Quando vi abbiamo parlato di BadUSB, un problema che affligge tutti i dispositivi USB dotati di memoria scrivibile, abbiamo precisato una cosa: il bug non può essere risolto poiché è un problema intrinseco del funzionamento di USB e riguarda il firmware. Ancor peggio, una vulnerabilità “attiva” non può essere rilevata ed è potenzialmente in grado di diffondersi indisturbata.
E’ per questi motivi che, quando BadUSB è stato annunciato durante il BlackHat di Luglio, i ricercatori Karsten Nohl e Jakob Lell hanno deciso di non pubblicare il codice dell’exploit pur lanciando un importante messaggio: i produttori avrebbero dovuto svegliarsi.
LEGGI ANCHE | BadUSB, il virus invisibile
Rivoluzionare totalmente uno standard come USB – riscrivendo daccapo il meccanismo d’azione o introducendo una sorta di cifratura di sicurezza per evitare gli effetti dannosi di BadUSB – non è sicuramente cosa semplice ed avrebbe richiesto tempo per essere portata a compimento. Tuttavia Adam Caudill e Brandon Wilson di pazienza ne hanno avuta ben poca, poiché hanno deciso di dare una sonora sveglia ai produttori in un modo che, in molti, non si sarebbero augurati.
In parole povere Caudill e Wilson hanno effettuato un lavoro di ingegneria inversa sul (poco) materiale diffuso da Nohl e Lell e non solo hanno pubblicato il tutto su GIthub, rendendo l’exploit praticamente disponibile per chiunque, ma hanno inoltre dimostrato come la falla può essere materialmente sfruttata durante il DerbyCon 4.
Per farla ancora più breve, i due hanno reso “concreta” la minaccia affinché i produttori si svegliassero, si rendessero conto del problema ed agissero il prima possibile di conseguenza.
Probabilmente sarebbe stata soltanto questione di tempo prima che qualcun altro non avesse scoperto le modalità concrete per sfruttare BadUSB: sebbene renderle pubbliche ed alla portata di tutti non sia stata una mossa così prudente, dato che irrimediabilmente le cose giuste nelle mani sbagliate finiscono per nuocere, bisogna ammettere che sarebbe potuta andare peggio.
Magari, qualcuno avrebbe potuto scoprire come sfruttare il bug e lucrare sulla cosa, così da diffondere a macchia d’olio una minaccia assai silenziosa (vi ricordiamo che BadUSB non può essere rilevato). Staremo a vedere se i produttori correranno ai ripari nel breve termine, visto l’affare – adesso – pericolosamente pubblico.