Artikel top billede

Kode til kæmpe USB-sikkerhedsbrist lækket på nettet

Dine USB-enheder er blevet en del farligere at benytte, efter sikkerhedsfolk har publiceret kode til at angribe USB-firmware.

I sommers fandt de to sikkerhedsfolk Karsten Nohl og Jakob Lell et gigantisk problem i den firmware, som USB-enhederne benytter.

De døbte sikkerhedsbristen BadUSB, og den er udråbt som et af vores tids værste sikkerhedshuller, da enhver enhed med USB-stik tilsluttet en computer potentielt er sårbar over for sikkerhedsbristen.

Det kan du læse mere om her og her.

Der har ikke været nogle sikkerhedslapper til BadUSB, og Karsten Nohl og Jakob Lell har derfor også undladt at publicere den kode, som de brugte til at udføre et angreb via USB på en sikkerhedskonference i Las Vegas for to måneder siden.

Nu har to sikkerhedskolleger, Adam Caudill og Brandon Wilson, publiceret koden i forbindelse med en sikkerhedskonference i den amerikanske stat Kentucky, hvor de demonstrerede nogle af de samme USB-angrebsmanøvrer, som blev vist i Las Vegas.

Det skriver The Wired.

Intet skal holdes tilbage

Årsagen til publiceringen ligger tilsyneladende i, at Adam Caudill and Brandon Wilson ønsker total åbenhed omkring sikkerhedsbristen.

"Intet skal holdes tilbage, så vi publicerer alt, hvad vi har. Det skyldes hovedsageligt, at folkene på Las Vegas-konferencen ikke offentliggjorde deres materiale. Men hvis du skal bevise, der er et hul, så må du offentliggøre alt, så folk kan beskytte sig imod det," sagde Adam Caudill på Kentucky-konferencen ifølge The Wired.

Med offentliggørelsen kan it-kriminelle nu også kigge med i koden og få ideer til, hvordan firmwaren til USB-enhederne kan udnyttes.

For der findes ikke nogen total-løsning på problemet endnu.

Et kapløb med tiden

Med koden ude af boksen får producenter af USB-enheder mere end almindelig travlt med at få lukket hullet, hvilket også har været et delmål for Adam Caudill and Brandon Wilson.

"Hvis dette sikkerhedshul skal lukkes, så kræver det mere end blot snak på en sikkerhedskonference som den i Las Vegas," forklarer Adam Caudill til The Wired.

Og løsningen skal komme fra producenternes side, mens meningmand må hulte sig igennem USB-krisen, indtil der kommer en totalløsning på problemet. 

Som tidligere beskrevet på Computerworld kan en løsning være, at firmware signeres digitalt fra producenten. På den måde kan uvedkommende eller ondsindet firmware holdes ude.

En anden mulighed er, at computerproducenterne begynder at producere porte, der er låst til specifikke enheder, så eksempelvis mus og tastatur tilsluttes en type USB-port og den eksterne harddisk en anden.

For at være på den sikre side kan du naturligvis også blot undlade at benytte USB-enheder og -porte, men det er ret uholdbar løsning, når man ser på, hvor udbredt USB er i dagens it-verden.

Du kan dog være forsigtig med at tilknytte USB-enheder, som du ikke kender til din computer og derved begrænse risikoen.

Læs også:

Kæmpe sikkerhedsproblem kan ramme alle dine USB-enheder

Sikkerhedsmand: Ingen grund til firmware-panik - endnu




IT-JOB

Cognizant Technology Solutions Denmark ApS

Test Manager

PensionDanmark

MS Dynamics-udvikler

KMD A/S

.NET Developer
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere