Årets CIO 2021Her er Danmarks bedste it-chef: CIO i Coop Morten Holm Christiansen er Årets CIO 2021

Artikel top billede

Kæmpe sikkerhedsproblem kan ramme alle dine USB-enheder

Et stort sikkerhedsproblem kan forvandle alle dine USB-enheder til tikkende sikkerhedsbomber. Her er problemet - og løsningen, der kan holde ubudne gæster væk.

USB-standarden er blevet rystet i sin grundvold efter meget detaljerede oplysninger om, hvordan standarden kan udnyttes af it-kriminelle på grund af svagheder i enhedernes firmware.

USB er verdens mest anvendte grænsesnit for tilkobling af computerudstyr, men den alsidige port anvendes også til telefoner, fjernsyn, kameraer og masser af andet it-isenkram.

Læs også: Denne populære router gør dine filer frit tilgængelige for alle

Alsidigheden er fantastisk praktisk, men kan også være en stor forbandelse, især hvis der er sikkerhedsproblemer, som kan spredes gennem USB-porten.

En kommunikationsbrist

Det har to sikkerhedsfolk fra firmaet SR Labs påpeget på sikkerhedskonferencen Black Hat.

Karsten Nohl og Jakob Lell har i detaljer afdækket det, der kan udvikle sig til et af tidens største sikkerhedshuller.

Skåret helt ind til benet drejer det sig om en svaghed i måden, som USB-enheder kommunikerer med computeren på.

"Det er ikke en helt nyt problemstilling, men sikkerhedsproblemerne er nu blevet beskrevet meget detaljeret, hvilket betyder, at masser af it-kriminelle kan få øjnene op for de muligheder, der kan udnyttes," fortæller Peter Kruse fra det danske sikkerhedsfirma CSIS.

Slem USB

Sikkerhedshullet er blevet døbt BadUSB, og potentielt kan problemet ramme alle enheder, der tilsluttes via USB-porten.

Om det er din lille USB-nøgle, et tastatur eller en ekstern harddisk, betyder i denne sammenhæng intet.

Alle enheder kan have svagheden, og - hvis de inficeres - anvendes til at tømme din bankkonto, lække virksomhedens dokumenter eller knytte maskinen til et botnet.

Problemerne opstår i forbindelse med den firmware, som USB-enhederne anvender.

"For langt hovedparten af enhederne, der anvender firmware kræves der ikke en digital signatur for at udskifte den. Det betyder, at alle kan skrive firmware, og i mange tilfælde overføre koden til en enhed.

Derfor er dette problem faktisk også langt større end USB. Firmware anvendes i masser af it-enheder eksempelvis routere," siger Peter Kruse.

USB-enhederne er dog langt den største kategori med et hav af produkter i alle mulige afskygninger.

Sådan fungerer sårbarheden

Alle USB-enheder anvender den sammen USB-grænseflade, som dog er opdelt i forskellige kategorier ud fra, hvilken opgave enheden skal udføre.

Mus og tastatur er i en gruppe, mens lagerenheder og trådløse netværkskort ligger i andre klasser.

Informationer om klasser og opgaver ligger i den firmware, som enheder styres af.

Klasserne lader enhederne udføre helt specifikke og begrænsede handlinger. Disse begrænsninger har nu vist sig meget enkle at ophæve, hvilket betyder, at en enhed kan placeres i en helt anden klasse, end den er tiltænkt fra producentens hånd.

Det, der er så problematisk ved sårbarheden, er, at det er næsten umuligt, at opdage om enhedens klasse er blevet ændret.

Derved kan din eksterne harddisk, helt uden din viden, blive tildelt en ny klasse og udføre opgaver, som ellers er tiltænkt et netværkskort.

På den måde kan uvedkommende få adgang til informationer på andre enhedstyper på computeren.

"Man kan sammenligne smittemåden med den tid, hvor floppy diske belv inficeret fordi, de blev benyttet på forskellige maskiner," siger Peter Kruse.

Opnår fejlagtigt rettigheder

Et andet problem ved ondsindet firmware er, at man kan opnå rettigheder til en computer.

En inficeret USB-nøgle kan gå bag ryggen på brugeren og give kommandoer til computeren, eksempelvis om at hente og installere malware eller overskrive firmwaren på alle andre USB-enheder, der anvendes på maskinen.

Sikkerhedsprogrammer som antivirus har ikke adgang til en USB-enheds firmware, hvilket gør det umuligt at skanne enhederne for at finde modificeret firmware.

Løsningen ligger i producenternes hænder

En løsning skal som udgangspunkt komme fra producenter af USB-enheder, men bør omfatte langt flere, lyder det fra Peter Kruse:

"Da problemet omhandler firmware som helhed, bør der findes en samlet løsning, der omfatter alle, der anvender firmware."

Løsningen kan bestå i, at firmware signeres digitalt fra producenten. På den måde kan uvedkommende eller ondsindet firmware holdes ude.

En anden mulighed er, at computerproducenterne begynder at producere porte, der er låst til specifikke enheder, så eksempelvis mus og tastatur tilsluttes en type USB-port og den eksterne harddisk en anden.

Hvis du vil være helt sikker, kan du selvfølgelig også undgå at bruge USB-enheder eller anvende andre brugergrænsesnit som FireWire og ThunderBolt.

Disse løsninger er nok ikke sandsynlige, da hele plug-andplay-princippet undermineres, og brugergrænsefladen er så udbredt, at det næsten er umuligt at undgå den.

Samtidig vil fravalget af USB gøre livet ret besværligt som it-bruger.

En total løsning er således ikke lige om hjørnet.

Men du kan selv være forsigtig med at tilknytte USB-enheder, som du ikke kender til din computer og derved begrænse risikoen.

Ikke udbredt endnu

Selv om blandt andet NSA mistænkes af flere medier for at have udnyttet sårbarheden, så ser en dansk ekspert ikke et overvældende problem i forhold til USB-problematikken - endnu.

"Den detaljerede beskrivelse af sårbarheden, der er kommet frem, vil betyde en øget risiko, men foreløbig har vi ikke registreret episoder i Danmark," siger Peter Kruse.  

Men han peger på, at producenter, der anvender firmware skal til at stramme op, så den ikke kan udskiftes uden brugerinteraktion eller anden form for digital barriere.

Ligeledes bør sårbarheden give et vink med en vognstang til danske virksomheder.

"Det er absolut et område, som virksomheder skal være opmærksomme på i deres sikkerhedspolitik. USB-nøgler bruges flittigt til at transportere data mellem hjemmet og i virksomheden, hvilket medfører en stor smitterisiko," siger han.

Læs også:

Er du med i et botnet? Gå på zombiejagt på din pc

Gratis usb-nøgler kan indeholde spion-software

Malware fundet i hæveautomater

Denne populære router gør dine filer frit tilgængelige for alle




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Webinar: Tør du håndtere cyberberedskabet på egen hånd?

Der er akut behov for at øge visibilitet, indsigt og overblik, hvis man som virksomhed skal have en chance for at afværge og minimere skaden ved cyberangreb. Trusselsbilledet udvikler sig imidlertid så hastigt, at opgaven let vokser selv større virksomheder, med en eller flere dedikerede IT-sikkerhedsansvarlige, over hovedet. Bliv klogere på dette seminar.

22. september 2021 | Læs mere


GDPR i dagligdagen: Vedligeholdelse og tilsyn

Det er efterhånden ved at være noget tid siden, at vi blev introduceret til GDPR, og alle organisationer har med tiden fået styr på dataflow og håndteringen af persondata i organisationen. Mange valg har skulle træffes og det har krævet mange ressourcer. Få overblik over de seneste nye tiltag og udmeldinger fra Datatilsynet samt overblik over de seneste regler, og hvordan du håndterer dem.

23. september 2021 | Læs mere


Årets CISO 2021

I både offentlige og private organisationer er der behov for at uddanne, rekruttere og fastholde de bedste it-sikkerhedsfolk, fordi sikkerhedsudfordringerne konstant forandres. Derfor sætter vi fokus på best practice inden for it-sikkerhed, og vi vil samtidig fremhæve de personer i Danmark, der gør et ekstra stykke arbejde for at styrke den digitale sikkerhed. Vi hylder derfor årets CISO 2021 på denne konference.

05. oktober 2021 | Læs mere






Premium
Forsinket inddrivelsessystem har nu kradset 320 millioner kroner ind for Rigspolitiet: 40.000 bliver automatisk trukket i løn
Det forsinkede inddrivelsessystem, PSRM leveret af Netcompany, har nu ved automatisk at trække penge fra borgere, der skylder det offentlige penge, indsamlet 320 millioner kroner i politigæld. Der mangler dog stadig en enorm gæld.
Computerworld
Apple præsenterer iPhone 13 og iPhone 13 Pro - se dem her
Snart kan du få fingre i den nye iPhone 13 og iPhone 13 Pro. Bliv klogere på de to helt nye iPhones her.
CIO
“Der har simpelthen været for få gråhårede medarbejdere involveret i den her udviklingsproces. Folk der ved, hvad der skal til”
"Vi havde ansat nogle unge mennesker i sandaler og med langt skæg for at bryde med det traditionelle it-setup. De her vakse unge mennesker fik også ret hurtigt bygget en supersmart applikation til virksomheden. Men den brager ned, da vi ruller den ud, og den fylder cirka 1,5 procent af alle transaktioner."
Job & Karriere
35-årig kvinde gik amok på hjemmekontoret efter fyring: ”De fjernede ikke min adgang, så jeg slettede p-drevet lol”
En 35-årig kvinde står anklaget for at have slettet 21,3 gigabyte data fra fællesdrevet efter, at hun blev fyret. Nu risikerer hun op til 10 års fængsel.
White paper
En opskrift på succes: Automatisér, byg videre på den eksisterende infrastruktur – og sæt kurs mod skyen
Læs hvordan en koncern satsede på en adoptiv, clouddreven fremtid – med udgangspunkt i standardisering, fleksibiitet og den eksisterende infrastruktur.