Gigantisch beveiligingsprobleem gevonden in USB

Geen USBGrote beveiligingsproblemen vliegen ons de laatste tijd om de oren. Vorige week de Bash-bug of Shell-shock een bug die waarschijnlijk al sinds 1992 in de code zit waarmee ongeautoriseerd toegang tot uw systeem verkregen kan worden. Of de Heartbleed bug. Dat was een beveiligingsprobleem in OpenSSL waarbij een deel van de inhoud van het interne geheugen van een server kon worden uitgelezen. En nu dan ‘BadUSB’. In juli vonden de researchers Karsten Nohl and Jakob Lell een bug in de USB firmware waarmee eenvoudig malware in systemen gesmokkeld kan worden zonder dat dit gedetecteerd wordt. Het blijkt erg lastig om te repareren zonder het USB-systeem compleet te herontwerpen. Zij publiceerden de details van hun bevindingen niet.

Daar werd afgelopen week definitief een eind aan gemaakt door Adam Caudill and Brandon Wilson. Zij demonsteerden verschillende manieren van misbruik en publiceerden de code. Inclusief een aanval waarmee het toetsenbord van de gebruiker wordt overgenomen en de controle aan de aanvaller over geeft. De reden die zij opgaven is dat zij voldoende druk op de fabrikanten willen uitoefenen om deze bug te repareren. Helaas zeggen de experts dat dit nog wel jaren kan gaan duren omdat de fout in de basis van het USB-ontwerp zit.

Met andere woorden ‘vertrouw geen gratis USB-sticks’ en ‘gebruik geen USB-sticks waarvan u de herkomst niet kent’. Ze kunnen namelijk geïnfecteerd zijn met malware. Of nog liever: gebruik helemaal geen USB-sticks!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *