Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Bedrohung durch manipulierte USB-Geräte
Die Flexibilität von USB ermöglicht es, eine Vielzahl unterschiedlicher Geräte über eine gemeinsame Schnittstelle ohne Authentifizierung einzubinden. Seit jeher ist auch bekannt, dass Antivirenprogramme Schutz gegen schadhafte Dateien bieten können, die über USB-Sticks transportiert werden. Mit der Absicht, möglichst unentdeckt einen Computer zu beeinflussen, wurden in der jüngeren Vergangenheit manipulierbare USB-Geräte vorgezeigt, die von gegenwärtigen Schutzmaßnahmen nicht als Bedrohung erkannt werden können. In einer neuen Studie hat A‑SIT das mögliche Gefahrenpotential analysiert.
Schließt man ein USB-Gerät an einen Computer an, wird es anhand der Informationen identifiziert, die es über sich mitteilt. Der Computer vertraut darauf, dass das USB-Gerät wirklich das ist, was es zu sein verspricht. Der Benutzer wiederum nimmt an, dass sich das Gerät so verhält, wie es zu erwarten wäre. Dass diese Annahme trügerisch sein kann, wurde im August 2014 durch den „BadUSB“-genannten Angriff von Nohl et al. vorgeführt, über den sich USB-Geräte vollständig zweckentfremden lassen.
Angriffsmöglichkeiten
Physikalisch präparierte Geräte, die grundsätzlich dafür entwickelt werden, um in Systeme unbemerkt einzugreifen, ermöglichen Angreifern beispielsweise die Aufzeichnung aller Tastatureingaben („Hardware-Keylogger“). In ähnlicher Weise können programmierbare Eingabegeräte etwa eine zusätzliche Tastatur vortäuschen und dazu genutzt werden, Eingaben automatisiert vorzunehmen. Angreifer können so z.B. schadhafte Dateien auf ein System herunterladen und ausführen oder auch persönliche Informationen (wie Passwörter) an fremde Server übertragen.
Das Verhalten von USB-Geräten lässt sich beeinflussen, wenn die Firmware des Geräts austauschbar ist. Angreifer können dadurch die ausgewiesene Funktionalität des Geräts an eigene Vorstellungen anpassen und so z.B. einen USB-Stick einem System gegenüber als Tastatur, Webcam, Netzwerkadapter, etc. ausgeben. Bei diesem, als „BadUSB“-bekannten Angriff, wird ausgenutzt, dass USB-Geräte grundsätzlich ohne zu umgehende Schutzmechanismen neu programmiert werden können. Weil der Angriff keine Schwachstelle eines Betriebssystems ausnützt, kann er auch durch ein Update nicht unterbunden werden.
Wie akut ist die Bedrohung?
Um ein physikalisch präpariertes USB-Gerät einzusetzen, wie etwa einen „Hardware Keylogger“, ist kurzzeitig ein physikalischer Zugriff auf den betreffenden Computer notwendig. Das Gerät muss von einem Angreifer also in böser Absicht angeschlossen werden.
Obwohl im Rahmen des „BadUSB“-Angriffs die Manipulierbarkeit der Firmware nur anhand von USB-Sticks mit einem spezifischen Mikrocontroller demonstriert wurde, lässt sich die dahinterstehende Angriffsmethodik mit erheblichem Aufwand auch auf andere USB-Geräte anwenden. Dies funktioniert allerdings nur dann, wenn der Hersteller des Geräts prinzipiell eine Funktion zum Überschreiben der Firmware vorsieht.
Softwarelösungen, die Schutz vor derartigen Angriffen bieten sollen, werden zumeist erst dann wirksam, wenn das Betriebssystem bereits gestartet ist. Eine Infektion des Systems mit Malware könnte dann aber bereits stattgefunden haben.
In der von A‑SIT durchgeführten Kurzstudie wird ausführlich auf die technischen Aspekte eingegangen, die für einen möglichen Angriff gegeben sein müssen. Auf eine kurze Einführung in den USB-Standard folgt eine Zusammenfassung bekannter Angriffsmöglichkeiten. Praktische Fallbeispiele dienen dazu, die Problematik und mögliche Tragweite eines „BadUSB“-Angriffs zu veranschaulichen. Abschließend wird der Einsatz möglicher Schutzmechanismen diskutiert.
Im August 2014 berichtete Bernd Bosch, DATEV, im Blog ebenfalls über neue Angriffsszenarien durch USB-Sticks.
Bild: © Viktor Mildenberger / pixelio.de

Johannes Feichtner ist seit 2014 an der TU Graz als Projektmitarbeiter im Bereich IT-Sicherheit tätig. Im Rahmen seiner Aktivitäten erstellt er für das Zentrum für Sichere Informationstechnologie — Austria (A‑SIT) unter anderem Sicherheitsanalysen. A‑SIT ist ein gemeinnütziger Verein, der den Gesetzgeber und Behörden bei der Informationssicherheit unterstützt. Mitglieder sind das Österreichische Bundesministerium für Finanzen, die Österreichische Nationalbank, die Bundesrechenzentrum GmbH und die TU Graz.

Neueste Kommentare