USB (צילום: אימג'בנק / Thinkstock)
רגע, אל תכניסו! אילוסטרציה | צילום: אימג'בנק / Thinkstock

במקומות עבודה לא מעטים, בעיקר במגזר הממשלתי והבטחוני, נוהגים לאסור הכנסת זכרונות ניידים למחשבים. החשש הוא שכל עובד יביא את הלפטופ, הטאבלט או הסמארטפון שלו, יחבר אותו לרשת הפנימית ולמחשבי הארגון וידביק אותם בנוזקות ובוירוסים שהוריד בבית. עתה חושפים 2 חוקרי אבטחה, עד כמה מסוכן יכול להיות הזכרון הנייד.

הפרצה, ששמה BadUSB, נחשפה לראשונה לפני כחודשיים על ידי מספר חוקרים גרמניים, אולם עתה הדגימו חוקרי האבטחה אדם קואודיל וברנדון ווילסון כיצד ניתן לנצל אותה, ואף שחררו את הקוד שיצרו. במסגרת כנס האקינג ואבטחה שנערך בסוף השבוע האחרון בקנטאקי, הדגימו השניים כיצד הדביקו את דיסק-און-קי על ידי "הזרקה" של קוד לחלק בו שאותו לא ניתן לפרמט.

עוד ב-Geektime:

על פי החוקרים, ניתן להדביק כל זיכרון נייד בעל רכיב של חברת Phison הטאיוונית. החדשות הרעות הן שעל פי החוקרים, לא מעט יצרנים משתמשים ברכיב הזה, כמו למשל זכרונות ניידים של חברת Patriot, שנמכרים גם בארץ. ברגע שזיכרון נייד שכזה מוכנס למחשב כלשהו, הוא מדביק אותו וכל דיסק-און-קי אחר שיוכנס למחשב לאחר מכן. זיכרון נייד נגוע יכול לזייף הקלדה, לשנות קבצים, להעתיק קבצים לתוך אזור "בלתי נראה" על גבי הזיכרון עצמו ועוד. בין השאר, הדגימו החוקרים כיצד הם מתגברים ללא בעיות על הסיסמה של התקן הזיכרון הנייד ומעתיקים אליו קבצים לאזור הנסתר.

על פי מומחי האבטחה, לא ניתן לייצר טלאי אבטחה כנגד הנוזקה הזו, משום שהיא עושה שימוש בדרך הבסיסית בה פועל התקן ה-USB. לכן, תמוה מאוד כיצד הרשו לעצמם החוקרים להעלות את הקוד שכתבו לאתר GitHub, שמאחסן פרויקטים בקוד פתוח. כך הקוד זמין להורדה ולשימוש לכל דורש. מנגד, הם טוענים שלדעתם "הכל חייב להיות פתוח וציבורי, אסור שיישאר סודי". בינתיים, הפתרון היחידי הזמין הוא פשוט לא להשתמש בזכרונות ניידים. בימים של נפחי איחסון גדולים בענן ומהירות העברת נתונים שהולכת וגדלה, זה הרע במיעוטו.

הכתבה התפרסמה במקור באתר Geektime