Le periferiche USB malevole sono un problema che esiste da anni, eppure continuano a essere uno dei vettori di attacco più sottovalutati in ambito informatico. Soprattutto quando si camuffano da dispositivi di input del tutto innocui, come una normalissima tastiera o un mouse. Ora, però, una nuova iniziativa nel kernel Linux punta a cambiare le cose: si sta lavorando a un driver capace di individuare questi dispositivi truffaldini prima che possano fare danni. Il progetto si chiama HID OMG e ha un obiettivo piuttosto ambizioso: riconoscere i comportamenti sospetti direttamente a livello di sistema operativo, senza bisogno di hardware aggiuntivo o interventi particolarmente complicati.
Per capire perché questa novità è rilevante, bisogna fare un passo indietro. I dispositivi HID, acronimo di Human Interface Device, comprendono tastiere, mouse e periferiche simili. Funzionano grazie a standard USB che permettono al sistema operativo di riconoscerli in automatico, senza driver complessi. Ed è proprio qui che si nasconde la falla. Un dispositivo malevolo può spacciarsi per una tastiera e iniziare a inviare comandi automatici, simulando input umano. In pochi secondi può eseguire script, installare malware o stravolgere configurazioni di sistema. È il principio alla base del cosiddetto BadUSB: alterare il firmware di una periferica USB per trasformarla in un’arma silenziosa. Il bello, si fa per dire, è che il sistema operativo si fida ciecamente dei dispositivi HID. E questo rende gli attacchi praticamente invisibili agli antivirus tradizionali.
Come funziona HID OMG e cosa cambia per la sicurezza
Il progetto HID OMG adotta una filosofia diversa rispetto ai classici sistemi di protezione. Invece di mantenere una lista nera di dispositivi noti come pericolosi, il driver analizza il comportamento degli input generati dalla periferica. In pratica, monitora parametri come la velocità di digitazione, la sequenza dei comandi e la frequenza degli eventi. Questi dati vengono poi confrontati con modelli di comportamento umano tipico. Se qualcosa non torna, per esempio una sequenza di input troppo rapida e precisa per essere generata da mani umane, il kernel può intervenire. Le contromisure vanno dalla limitazione dell’input al blocco temporaneo del dispositivo, passando per la richiesta di conferme aggiuntive.
Un aspetto particolarmente interessante è che questa analisi avviene interamente lato sistema operativo. Non serve identificare preventivamente ogni singola periferica USB potenzialmente pericolosa, perché il rilevamento si basa sui comportamenti anomali e non su firme statiche. Questo rende il sistema più resistente anche a varianti di attacco ancora sconosciute. Un vantaggio non da poco, considerando quanto velocemente evolvono le tecniche offensive.
Le criticità da tenere d’occhio
Nessuna soluzione è perfetta, e anche il rilevamento comportamentale ha i suoi punti deboli. Il rischio di falsi positivi è concreto: basta pensare a chi usa macro, scorciatoie avanzate o dispositivi di input particolari per lavoro. In questi casi, il sistema potrebbe scambiare un utilizzo legittimo per un attacco. C’è poi la questione degli attaccanti più sofisticati, che potrebbero progettare periferiche USB capaci di imitare più fedelmente il comportamento umano, rendendo il rilevamento meno efficace. Questo significa che i modelli e le soglie di analisi dovranno essere aggiornati con continuità.
Le periferiche USB, spesso considerate sicure per definizione, diventano così oggetto di controlli molto più approfonditi all’interno del kernel Linux. Lo sviluppo di HID OMG si inserisce in una tendenza più ampia verso la sicurezza proattiva, dove il sistema operativo non si limita a reagire dopo che un attacco è avvenuto, ma prova a intercettarlo prima, attraverso analisi comportamentali in tempo reale.
