Malware lækket, der udnytter uopretteligt hul i usb-enheder

7. oktober 2014 kl. 16:134
Et sikkerhedshul i firmwaren i alt fra USB-nøgler til smartphones er nu blevet lettere for hackere at udnytte.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

To it-sikkerhedseksperter løftede i august sløret for en alvorlig sikkerhedsbrist i usb-teknologien, der gør det muligt at snige malware ind på computere ved hjælp af usb-enheder.

Fejlen er blevet kaldt for uoprettelig, da den ligger i selve firmwaren på usb-enhederne, og nu har de to sikkerhedsresearchere Adam Caudill and Brandon Wilson lagt koden til malwaren ud på den offentlige kodedelingstjeneste GitHub og dermed givet alle fri adgang til at udnytte hullet.

Det skriver BBC.

Sikkerhedshullet, der også har fået øgenavnet BadUSB, blev oprindelig offentliggjort under Black Hat sikkerhedskonferencen af Karsten Nohl and Jakob Lell i august. De holdt dog koden til at udnytte bristen hemmelig i et forsøg på at få producenterne til at sikre sig mod den.

Artiklen fortsætter efter annoncen

Det har dog siden vist sig at være lettere sagt end gjort, da hullet ligger integreret i firmwaren på usb-enhederne og derfor ikke uden videre kan patches.

BadUSB udnytter, at det er let at omprogrammere de såkaldte controller chips på usb-enheder som mus, keyboards og nøgler, som dermed kan benyttes til at inficere forbundne computere med malware.

Brandon Wilson og Adam Caudill offentliggjorde koden under DerbyCon hackerkonferencen i sidste uge med formålet om få det bredt ud i sikkerhedskredse.

»Vi har offentliggjort alt, hvad vi har gjort her - der er intet, der bliver holdt tilbage,« sagde Brandon Wilson under DerbyCon.

Artiklen fortsætter efter annoncen

»Vi tror på, at denne viden ikke bør være begrænset til en lukket kreds, som nogle har forsøgt at gøre det. Det bør være tilgængeligt for offentligheden,« sagde han.

[video:http://www.youtube.com/watch?v=xcsxeJz3blI]

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
Indsendt af Thomas Hansen (ikke efterprøvet) den tir, 10/07/2014 - 18:10

Med respekt for de to, så mener jeg at det er adskillige år siden, det blev afsløret at USB-enheder, udgør et kritisk punkt i relation til sikkerhed ?

2
8. oktober 2014 kl. 06:23

Der var tale om autorun exploit. Det her er værre. Langt værre. Se evt. nogle af PHKs indlæg om "trusted hardware", for at få en større forståelse af problematikken.

3
Indsendt af Thomas Hansen (ikke efterprøvet) den ons, 10/08/2014 - 07:55

Jo. Jeg forstår godt problematikken. Men det blev da udnyttet for mange år siden. USB enheder med skjulte egenskaber, har jo været kendt i årevis. Det nye må bestå i, at der nu er nogen som går offentlig ud og beskriver hvor grelt det står til.

Jeg skal ikke benægte at der er et behov for offentligt at informerer, det er jeg enig i, at der er.

Hvis der skal rettes op på det, så må det være HW producenterne, man skal rette sig mod, ikke USB standard selv.