Artikel top billede

Kode til kæmpe USB-sikkerhedsbrist lækket på nettet

Dine USB-enheder er blevet en del farligere at benytte, efter sikkerhedsfolk har publiceret kode til at angribe USB-firmware.

I sommers fandt de to sikkerhedsfolk Karsten Nohl og Jakob Lell et gigantisk problem i den firmware, som USB-enhederne benytter.

De døbte sikkerhedsbristen BadUSB, og den er udråbt som et af vores tids værste sikkerhedshuller, da enhver enhed med USB-stik tilsluttet en computer potentielt er sårbar over for sikkerhedsbristen.

Det kan du læse mere om her og her.

Der har ikke været nogle sikkerhedslapper til BadUSB, og Karsten Nohl og Jakob Lell har derfor også undladt at publicere den kode, som de brugte til at udføre et angreb via USB på en sikkerhedskonference i Las Vegas for to måneder siden.

Nu har to sikkerhedskolleger, Adam Caudill og Brandon Wilson, publiceret koden i forbindelse med en sikkerhedskonference i den amerikanske stat Kentucky, hvor de demonstrerede nogle af de samme USB-angrebsmanøvrer, som blev vist i Las Vegas.

Det skriver The Wired.

Intet skal holdes tilbage

Årsagen til publiceringen ligger tilsyneladende i, at Adam Caudill and Brandon Wilson ønsker total åbenhed omkring sikkerhedsbristen.

"Intet skal holdes tilbage, så vi publicerer alt, hvad vi har. Det skyldes hovedsageligt, at folkene på Las Vegas-konferencen ikke offentliggjorde deres materiale. Men hvis du skal bevise, der er et hul, så må du offentliggøre alt, så folk kan beskytte sig imod det," sagde Adam Caudill på Kentucky-konferencen ifølge The Wired.

Med offentliggørelsen kan it-kriminelle nu også kigge med i koden og få ideer til, hvordan firmwaren til USB-enhederne kan udnyttes.

For der findes ikke nogen total-løsning på problemet endnu.

Et kapløb med tiden

Med koden ude af boksen får producenter af USB-enheder mere end almindelig travlt med at få lukket hullet, hvilket også har været et delmål for Adam Caudill and Brandon Wilson.

"Hvis dette sikkerhedshul skal lukkes, så kræver det mere end blot snak på en sikkerhedskonference som den i Las Vegas," forklarer Adam Caudill til The Wired.

Og løsningen skal komme fra producenternes side, mens meningmand må hulte sig igennem USB-krisen, indtil der kommer en totalløsning på problemet. 

Som tidligere beskrevet på Computerworld kan en løsning være, at firmware signeres digitalt fra producenten. På den måde kan uvedkommende eller ondsindet firmware holdes ude.

En anden mulighed er, at computerproducenterne begynder at producere porte, der er låst til specifikke enheder, så eksempelvis mus og tastatur tilsluttes en type USB-port og den eksterne harddisk en anden.

For at være på den sikre side kan du naturligvis også blot undlade at benytte USB-enheder og -porte, men det er ret uholdbar løsning, når man ser på, hvor udbredt USB er i dagens it-verden.

Du kan dog være forsigtig med at tilknytte USB-enheder, som du ikke kender til din computer og derved begrænse risikoen.

Læs også:

Kæmpe sikkerhedsproblem kan ramme alle dine USB-enheder

Sikkerhedsmand: Ingen grund til firmware-panik - endnu




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk it-sikkerhedsdag – Identificer, beskyt og forsvar

Trusselsbilledet er rødglødende og it-sikkerhedslandskabet har aldrig været mere anspændt end nu. Flere organisationer end nogensinde før bliver som følge udsat for cyber-angreb, der er udført af professionelle og målrettede hackere Vi tager temperaturen på trusselslandskabet lige nu og giver dig overblikket over de nyeste trusler, de mest aktuelle tendenser og de bedste løsninger og værktøjer til at sikre effektiv drift og høj compliance.

23. august 2022 | Læs mere


Strategisk it-sikkerhedsdag – Identificer, beskyt og forsvar

Trusselsbilledet er rødglødende og it-sikkerhedslandskabet har aldrig været mere anspændt end nu. Flere organisationer end nogensinde før bliver som følge udsat for cyber-angreb, der er udført af professionelle og målrettede hackere Vi tager temperaturen på trusselslandskabet lige nu og giver dig overblikket over de nyeste trusler, de mest aktuelle tendenser og de bedste løsninger og værktøjer til at sikre effektiv drift og høj compliance.

25. august 2022 | Læs mere


CIO Trends 2022: Sådan arbejder de dygtigste CIOs med ledelse, organisation og strategi

Sparringspartner, forretningsudvikler, projektleder, evangelist, strateg og ikke mindst chef. CIO-rollen er under voldsom forandring – hvor især ledelses- og strategidelen får stadig større plads i de komplekse it-organisationer.

30. august 2022 | Læs mere






CIO
Stort CIO-interview: Lemvigh-Müllers milliard-omsætning er blevet digital