Nye usb-nøgler en bombe under sikkerheden

Tema: De nye U3 usb-nøgler kan udnyttes til at stjæle oplysninger om passwords, produktnøgler og til at installere bagdøre på netværkets maskiner. Det er så nemt at stjæle oplysningerne, at selv skolebørn kan være med. Der findes dog våben mod kriminaliteten, siger sikkerhedskonsulent.

Tema: Flere producenter har lanceret en ny type usb-nøgler kaldet U3.

U3 er en teknologi, der gør, at man kan eksekvere programmer direkte fra usb-nøglen. I praksis dukker en U3-nøgle op som en cd-partition og et eksternt drev på computeren.

Teknologien benytter sig af den såkaldte autorun-funktion i Windows, og den kan meget nemt udnyttes til uhæderlige formål.

Problemet er, at selve U3 teknologien er et potentielt sikkerhedsproblem.

- Det uhyggelige er, at det virker harmløst, når en usb-nøgle sættes i en maskine. Men faktum er, at det er en sikkerhedsbombe, siger Carsten Jørgensen, der er sikkerhedskonsulent i Devoteam med speciale i computer forensics.

Kan også bruges til ondsindet software

Med ganske få justeringer kan man nemlig selv definere, hvilke programmer, som skal eksekveres fra USB-nøglen. Man kan således vælge at afvikle ondsindet software eller scripts, uden at det er synligt på computeren.

For at omdanne sin usb-nøgle til et hacker-instrument skal man blot dovnloade en pakket fil, pakke den ud og installere dem på sin nøgle.

Det er uhyre nemt, og er man i tvivl om, hvordan det skal gøres, findes der en trin-for-trin vejledning i et hacker-forum, som handler om, hvordan U3-teknologien udnyttes til uhæderlige formål.

I forummet deles den nødvendige software, ideer til nye programpakker, de kaldes for payloads, samt folks hacker-erfaringer med U3.

Få din egen administratorkonto til netværket

På en U3-nøgle er der installeret software, som bruges til at styre, hvilke programmer, som skal startes når nøglen sættes i en maskine.

Denne software kan på enkel vis udskiftes, så man kan eksekvere ondsindede programmer eller scripts, der kan samle vitale oplysninger om maskinen og gemme dem på nøglen.

Efterfølgende kan indtrængeren eksempelvis benytte password-oplysninger til oprette en administrator-konto og få fulde rettigheder over netværket.

Teknikken kaldes for Switchblade og er blot en ændring af cd-partitionen på nøglen. Efter den er ændret, eksekveres programmer og scripts automatisk på usb-nøglen, så snart den indsættes i en pc - uden det kan ses på skærmen eller af de efterfølgende brugere.

- Switchblade giver adgang til rigtig mange oplysninger om både computeren og de programmer, der er installeret på den, siger Carsten Jørgensen, sikkerhedskonsulent i Devoteam, med speciale i usb-enheder.

- Det er uhyre nemt at få adgang til vitale oplysninger, og udviklingen af nye metoder til at angribe systemet på går meget hurtigt, fortæller Carsten Jørgensen.

Stjæler indholdet fra andre usb-nøgler

En anden metode til at stjæle informationer på, kaldes for Hacksaw. Igen skal man blot downloade en færdig programpakke, pakke den ud og installere den på sin U3-nøgle.

Når U3-nøglen efterfølgende indsættes i computeren, installeres et program helt automatisk og usynligt på systemet.

Det kopierer derefter alle data fra alle efterfølgende usb-nøgler, der benyttes på den inficerede maskine. Datafilerne pakkes og sendes via e-mail, typisk en Gmail-konto, til hackeren.

Usb-nøgler har et unikt numer

Det er i øjeblikket svært, at sætte en stopper for problemet, siger Carsten Jørgensen. Typisk vil hverken et antivirusprogram eller en firewall stoppe angrebet. Man skal via maskinens registreringsdatabase for at se, hvem der har været på spil.

Usb-nøgler er nemlig udstyret med et unikt identifikationsnummer – som det kendes fra et netværkskort – og dette nummer gemmes i registreringsdatabasen. Nøglen kan således genkendes på sit unikke nummer.

Det er også mulig at se, hvornår en usb-enhed er brugt første gang, sidste gang og i mange tilfælde også hvilke programmer og dokumenter, der har ligget på enheden.

- Det er en sikker metode, der kan identificere en nøgle med 100 procent sikkerhed, siger Carsten Jørgensen. Så er udfordringen bare at finde frem til nøglen og dens ejer.

Man kan også vælge at slå autorun-funktionen fra i sin opsætning, hvis man vil være sikker på at oplysningerne skal forblive på maskinen.

Desuden er kryptering af de data, der ligger på usb-nøglen en mulighed for at hemmeligholde sine data. Der kan også etableres en Windows Group Policy eller benyttes 3.part programmer til at kontrollere brugen af usb-portene.

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    MLOps Engineer til opbygning af Forsvarets nye AI-platform

    Københavnsområdet

    Mibau Stema Danmark A/S

    ERP Analyst at Mibau Stema Group

    Sydjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    MLOps Engineer til opbygning af Forsvarets nye AI-platform

    Nordjylland

    Navnenyt fra it-Danmark

    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura

    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job
    Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

    Lauren De Ventura

    emagine Expertise A/S

    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse