Ada apakah dengan tahun 2014 ini? Habis Heartbleed dan Shellshock terbitlah BadUSB yang ramai diperbincangkan pakar keamanan. Kalau kedua kelemanan keamanan komputer sebelumnya berada di dunia software maka BadUSB adalah celah keamanan pada hardware, dan sesuai namanya menyerang menggunakan perangkat USB.
BadUSB ini adalah celah keamanan pada hardware memanfaatkan firmware USB yang bisa melaporkan diri sebagai perangkat apa saja walaupun itu tidak benar, dan parahnya lagi belum ada cara untuk mencegah atau memperbaiki kelemahan ini.
Celah keamanan ini dilaporkan oleh Karsten Nohl seorang ahli kriptografi dan Jakob Lell dari SRLabs pada ajang BlackHat di Las Vegas. Anda bisa menonton presentasinya pada video berikut:
Apa bahaya BadUSB? Ada beberapa konsep eksploitasi yang dimungkinkan menggunakannya:
- Sebuah perangkat USB Flashdisk biasa bisa diprogram menjadi keyboard dan saat dipasangkan akan otomatis menjalankan perintah berbahaya seperti mendownload software dan mengeksekusinya sekaligus.
- Berpura – pura menjadi Network card dan kemudian membajak situs melalui DNSatau menggantikannya dengan situs palsu, dan bisa juga menyadap setiap komunikasi yang terjadi.
- Menambahkan sebuah program berbahaya hanya dengan memasang USB Flashdisk di komputer tujuan tanpa terdeteksi sebelum masuk ke sistem operasi.
- Mengubah handphone Android menjadi router internet yang berbahaya.
Saat ini selain mematikan USB port belum ada solusi yang mudah diterapkan, dan karena kode PoC (Proof of Concept) sudah dirilis oleh penelitinya di GitHub dengan lisensi open source maka anda bisa mengeceknya sendiri. Hal ini dilakukan supaya banyak orang yang mencari tahu bagaimana cara terbaik mengatasinya dan memacu secepat mungkin mendapatkan solusinya.