Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.
Dois pesquisadores de segurança, Karsten Nohl e Jakob Lell, apresentaram durante a conferência de segurança Black Ha, que ocorreu na semana passada em Las Vegas, nos Estados Unidos, um estudo sobre os problemas de segurança de dispositivos USB. Lell e Nohl demonstraram também uma técnica de ataque, batizada de "badUSB", que envolve a modificação do "firmware" de um dispositivo USB para realizar ações maliciosas, como enviar comandos ou redirecionar sites apenas com a conexão de um dispositivo USB no computador.
Os pesquisadores também divulgaram um código chamado de "BadAndroid" que transforma um celular Android em um dispositivo capaz de redirecionar os sites visitados por um computador. Instale o BadAndroid no telefone, configure os sites a serem redirecionados e conecte o telefone no computador. Pronto.
Embora isso pareça assustador, não se trata de algo novo. E nem é o fim do mundo, como alguns sites noticiaram internet afora.
Em janeiro de 2011, pesquisadores conseguiram transformar um celular Android em um teclado para digitar comandos de forma automática no computador ao qual o celular esteja conectado. Em junho do mesmo ano, a pesquisadora de segurança Joanna Rutkowska escreveu um texto detalhando os problemas de segurança do USB, tocando nos mesmos assuntos discutidos por Lell e Nohl.
A grande façanha dos dois pesquisadores com o "badUSB" foi ter conseguido modificar um dispositivo USB usado no mercado para realizar o ataque, antes teórico, na prática.
E qual é o problema, afinal? É a flexibilidade. O USB permite que sejam conectados teclados, mouses, placas de rede, webcams, dispositivos de armazenamento – enfim, a capacidade que o USB tem de interagir com o sistema é muito alta. Essa flexibilidade, entretanto, é acompanhada de uma rigidez na via oposta: não há muitas maneiras para que o sistema isole os dispositivos USB um do outro; por exemplo, se você já tem um teclado conectado, talvez você não queira outro; se você conectou um teclado, você não quer dar a ele acesso à rede.
Também há dificuldade para que o sistema operacional possa autenticar se um dispositivo USB sofreu algum tipo de alteração ou interferência. Antivírus não ajudam nesse caso.
Em termos simples, você pode conectar um pen drive no seu computador e, ao mesmo tempo, estar conectando também um teclado e uma placa de rede. Se você não consegue "ver" isso, imagine que você estivesse conectando um hub USB com todos esses dispositivos, mas tudo está embutido dentro do pen drive. Esse hardware extra pode ser ativado a qualquer momento e, assim, o "teclado" do pen drive malicioso pode resolver "digitar algo" sozinho quando você sai do computador.
A solução depende de alguma forma de confiar nos dispositivos USB. Na verdade, é preciso que qualquer hardware ou software em uso seja confiável. Caso contrário, não é possível ter um computador seguro. O desafio, portanto, é saber se o hardware é confiável ou não e, caso ele não seja, tomar algumas atitudes.
A própria Joanna Rutkowska criticou os pesquisadores por não terem mencionado na apresentação as tecnologias VT-d e a Trusted Execution Technology (TXT). Essas são tecnologias da Intel. A primeira permite que dispositivos USB sejam virtualizados e isolados um do outro e, com a configuração adequada do administrador do sistema, que precisa usar esses recursos, é possível impedir a adição de hardware "surpresa". A segunda tecnologia tem como objetivo dificultar alterações no hardware e garantir que tudo está funcionando sem interferência.
Na prática, realizar os ataques USB é muito mais complicado e trabalhoso do que os ataques que já acontecem na internet diariamente e que funcionam muito bem para os criminosos. Empresas, é claro, precisam ficar de olho com dispositivos USB trazidos por colaboradores e funcionários – mas, para quem conhece algo de segurança, isso também é chover no molhado.
Até que ataques sejam vistos no "mundo real", tudo segue como antes e não há motivo para pânico.
http://g1.globo.com/tecnologia/blog/seguranca-digital/post/entenda-o-problema-de-seguranca-dos-dispositivos-usb.html
Nenhum comentário:
Postar um comentário