R
ecentemente i mezzi di co-
municazione di massa hanno
dedicato una grande attenzio-
ne alla ricerca pubblicata da
Karsten Nohl e Jakob Lell di
. Tale ricerca ha tenta-
to di dimostrare come i disposi-
tivi USB (Universal Serial Bus)
costituiscano potenzialmente
un mezzo per introdurre dei
“codici maligni” (malware) nelle
piattaforme di calcolo e dell’e-
lettronica portatile. Lo studio
proseguiva, poi, insinuando
che non esiste un metodo ef-
ficace per proteggere questo
punto debole. Le dichiarazioni
dei due ricercatori sul fatto che
l’interfaccia USB è “seriamen-
te difettosa” e che chi utilizza
computer o dispositivi elettroni-
ci portatili non sarà più in grado
di “fidarsi dopo avervi inserito
una chiavetta USB”, non sono
tuttavia in alcun modo realisti-
che.
I due ricercatori berlinesi hanno
eseguito alcune dimostrazioni
per mostrare che alcune chia-
vette di memoria USB, all’ap-
parenza completamente vuote,
sono state in realtà formattate
e una scansione anti-virus
potrebbe non aver rilevato la
presenza di alcun codice mali-
gno. Quest’ultimo risulterebbe,
invece, nascosto all’interno del
firmware dei circuiti integrati di
interfaccia. Sulla base delle loro
scoperte, essi hanno dedotto
che questo problema segna la
fine delle chiavette di memoria
e di molti altri accessori USB,
con l’eventualità che si renda
addirittura necessario smette-
re “in toto” di usarle in ambito
professionale come supporti
di lavoro. I due studiosi hanno
persino suggerito che, nono-
stante la sua enorme diffusione
(con più di 6 miliardi di porte
attive in tutto il mondo), quanto
emerge dalla loro ricerca se-
gna sostanzialmente la fine del
supporto USB come mezzo di
trasferimento dei dati. Si tratta
di un’affermazione avventata e,
per di più, totalmente ingiustifi-
cata. In realtà l’interfaccia USB,
semplicemente, non è a rischio
di un attacco da parte di virus
più di quanto lo sia qualsiasi al-
tro mezzo di trasferimento dati,
come la comunicazione senza
fili (il Bluetooth ed il Wi-Fi) o le
connessioni Internet.
Sebbene la ricerca condotta
presso SRLabs evidenzi un
crescente rischio costituito
da attacchi cibernetici di ogni
tipo contro qualsiasi elemen-
to della società moderna, ciò
non implica certamente che i
giorni dell’interfaccia USB si-
ano contati. Andrebbe, inoltre,
spiegato che le preoccupazioni
sulla vulnerabilità di un qualsi-
asi firmware a manomissioni di
questo genere si concentrano
solitamente su prodotti basati
su microcontrollori, dove esiste
la possibilità che l’unità in que-
stione venga riprogrammata
“al volo” per eseguire alcune
funzioni addizionali non volute.
Nonostante questa considera-
EON
ews
n.
579
-
ottobre
2014
16
A
ttualit
Á
Sicurezza delle connessioni USB:
alcune considerazioni
Una ricerca di SRLabs ha cercato di dimostrare che
i dispositivi USB non sono più sicuri ma tali metodi
allarmistici spesso possono causare reazioni eccessive
F
red
D
art
zione possa essere applicata
anche ad alcuni circuiti integrati
di interfaccia USB disponibili
sul mercato, fino a che i produt-
tori di apparecchiature originali
che realizzano le periferiche
USB sceglieranno di inserire,
nei loro progetti, dispositivi di
qualità superiore, la minaccia
precedentemente descritta ri-
sulterà ridotta.
I ricercatori di SRLabs hanno
affermato ufficialmente che non
esistono “difese efficaci contro
gli attacchi alle interface USB”
ma ciò è ben lungi dall’essere
esatto. Alcuni tra i più importanti
produttori di semiconduttori che
operano sul mercato delle in-
terfacce USB possiedono già la
tecnologia collaudata e neces-
saria a contrastare i problemi
sin qui sollevati.
I diffusi circuiti integrati di brig-
de-USB proposti da
ad esempio, appartengono a
una categoria di prodotto de-
stinata ai costruttori di apparec-
chiature, piuttosto che a quella
delle chiavette USB (memorie
di massa). Tale classe di appa-
rati non può essere personaliz-
zata per apparire come un tipo
diverso di dispositivo. Poiché
tali circuiti integrati sono di tipo
hardwired (si basano, infatti,
sull’implementazione, tramite
ASIC – Application Specific
Integrated Circuit – di funzioni
definite e non modificabili), essi
non contengono alcun tipo di
firmware. Conseguentemente,
non c’è modo di introdurvi co-
dici maligni come quelli citati in
precedenza. L’intero controllo
delle comunicazioni è, infatti,
svolto completamente in modo
fisico, cioè hardware. Alcuni cir-
cuiti integrati presenti nel por-
tafoglio prodotti di FTDI Chip
impiegano anche una piccola
memoria non volatile di tipo
EEPROM (Electrically Erasa-
ble Programmable Read-Only
Memory), la quale viene però
usata unicamente per imma-
gazzinare le impostazioni – non
possiede, infatti, capacità suffi-
ciente per contenere una qual-
siasi forma di codice maligno.
Pertanto, i circuiti integrati brid-
ge-USB prodotti da FTDI Chip
non possono essere riprogram-
mati per compiere azioni diver-
se da quelle per le quali erano
stati originariamente progettati
e risulta, dunque, eliminata
ogni possibilità di manomissio-
ne. Poiché si tratta di moduli
destinati, come categoria, ai
costruttori di apparecchiature
elettroniche, essi richiedono,
per l’accesso, un driver speci-
fico della FTDI o un’interfaccia
di programmazione della speci-
fica applicazione (API: Applica-
tion Programming Interface).
Sono, quindi, già disponibili al-
cuni circuiti integrati per USB,
costruiti su architetture da mac-
china a stati di tipo hardware, e
non basati sui microcontrollori,
che risultano impossibili da ri-
programmare. Il motivo per cui
la suddetta ricerca ometta i
dettagli di quali azioni l’industria
possa intraprendere per supe-
rare il problema messo in luce,
citando specificatamente il tipo
di circuiti integrati appena de-
scritto, rende alquanto evidente
che l’intera questione è volta a
farsi pubblicità, piuttosto che ad
agire nel pubblico interesse.
Non è ovviamente infrequente,
per chi si occupa del settore
della sicurezza informatica,
uscirsene con trovate pubblici-
tarie simili a questa – spesso e
volentieri con il semplice intento
di assecondare i propri fini. C’è
sempre stata una tendenza a
esagerare (e, generalmente,
con poco contenuto informati-
vo) questo tipo di annunci, allo
scopo di indurre le persone
a investire in nuovi pacchetti
software e similari. Il vero pro-
blema è che ricorrere a metodi
allarmistici può, in molti casi,
portare a una reazione ecces-
siva.
Fred Dart,
Ceo di FTDI
Chip
