Bedrohung durch mani­pu­lierte USB-Geräte

Die Fle­xi­bi­lität von USB ermög­licht es, eine Vielzahl unter­schied­licher Geräte über eine gemeinsame Schnitt­stelle ohne Authen­ti­fi­zierung ein­zu­binden. Seit jeher ist auch bekannt, dass Anti­vi­ren­pro­gramme Schutz gegen schad­hafte Dateien bieten können, die über USB-Sticks trans­por­tiert werden. Mit der Absicht, mög­lichst unent­deckt einen Com­puter zu beein­flussen, wurden in der jün­geren Ver­gan­genheit mani­pu­lierbare USB-Geräte vor­ge­zeigt, die von gegen­wär­tigen Schutz­maß­nahmen nicht als Bedrohung erkannt werden können. In einer neuen Studie hat A‑SIT das mög­liche Gefah­ren­po­tential analysiert.

Schließt man ein USB-Gerät an einen Com­puter an, wird es anhand der Infor­ma­tionen iden­ti­fi­ziert, die es über sich mit­teilt. Der Com­puter ver­traut darauf, dass das USB-Gerät wirklich das ist, was es zu sein ver­spricht. Der Benutzer wie­derum nimmt an, dass sich das Gerät so verhält, wie es zu erwarten wäre. Dass diese Annahme trü­ge­risch sein kann, wurde im August 2014 durch den „BadUSB“-genannten Angriff von Nohl et al. vor­ge­führt, über den sich USB-Geräte voll­ständig zweck­ent­fremden lassen.

Angriffs­mög­lich­keiten

Phy­si­ka­lisch prä­pa­rierte Geräte, die grund­sätzlich dafür ent­wi­ckelt werden, um in Systeme unbe­merkt ein­zu­greifen, ermög­lichen Angreifern bei­spiels­weise die Auf­zeichnung aller Tas­ta­tur­ein­gaben („Hardware-Key­­­logger“). In ähn­licher Weise können pro­gram­mierbare Ein­ga­be­geräte etwa eine zusätz­liche Tas­tatur vor­täu­schen und dazu genutzt werden, Ein­gaben auto­ma­ti­siert vor­zu­nehmen. Angreifer können so z.B. schad­hafte Dateien auf ein System her­un­ter­laden und aus­führen oder auch per­sön­liche Infor­ma­tionen (wie Pass­wörter) an fremde Server übertragen.

Das Ver­halten von USB-Geräten lässt sich beein­flussen, wenn die Firmware des Geräts aus­tauschbar ist. Angreifer können dadurch die aus­ge­wiesene Funk­tio­na­lität des Geräts an eigene Vor­stel­lungen anpassen und so z.B. einen USB-Stick einem System gegenüber als Tas­tatur, Webcam, Netz­werk­ad­apter, etc. aus­geben. Bei diesem, als „BadUSB“-bekannten Angriff, wird aus­ge­nutzt, dass USB-Geräte grund­sätzlich ohne zu umge­hende Schutz­me­cha­nismen neu pro­gram­miert werden können. Weil der Angriff keine Schwach­stelle eines Betriebs­systems aus­nützt, kann er auch durch ein Update nicht unter­bunden werden.

Wie akut ist die Bedrohung?

Um ein phy­si­ka­lisch prä­pa­riertes USB-Gerät ein­zu­setzen, wie etwa einen „Hardware Key­logger“, ist kurz­zeitig ein phy­si­ka­li­scher Zugriff auf den betref­fenden Com­puter not­wendig. Das Gerät muss von einem Angreifer also in böser Absicht ange­schlossen werden.

Obwohl im Rahmen des „BadUSB“-Angriffs die Mani­pu­lier­barkeit der Firmware nur anhand von USB-Sticks mit einem spe­zi­fi­schen Mikro­con­troller demons­triert wurde, lässt sich die dahin­ter­ste­hende Angriffs­me­thodik mit erheb­lichem Aufwand auch auf andere USB-Geräte anwenden. Dies funk­tio­niert aller­dings nur dann, wenn der Her­steller des Geräts prin­zi­piell eine Funktion zum Über­schreiben der Firmware vorsieht.

Soft­ware­lö­sungen, die Schutz vor der­ar­tigen Angriffen bieten sollen, werden zumeist erst dann wirksam, wenn das Betriebs­system bereits gestartet ist. Eine Infektion des Systems mit Malware könnte dann aber bereits statt­ge­funden haben.

In der von A‑SIT durch­ge­führten Kurz­studie wird aus­führlich auf die tech­ni­schen Aspekte ein­ge­gangen, die für einen mög­lichen Angriff gegeben sein müssen. Auf eine kurze Ein­führung in den USB-Standard folgt eine Zusam­men­fassung bekannter Angriffs­mög­lich­keiten. Prak­tische Fall­bei­spiele dienen dazu, die Pro­ble­matik und mög­liche Trag­weite eines „BadUSB“-Angriffs zu ver­an­schau­lichen. Abschließend wird der Einsatz mög­licher Schutz­me­cha­nismen diskutiert.

Im August 2014 berichtete Bernd Bosch, DATEV, im Blog eben­falls über neue Angriffs­sze­narien durch USB-Sticks.

Bild: © Viktor Mil­den­berger / pixelio.de