A non molta distanza dalla presentazione ufficiale di BadUSB , la vulnerabilità nel protocollo USB che non si può chiudere, i ricercatori hanno pensato bene di procedere alla distribuzione, con licenza open source, del codice proof-of-concept necessario a sfruttare il baco. I cyber-criminali gioiranno, ma le intenzioni degli autori sono positive.
BadUSB consiste nella possibilità di riprogrammare il firmware integrato in tutte le periferiche USB per rendere invisibile un malware, camuffare codice potenzialmente pericoloso o far credere al sistema che un HDD esterno sia invece una tastiera aggiuntiva, ed è un baco “universale” che coinvolge qualsiasi PC dotato di una porta USB.
Karsten Nohl e Jakob Lell, i ricercatori che per primi hanno presentato il lavoro sulle vulnerabilità dello standard USB dando a esse il nome BadUSB, avevano inizialmente promesso di rilasciare il codice collegato al loro lavoro ma si sono alla fine rifiutati per i comprensibili rischi posti alla sicurezza dell’interno mondo IT.
Ma un altro paio di ricercatori (rispondenti ai nomi di Adam Caudill e Brandon Wilson) la pensano diversamente, e dopo aver “ricreato” a mezzo reverse engineering le falle descritte nella ricerca su BadUSB hanno deciso invece di distribuire il loro codice affinché tutti potessero osservare, usare, e magari abusare delle sue potenzialità.
Caudill e Wilson non vogliono, prevedibilmente, gettare l’industria informatica nel panico: il rilascio del codice sul firmware vulnerabile di USB risponde a un’esigenza di verità, spiegano, perché “se devi provare che c’è una falla, allora devi rilasciare il materiale così le persone possono approntare le difese”. Conoscere in dettaglio i bachi di BadUSB servirà a rafforzare la sicurezza informatica piuttosto che a comprometterla, sostengono i ricercatori.
Alfonso Maruccia