Denne falske USB-laderen kan stjele passordene dine i det skjulte
Kan bli et «nyttig» hackerredskap.
Folk som arbeider med datasikkerhet jobber ikke bare med å utvikle løsninger for å oppdage og forhindre datakriminalitet, men også noen ganger med å komme hackere i «forkjøpet» ved å utvikle teknologi som potensielt kan brukes av hackere. Slik teknologi kalles gjerne «proof of concept» og kan for eksempel ta form som apper til mobiltelefoner og andre ting.
Nå melder nettstedet VentureBeat om et annet «proof of concept» utviklet av en sikkerhetsforsker, og denne gangen er det snakk om et stykke fysisk maskinvare som potensielt kan gjøre stor skade dersom den havner i hendene til hackere.
Dingsen det er snakk om i dette tilfellet er simpelthen en tastelogger forkledd som en USB-vegglader. Den ble bygget av sikkerhetsforskeren Samy Kankar og har fått det passende navnet «KeySweeper».
Retter seg mot trådløse Microsoft-tastaturer
KeySweeper består blant annet av en Arduino-mikrokontroller og er i stand til å fange opp tastetrykk fra folk som befinner seg i nærheten. Det er verdt å merke seg at enheten kun er laget for å snappe opp tastetrykkene til trådløse tastaturer produsert av Microsoft, og har altså således noe begrenset anvendelse i utgangspunktet.
Dingsen er imidlertid relativt sofistikert og er i stand til å både dekryptere, loggføre og vidererapportere tastetrykkene. Den kan også lagre tastetrykkene både lokalt på enheten selv og på nettet. I tillegg kan den sende advarsler til brukeren via SMS hver gang noen i nærheten taster inn bestemte fraser, eller «utløserord» slik som nettadresser eller brukernavn.
På denne måten er det altså mulig for brukeren å snappe opp PIN-koder eller passord som brukere taster inn etter å først ha tastet inn utløserordet. Enheten logger alle trykkene i sanntid og har også et innebygget batteri som gjør at det fungerer selv om den ikke er plugget inn i kontakten.
Oppdatert 11.00: I motsetning til hva Kankar hevder, kan Microsoft nå fortelle at sikkerhetsproblemet ikke gjelder for en rekke av deres produkter, samtidig som de ikke skal være alene om å være rammet: Microsoft at
– Tastaturer fra flere produsenter påvirkes av denne enheten. Hva Microsoft-tastaturer angår, er kunder som bruker Bluetooth-kompatible tastaturer beskyttet mot slike angrep. I tillegg er brukere av våre 2,4 GHz trådløse tastaturer designet fra 2011 og fremover også beskyttet, fordi disse tastaturene bruker Advanced Encryption Standard (AES) teknologi, forteller Christine Korme, kommunikasjonsdirektør i Microsoft Norge, til Tek.no.
Kan lages svært billig
Kankar bygget KeySweeper-enheten over en periode på noen få dager og benyttet deler som til sammen vil koste opptil 80 dollar, altså rundt 620 kroner, om man blant annet ønsker stor lokal lagringsplass. Den kan imidlertid bygges for helt ned til kun 10 dollar, rundt 77 kroner, dersom man ikke trenger den «beste» maskinvaren.
For å sette enheten i stand til å «hacke» de trådløse Microsoft-tastaturene kjøpte Kankar simpelthen et tastatur og demonterte det for å finne ut hvilke brikker som befant seg på innsiden, i tillegg til å utnytte et antall tekniske sikkerhetssvakheter i maskinvaren. Enheten fungerer trolig med samtlige Microsoft-tastaturer.
VentureBeat var i kontakt med Microsoft i forbindelse med saken, og selskapet sier at de er klar over enhetens eksistens og at de i er i ferd med å se nærmere på saken. Tek.no var også i kontakt med Microsoft Norge før denne saken ble publisert, som på det tidspunktet viste til kommentaren gitt til VentureBeat.
Nettfisking er en annen stor sikkerhetstrussel: Vi tok en prat med Nasjonal Sikkerhetsmyndighet om hvordan de jobber med dette problemet »
