explotar la vulnerabilidad BadUSB?

Fuente: Help Net Security