For et par måneder siden skrev vi om, hvordan to sikkerhedseksperter havde opdaget en fundamental fejl i den måde, som USB-standarden er sat sammen. Karsten Nohl og Jakob Lell fra tyske Security Research Labs havde fundet frem til, at man med en USB-nøgle med ændret firmware kan overtage kontrollen med en computer, blot ved at stikke nøglen i USB-porten.
Så langt, så skidt. Men det var dog kun et videnskabeligt forsøg. Nu er der sket det, som uundgåeligt sker, når den slags fejl opdages: To hackere har gjort sikkerhedseksperterne kunsten efter, og har lavet deres egen skadelige USB-firmware. Og de har, i sand hackerånd, delt deres opdagelse med verden via websitet GitHub, hvorfra alle kan downloade koden og begynde at lave deres egne USB-helvedesmaskiner.
Vil fremprovokere en reaktion fra producenterne
De to hackere, Adam Caudill og Brandon Wilson præsenterede deres kode på hackerkonferencen Derbycon i Kentucky i sidste uge.
“Vi mener, at den slags fejl skal være offentligt tilgængeligt og ikke holdes tilbage. På den måde kan folk selv tage deres forholdsregler imod problemet,” sagde Adam Caudhill på konferencen.
Han understregede, at formålet med offentliggørelsen er at få producenterne af USB-baseret udstyr til at ændre på standarden. Ved at offentliggøre koden har han sat kniven på struben af producenterne.
“Metoden bruges sandsynligvis allerede af NSA. Men producenterne vil ikke røre en finger, så længe fejlen kun udnyttes af efterretningstjenester med gigantbudgetter. Nu kan alle gøre det – og så er man nødt til at reagere,” siger Caudhill til teknologimagasinet Wired.
Kilde: Wired