Standardul USB are o problema critica de securitate. Gasirea solutiei ar putea dura ani
calendar_month 03 Oct 2014, 10:30
Cercetatorii Karsten Nohl si Jakob Lell au anuntat, la jumatatea acestui an, ca au descoperit o vulnerabilitate critica in firmware-ul USB ce poate fi exploatata pentru obtinerea controlului asupra device-urilor de catre hackeri. Pentru ca vulnerabilitatea se gaseste in codul sursa USB, cei doi cercetatori nu au publicat detalii despre descoperirea lor. Acum, insa, alti doi cercetatori, Adam Caudill si Brandon Wilson, au decis sa faca acest lucru pentru a pune presiune pe producatori sa rezolve problema si au si demonstrat diverse modalitati de exploatare a vulnerabilitatii cunoscuta ca BadUSB. Cu alte cuvinte, abia de acum pericolul capata o dimensiune relevanta.
Motivul dezvaluirii codului ce face posibila exploatarea vulnerabilitatii a fost explicat de catre Caudill si Wilson in cadrul DerbyCon. Potrivit celor doi, metoda tehnica de exploatare este destul de simpla, asa ca oricine identifica vulnerabilitatea o poate exloata. "Daca producatorii stiu ca doar organizatiile cu bugete semnificative pot exploata vulnerabilitatea, atunci nu vor face nimic pentru a rezolva problema. A trebuit sa demonstram faptul ca oricine poate profita de pe urma acestei vulnerabilitati", au declarat cercetatorii.
Exploatarea BadUSB poate duce la preluarea controlului unei masini care incorporeaza tehnologia USB (si cam toate device-urile dispun de ea). Mai grav este ca pe drumul de la un fabricant de device-uri dotate cu USB (sa spunem de stick-uri de memorie, de exemplu) si pana la utilizatorul care le cumpara din magazin, oricine poate interveni pentru rescrierea partiala a codului in scopuri de hacking.
Cu alte cuvinte, situatia este grava, iar rezolvarea nu este deloc simpla. Eliminarea vulnerabilitatii ar putea fi realizata prin rescrierea cap-coada a firmware-ului standardului USB, dar nici aceasta solutie nu este sigura in totalitate.
Vedeti un clip cu modalitatile de exploatare a vulnerabilitatii BadUSB:
Sursa: The Verge
Noutati