Twee onderzoekers zullen volgende week tijdens de Black Hat conferentie in Las Vegas demonstreren hoe USB-sticks een computer volledig kunnen overnemen, door malware die niet op de stick zelf staat, maar in de firmware van het apparaat is verstopt en nauwelijks te detecteren.
Ook zullen onderzoekers Karsten Nohl en Jakob Lell een zichzelf verspreidend USB-virus laten zien. "USB is inmiddels zo gewoon dat we nog nauwelijks stilstaan over de veiligheidsgevolgen. USB-sticks worden af en toe op virussen gescand, maar we beschouwen USB gewoon als veilig, tot nu toe", zo laten de onderzoekers in hun aankondiging over BadUSB weten, zoals de aanval wordt genoemd.
De onderzoekers zijn maanden bezig geweest met het reverse engineeren van de firmware, die wordt gebruikt voor de besturing van de USB-stick. Ze ontdekten dat de firmware geherprogrammeerd kan worden om malware te verbergen. Het probleem is echter niet alleen beperkt tot USB-sticks, ook andere USB-apparaten zoals toestenborden, muizen en smartphones zouden kwetsbaar zijn.
"Deze problemen kunnen niet worden gepatcht", zo laten de onderzoekers tegenover Wired weten. "We maken misbruik van precies de manier hoe USB is ontworpen." Volgens Nohl moeten gebruikers een USB-stick dan ook als besmet beschouwen en weggooien zodra die in een onbetrouwbare computer is geweest. "Je kunt het aan je security-mensen geven, ze scannen het, verwijderen sommige bestanden en geven het terug met de boodschap dat die schoon is", zegt Nohl.
Tenzij de IT'ers de firmware kunnen analyseren blijft de besmetting van de firmware gewoon onopgemerkt. Via een besmet USB-apparaat kunnen allerlei aanvallen op de computer worden uitgevoerd. Zo is het mogelijk om software die wordt geïnstalleerd te vervangen door een versie met een backdoor. Ook kan de malware zich als een USB-toetsenbord voordoen en allerlei commando's uitvoeren, of bijvoorbeeld de DNS-instellingen aanpassen en zo het internetverkeer langs de servers van de aanvaller laten lopen.
Verder kan de malware de pc infecteren zodat allerlei nieuw aangesloten USB-apparaten ook besmet raken. De onderzoekers waarschuwden een Taiwanese fabrikant van USB-apparaten over hun BadUSB-onderzoek, maar het bedrijf ontkende steeds dat de aanval mogelijk was. Nohl zegt tegenover Reuters dat hij niet verrast is als inlichtingendiensten zoals de National Security Agency ook met de aanvalstechniek bekend zijn en weten hoe ze die moeten toepassen.
Het USB Implementers Forum, een nonprofit-onderneming die toeziet op de USB-standaard, adviseert consumenten om alleen USB-apparaten van een betrouwbare bron te gebruiken. Een advies waar ook Nohl zich in kan vinden. De beste oplossing voor de korte termijn is dan ook geen technische patch, maar een fundamentele verandering in de manier waarop USB-apparaten worden gebruikt. "Je moet een USB als besmet beschouwen en weggooien zodra die op een onbetrouwbare computer is geweest. En dat is niet compatibel met de manier hoe we USB-apparaten nu gebruiken", zegt Nohl.
De onderzoekers weten niet niet welke BadUSB-aanval ze tijdens de Black Hat conferentie volgende week zullen vrijgeven. Nohl zou bang zijn dat de kwaadaardige firmware zich snel kan verspreiden. Aan de andere kant moeten gebruikers wel bewust van de risico's worden, aldus de onderzoeker.
Deze posting is gelocked. Reageren is niet meer mogelijk.