בפעם הבאה שאתם מחברים למחשב שלכם דיסק און קי זה עלול להיות בעל תוצאות הרסניות למחשב שלכם. שני חוקרי אבטחה פרסמו דיווח על פירצת אבטחה שעלולה להשפיע על כל זכרונות ה-USB שנמכרו עד היום. באמצעות הפירצה, יוכלו האקרים להחדיר למחשבים קודים זדוניים, לגנוב מהם מידע, לגרום להם לבצע פעולות מסוכנות ועוד.
הפירצה נמצאה במקור על ידי חוקר האבטחה קרסטן נול, שהדגים אותה בכנס ההאקרים Black Hat. וכאן נדרש הסבר: לזכרונות USB יש Firmware, מעין מיקרו-מערכת-הפעלה-חומרתית שדואגת לכך שהמחשב והתקן הזכרון יידעו לדבר זה עם זה. נול גילה שניתן לתכנת מחדש את ה-Firmware הזה ולגרום לו לבצע פעולות זדוניות.
מכיוון שהשינוי מתבצע בבסיס ההתקן, מחיקת כל מידע ואפילו פירמוט שלו לא יעזרו. ברגע שההתקן שלכם עבר את הפריצה הוא יוכל לפעול נגדכם. בגלל ההשלכות התאורתיות ההרסניות, נול לא פרסם את קוד הפריצה. אך שני חוקרי אבטחה נוספים הצליחו לשחזר את הפירצה והחליטו לשחרר את הקוד לאוויר העולם. “אנשים חושבים שזה רק אמצעי אחסון”, אמר אחד מהם: “הם לא מבינים שיש להם מחשב שניתן לתכנות בידיים”.
שני החוקרים ביקרו גם את החלטתו של נול לשמור את פרטי הפריצה לעצמו. “אם אתה מתכוון להוכיח שיש פירצה, עליך לשחרר את המידע כדי שאנשים יוכלו להתגונן נגד זה”, הם אמרו. לדבריהם, מחקר נוסף של הפירצה יוכל לספק למשתמשים פרטים חדשים כיצד להתגונן בפניה, ואולי גם יצליח לשכנע את יצרניות ה-USB לנקוט באמצעים ש”יחסנו” את ההתקנים העתידיים שהם ייצרו מהפירצה הנ”ל.
הבעיה היא ששחרור של מידע כזה הוא דו כיווני, והוא יכול לפעול גם לרעת המשתמש הפשוט. האקרים זדוניים יוכלו להשתמש במידע ולמצוא דרכים חדשות לנצל אותו. כך למשל, יוכלו האקרים לגרום לפירצה לשכפל את עצמה: ברגע שתחברו זכרון USB פרוץ למחשב הוא “ידביק” אותו, ומאותו רגע כל זכרון USB אחר שתחברו אליו יידבק בפירצה הנ”ל.
“יש גבול מאוד דק בין לשחרר מידע שמסביר מה אפשרי לבין הפיכת האפשר הזה לקל בשביל אנשים”, מסבירים החוקרים על ההחלטה שלהם לשחרר את המידע למרות הסיכונים: “זו דילמה מוסרית. אנחנו רוצים להיות בטוחים שאנחנו בצד הנכון של הדברים”.
לדברי החוקרים, אם יצרניות ה-USB יתחילו להטמיע אמצעים כדי לחסום את הפירצה, יכולים לקחת 10 שנים עד שכל הזכרונות הנוכחיים, שפגיעים לפריצה, יצאו מהשוק, ונוכל להיות בטוחים לגמרי מפניה. סביר להניח שעד שזה יקרה כבר יתגלו מיליון ואחת פירצות אבטחה נוספות.
דרך Wired | תמונה: Shutterstock