news

Teraz już każdy może pobawić się lukami w zabezpieczeniach USB, których nie można naprawić

Podpinanie do komputera przypadkowych pamięci USB nie jest dobrym pomysłem. Zwłaszcza teraz, kiedy dwóch hackerów udostępniło publicznie malware, które wykorzystuje błędy w projekcie standardu USB, których nie można załatać.

Dwa miesiące temu dwóch niemieckich badaczy, Karsten Nohl oraz Jakob Lell, podczas konferencji Black Hat, zarysowało problem nazwany przez nich BadUSB. Według tego, co ujawnili podczas swojej prezentacji, udało im się napisać przechowywany w firmware urządzeń USB malware, który wykorzystując błędy w specyfikacji samego standardu USB, może niepostrzeżenie przejąć kontrolę nad komputerem, zmienić zawartość plików na nim przechowywanych, a nawet przekierować ruch sieciowy użytkownika.

Ponieważ Niemcom nie udało się znaleźć rozwiązania problemu (Nohl twierdził nawet, że „tych problemów nie da się załatać”), nie upublicznili oni kodu BadUSB. Ale sprawa zaciekawiła oczywiście innych badaczy. Do tego stopnia, że Adam Caudill oraz Brandon Wilson, na podstawie informacji ujawnionych przez poprzedników, postanowili opracować własną wersję BadUSB. Która została przez nich upubliczniona.

„Wierzymy, że te informacje powinny być udostępnione wszystkim. Nie powinny być ukrywane. Dlatego pokazujemy wszystko co mamy,” stwierdził w ubiegły piątek Caudill podczas konferencji Derbycon. „Jest to podyktowane głównie faktem, że [Nohl oraz Lell] nie ujawnili swoich materiałów. Jeśli mamy zamiar udowodnić, że luka istnieje, należy ujawnić materiał, by ludzie mogli się przed tym bronić.”

Według nich należy założyć, że agencje w rodzaju NSA już od dawna wiedziały o tej metodzie, więc upublicznienie potencjalnie niebezpiecznego oprogramowania w najgorszym wypadku pomoże specjalistom od zabezpieczeń w przekonywaniu swoich klientów do tego, że pamięci USB nie są bezpieczne. W najlepszym razie może znaleźć się ktoś, kto jednak naprawi dziurę, „której nie można załatać”. Ale przede wszystkim ruch ten ma wywrzeć presję na producentów, którzy powinni skupić się na przeprojektowaniu USB.

„Jeśli kiedykolwiek ma to zostać naprawione, trzeba zrobić dużo więcej niż tylko wygłosić pogadankę na [konferencji] Black Hat,” stwierdził Caudill w wywiadzie dla Wired. „Jeśli naprawienie problemu leży tylko w gestii instytucji posiadających znaczne budżety, takich jak producenci, to nie kiwną oni nawet palcem. Trzeba udowodnić światu, że [wykorzystanie tych błędów] nie jest trudne i praktycznie każdy może to zrobić. Dopiero taka presja sprawi, że producenci zajmą się prawdziwym problemem.”

Trudno odmówić logiki takiej argumentacji. Miejmy nadzieje, że teraz rzeczywiście producenci zajmą się tym problemem na poważnie.

Zdjęcie: Flickr/espensorvik


podobne treści