In augustus j.l. werd het verhaal de wereld ingeschopt dat usb-apparaten en -sticks gevaarlijke lekken vormden via welke oneerzame lieden je computer kunnen overnemen: BadUSB. Vandaag woensdag 12 november vertelde kraker Karsten Nohl op het PacSec-congres in de Japanse hoofdstad, dat dat maar voor de helft van de usb-apparatuur geldt. Het blijkt alleen lastig uit te maken welke helft.
Nohl maakte de kwetsbaarheid van de zomer bekend. Nu hadden ze alle USB-apparaten van de acht grootste verkopers USB-chips onderzocht en bleek de zaak een stuk minder alarmerend dan een paar maanden geleden werd voorgesteld, maar daarom niet eenvoudiger. Of iets bestand is tegen BadUSB ligt aan de in de USB-apparatuur gebruikte chips, maar het is voor een eenvoudige computeraar moeilijk uit te maken wat wel en wat niet deugt. Nohl: “Het is niet zo dat je kunt zeggen dit is een Cypress-chip of dit is een Phison-chip (de belangrijkste leveranciers; as). Je kunt dat alleen doen door de stekker open te maken. We kunnen kunnen geen lijst geven van veilige apparaten.” Nohl en zijn kompanen keken naar, zoals gezegd, acht USB-chips of beter gezegd naar de mogelijkheid die chips te herprogrammeren (daar zit het lek): Phison, Alcor, Renesas, ASmedia, Genesys Logic, FTDI, Cypress en Microchip. Het resultaat was, vriendelijk gezegd, gemengd. Alle Phison-chips waren kwetsbaar voor herprogrammering, die van ASmedia niet. Bij Genesys was de situatie gemengd: USB-apparaten die met versie 2.0 werkten waren ok, maar die met 3.0 werkten niet. De rest was uiterst gemengd. Het probleem is dat de bedrijven die gebruik maken van USB-chips niet altijd dezelfde USB-chip-leverancier gebruiken. Vandaar dus de onzekerheid.
Nohl heeft wel een overzicht gemaakt van goed en slecht, maar dat helpt niet BadUSB de wereld uit te helpen, zolang fabrikanten niet zeggen van welke USB-chips ze gebruik maken. Vooralsnog heeft een fabrikant van de chips, Ironkey, laten weten dat de zogeheten firmware (net niet ingebakken programmatuur) van de USB-chips is beveiligd met een versleutelde handtekening, waardoor illegaal herprogrammeren onmogelijk wordt. De grote fabrikanten van USB-chips lijken alleen maar per ongeluk ongevoelig voor herprogrammering, zo stelt Nohl. Dit bijgestelde verhaal was een reactie op de kritiek op Nohl dat hij zich alleen had beziggehouden met de grootste fabrikant Phison. Die kritiek was terecht, volgens Nohl, maar dit uitgebreidere onderzoek maakt het er niet makkelijker op.
Bron: Wired