Connect with us

מתקפות סייבר

חוקרים פירסמו קוד לפריצת התקני USB – כדי ליצור מודעות למחסור באבטחה

פורסם

ב-

from slideshow in https://adamcaudill.com/2014/10/02/making-badusb-work-for-you-derbycon/

החוקרים אדם קאודיל וברנדון ווילסון פרסמו לציבור פריצה בשם BadUSB, לצד דרישה מיצרני התקני USB לתקן את הבעיה ולחזק את ההגנה, או להשאיר מיליוני משתמשים חשופים להתקפה. הקוד מסוגל להפיץ את העצמו תוך שהוא נותר מוסתר בתווכה השולטת בדרך בה התקן USB מתחברת למחשבים. ההתקפה מנצלת כשל אבטחת מידע ב- USB המאפשר לתוקף להכניס קוד זדוני לתוך מערכת ה- USB.

באתרו ( https://adamcaudill.com/) אדם קאודיל סיפק הסבר להחלטה לפרסם את הקוד לציבור:

"פרסמנו שני עדכוני לתווכה הקיימית (V1.03.53) עבור Phison 2251-03, ותווכה ייעודית מזערית עבור אותו שבב. העדכון הראשון יוצר מחציה שניה נסתרת, כדי להראות כי ניתן להסתיר נתונים, וללא גישה פשוטה אלא אם כן אתה מכיר את הטריק. העדכון השני משנה את מנגנון עדכון הסיסמאות כדי לקבע את הסיסמא על ערך קבוע – כך שכל סיסמא תתקבל. את העדכון יש להפעיל לפני שהמשתמש קובע סיסמא, כך שלא מדובר בסיכון גדול למשתמשים. העדכונים האלו נבחרו בזהירות כדי להוכיח נקודה, בעוד אנו לא מסכנים משתמשים".

from slideshow in https://adamcaudill.com/2014/10/02/making-badusb-work-for-you-derbycon/

קאודיל מדגיש כי ישנם דברים שנותרו חסויים ולא פורסמו לציבור. לדוגמא: "קוד לשכפול עצמי לא מופיע בשום מקום, על אף שהדבר אפשרי…. מה שפרסמנו אינו הופך את הדברים לקלים בשום דרך. הילדון כותב השורות הממוצע לעולם לא יוכל לעשות זאת. ישנו רק מספר קטן של אנשים שיוכלו לעשות את העבודה הנדרשת כדי להרים זאת – אנשים אלה כבר יכולים לעשות זאת לפני שפרסמנו את הדברים".

קאודיל וברנדון גם ציינו כי "אין דבר זדוני לגבי מה שפרסמנו כאן. בעוד פרסמנו עדכון לשינוי הגנת הסיסמא, זה כל מה שהוא עושה. הוא לא משנה נתונים, מדביק מחשבים בדבר, או שום דבר מסוג זה. הוא משנה את הדרך בה מאפיין עובד, וזה הכל".

Advertisement

"הסוף של ה- USB כפי שאנו מכירים אותו"

"דבר, אבל דבר שפרסמנו הופך מתפקפות חדשות לאפשריות", מדגישים באתר החוקרים. אך מדוע פרסמו את הדברים? לטענתם היו להם שתי מטרות – מודעות משתמשים, ולעודד יצרני התקנים להטמיע עדכונים חתומים.

"יצרני מכשירים הזדרזו לבטל את איום ה- BAdUSB… הם לא הראו שום סימן לניסיון לטפל בבעיות שבשליטתם. במשך שנים מכשירים נמכרו עם תווכה הניתנת לעדכון, אבל ללא בדיקות אבטחה כלל".

"בפרסום זה, לא שברנו את אבטחת המידע של התקנים אלה, אבל הצגנו בבירור כי היא אינה קיימת. אם מישהו כועס שהסרנו את מעטה הסודיות ש"הגן" על מכשירים אלה – אז אני מצטער שהם מבינים כה מעט שהם חושבים שזו הגנה אמיתית.

Advertisement