यूएसबी उपकरणों में एक खतरनाक सुरक्षा दोष कम्पनियों को खतरे में क्यों डाल रहा है

यूएसबी उपकरणों में एक खतरनाक सुरक्षा दोष कम्पनियों को खतरे में क्यों डाल रहा है
यूएसबी डिवाइसेज़ और उनके उपयोगकर्ता जो कंप्यूटर उनसे जुड़ते हैं, वे दुर्भावनापूर्ण कोड के प्रति कमजोर होते हैं जो पूरी तरह से उपयोगकर्ता के कंप्यूटर पर ले जा सकते हैं, ड्राइव पर संग्रहीत फ़ाइलों को हेरफेर कर सकते हैं और इंटरनेट ट्रैफ़िक को रीडायरेक्ट कर सकते हैं। सुरक्षा शोधकर्ताओं कर्स्टन नोहल और जेकोब लेले ने पहली बार लास वेगास में ब्लैकहॉट सुरक्षा सम्मेलन में हमले का प्रदर्शन किया जहां उन्होंने एक बड़ी भीड़ को दिखाया कि उनके मैलवेयर फर्मवेयर में कैसे एम्बेड करता है जो यूएसबी उपकरणों को कंप्यू

यूएसबी डिवाइसेज़ और उनके उपयोगकर्ता जो कंप्यूटर उनसे जुड़ते हैं, वे दुर्भावनापूर्ण कोड के प्रति कमजोर होते हैं जो पूरी तरह से उपयोगकर्ता के कंप्यूटर पर ले जा सकते हैं, ड्राइव पर संग्रहीत फ़ाइलों को हेरफेर कर सकते हैं और इंटरनेट ट्रैफ़िक को रीडायरेक्ट कर सकते हैं।

सुरक्षा शोधकर्ताओं कर्स्टन नोहल और जेकोब लेले ने पहली बार लास वेगास में ब्लैकहॉट सुरक्षा सम्मेलन में हमले का प्रदर्शन किया जहां उन्होंने एक बड़ी भीड़ को दिखाया कि उनके मैलवेयर फर्मवेयर में कैसे एम्बेड करता है जो यूएसबी उपकरणों को कंप्यूटर से संचार करने की अनुमति देता है, वायर्ड रिपोर्ट

नोहल और लेले ने अपने कोड को प्रकाशित नहीं किया, जिसे बुडसबी कहा जाता है, डर के लिए इसका इस्तेमाल नापाक उद्देश्यों के लिए किया जाएगा; लेकिन अब दो अन्य शोधकर्ताओं ने पैंडोरा के बॉक्स खोल दिए हैं।

संबंधित:

एफबीआई से एप्पल, Google: आपकी नई गोपनीयता नीतियां लोगों को कम सुरक्षित बना रही हैं पिछले हफ्ते डर्बीकॉन हैकर सम्मेलन में दो अन्य शोधकर्ताओं, एडम कैडिल और ब्रैंडन विल्सन ने प्रदर्शन किया था कि वे बैडयूएसबी मैलवेयर और उसके बाद किसी को भी देखने के लिए गिथूब पर इसे प्रकाशित किया।

& ldquo; हमें विश्वास है कि यह सब सार्वजनिक होना चाहिए इसे वापस नहीं लिया जाना चाहिए। इसलिए हम जो कुछ भी प्राप्त कर रहे हैं, & rdquo; कैडिल ने डर्बीकॉन में कहा & Ldquo; यदि आप यह साबित करने जा रहे हैं कि एक दोष है, तो आपको सामग्री को रिलीज करने की आवश्यकता है ताकि लोग इसके खिलाफ बचाव कर सकें। & Rdquo;

कैडिल का वक्तव्य सुरक्षा शोधकर्ताओं के बीच एक दार्शनिक विभाजन को दर्शाता है: जो लोग सार्वजनिक रूप से लोगों की रक्षा के लिए छिपे हुए खामियों को रखने के लिए चुनते हैं, और दूसरों को, जो कि उनके सॉफ्टवेयर का शोषण प्रकाशित करते हैं, उन पर दबाव डालने का सबसे अच्छा तरीका है। उद्योग जल्दी से सुरक्षा खामियों को ठीक करने के लिए

वायर्ड < के साथ एक साक्षात्कार में, कौडिल ने कहा कि यहां तक ​​कि अगर यह खास दोष उद्यान किस्म के हैकरों द्वारा उपयोग नहीं किया जा रहा है, तो उनका मानना ​​है कि एनएसए, पहले से ही क्षमता हो सकती है और इसका उपयोग कर रहे हैं संबंधित: 'बैश' बग दिल से बड़ा हो सकता है

& ldquo; आपको दुनिया को साबित करना होगा कि यह व्यावहारिक है, कि कोई भी ऐसा कर सकता है ... जो वास्तविक मुद्दे को ठीक करने के लिए विनिर्माण पर दबाव डालता है, & rdquo; कैडिल ने कहा। & Ldquo; यदि यह तय करने वाला है, तो यह केवल ब्लैकहैट पर एक बात से अधिक होना चाहिए। & Rdquo; क्योंकि मैलवेयर डिवाइस के फर्मवेयर पर संग्रहीत है, जो डिवाइस की बुनियादी कार्यक्षमता को नियंत्रित करता है, यह पता लगाना बहुत मुश्किल है और स्टोरेज सामग्री को साफ़ करके भी हटाया नहीं जा सकता। कैडिल ने यह भी दिखाया कि कैसे मैलवेयर का उपयोग फ़ाइलों को छिपाने और पासवर्ड-सुरक्षित सुरक्षा सुविधाओं को गुप्त रूप से अक्षम करने के लिए किया जा सकता है।

पिछले हफ्ते के प्रदर्शन से पहले नोहल ने

वायर्ड

कहा कि उसने माना कि यह मूल रूप से अनपेक्षित होना है।इन प्रकार के हमलों के खिलाफ कम करने के लिए उन्होंने कहा, पूरी सुरक्षा वास्तुकला को जमीन से पुनर्निर्माण करना होगा, जो कि निर्माता के हस्ताक्षर के बिना बदला नहीं जा सकता। फिर भी, उन्होंने कहा, यह कमजोर उपकरणों से छुटकारा पाने के लिए एक दशक से भी ज्यादा समय ले सकता है और सभी नई बग को बाहर कर सकता है।

दोनों शोध टीमों ने फिसन, एक ताइवानी कंपनी और सबसे बड़ी यूएसबी डिवाइस निर्माताओं में से एक के द्वारा बनाई गई यूएसबी डिवाइसों से फर्मवेयर को इंजीनियर रिवर्स किया है। भले ही आप फाइनन डिवाइस का उपयोग न करें, आपका कंप्यूटर अभी भी कमजोर है, खासकर यदि आप अन्य उपयोगकर्ताओं के साथ फाइलों को स्वैप करते हैं या किसी व्यावसायिक सम्मेलन में एक नया फ्री अंगूठे ड्राइव उठाते हैं।

संबंधित:

जेपी मॉर्गन हैक 83 मिलियन होम और लघु व्यवसायों का खुलासा हुआ डेटा