USB hat eine grundlegende Sicherheitslücke, die Sie nicht erkennen kann
Wir alle setzen auf USB, unser digitalen Leben miteinander zu verbinden, aber neue Forschung, die zuerst von Wired berichtet zeigt, dass es eine grundlegende Sicherheitslücke in die Art und Weise, dass die bescheidenen Universal Serial Bus-Funktionen, und es ausgenutzt werden, könnte um auf jedem Computer Schaden anrichten.
Wired berichtet, dass Sicherheitsexperten Karsten Nohl und Jakob Lell umgekehrt haben entwickelt die Firmware, die die grundlegende Kommunikationsfunktionen des USB-steuert. Nicht nur das, die auch geschrieben haben, ein Stück Malware, genannt BadUSB, das "installiert werden kann auf einem USB-Gerät einen PC vollständig übernehmen, unsichtbar ändern Dateien von USB-Stick installiert oder sogar umleiten des Benutzers Internet-Verkehr."
Eingebettet in USB-Geräte – vom Daumen Laufwerke gründliche Tastaturen für Smartphones – ist ein Controller-Chip ermöglicht das Gerät und einem Computer verbunden ist um Informationen hin und her zu senden. Es ist diese, die Nohl und Lell ausgerichtet haben, das heißt ihre Malware sitzt nicht im flash-Speicher, aber eher versteckt, liegt in der Firmware, undeletable von allen aber den technisch gut informiert. Lell erklärte Wired:
"Sie können es für Ihre IT-Sicherheit-Leute zu geben, sie scannen, löschen Sie einige Dateien und geben Sie es zurück zu Ihnen sage Ihnen, es ist" sauber... [Aber] Probleme können nicht gepatcht werden. Wir sind die Art und Weise, dass USB ausgelegt ist Ausbeutung."
Der Kicker ist, dass es praktisch unmöglich, zu prüfen, ob eine Geräte-Firmware manipuliert wurde, und selbst wenn es war, es gibt keine einzige vertrauenswürdige Version davon, auf die geprüft. Es ist auch erwähnenswert, dass es beide Richtungen fahren kann: ein USB-Stick könnte einen Computer mit seiner Malware infizieren, sagen, und der PC könnte dann jedes USB-Gerät eingesteckt es infizieren.
So ist es ziemlich beunruhigend, dass die beiden Forscher gezeigt haben – und wird auf der kommenden Black Hat Security Conference in Las Vegas vorstellen –, dass der Fehler am Daumen ausgenutzt werden kann Laufwerke, Mäuse, Tastaturen und sogar ein Android-Smartphone. (Es sollte theoretisch auf jedem USB-Gerät, das die Firmware neu programmiert haben, kann funktionieren). Einige der Wired es Quellen spekulieren sogar, dass der Hack bereits von der NSA verwendet werden könnte.
Das ist eine Menge von schlechten Nachrichten – also, was können man dagegen tun? Technisch gesehen, sehr wenig: Es gibt keinen Patch für Code, der sein kann verwendet werden, um das Problem zu lösen. Stattdessen das USB Implementers Forum und die Forscher darauf hinweisen, dass eine Änderung im Umgang mit USB die einzige Lösung ist: Schließen Sie keinen USB Gerät in jedem Computer Sie nicht 100 % Vertrauen, und schließen Sie nicht vertrauenswürdig USB-Gerät an Ihren Computer entweder. Beweisen, dass möglicherweise unbequem – aber es kann Sie aus eine sehr unangenehme Überraschung, auch zu retten. [LAN]
Bild von Tasha Chawner unter Creative Commons Lizenz