BadUSB

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Die Flexibilität von USB ermöglicht es, eine Vielzahl unterschiedlicher Geräte über eine gemeinsame Schnittstelle ohne Authentifizierung einzubinden. Seit jeher ist auch bekannt, dass Antivirenprogramme Schutz gegen schadhafte Dateien bieten können, die über USB-Sticks transportiert werden. Mit der Absicht, möglichst unentdeckt einen Computer zu beeinflussen, wurden USB-Geräte aber so manipuliert, dass sie von gegenwärtigen Schutzmaßnahmen nicht als Bedrohung erkannt werden können. In einer neuen Studie hat das Zentrum für sichere Informationstechnologie Austria (A-SIT) das mögliche Gefahrenpotential analysiert.

Schließt man ein USB-Gerät an einen Computer an, wird es anhand der Informationen identifiziert, die es über sich mitteilt. Der Computer vertraut darauf, dass das USB-Gerät wirklich das ist, was es zu sein verspricht. Der Benutzer wiederum nimmt an, dass sich das Gerät so verhält, wie es zu erwarten wäre. Dass diese Annahme trügerisch sein kann, wurde im August 2014 durch den „BadUSB“-genannten Angriff von Nohl et al.[1] vorgeführt, über den sich USB-Geräte vollständig zweckentfremden lassen.

Angriffsmöglichkeiten

Physikalisch präparierte Geräte, die grundsätzlich dafür entwickelt werden, um in Systeme unbemerkt einzugreifen, ermöglichen Angreifern beispielsweise die Aufzeichnung aller Tastatureingaben („Hardware-Keylogger“). In ähnlicher Weise können programmierbare Eingabegeräte etwa eine zusätzliche Tastatur vortäuschen und dazu genutzt werden, Eingaben automatisiert vorzunehmen. Angreifer können so z.B. schadhafte Dateien auf ein System herunterladen und ausführen oder auch persönliche Informationen (wie Passwörter) an fremde Server übertragen.

Das Verhalten von USB-Geräten lässt sich beeinflussen, wenn die Firmware des Geräts austauschbar ist. Angreifer können dadurch die ausgewiesene Funktionalität des Geräts an eigene Vorstellungen anpassen und so z.B. einen USB-Stick einem System gegenüber als Tastatur, Webcam, Netzwerkadapter, etc. ausgeben. Bei diesem, als „BadUSB“-bekannten Angriff, wird ausgenutzt, dass USB-Geräte grundsätzlich neu programmiert werden können, ohne dass man dafür Schutzmechanismen umgehen muss. Weil der Angriff keine Schwachstelle eines Betriebssystems ausnützt, kann er auch durch ein Update nicht unterbunden werden.


Relevanz der Bedrohung

Um ein physikalisch präpariertes USB-Gerät einzusetzen, wie etwa einen „Hardware Keylogger“, ist kurzzeitig ein physikalischer Zugriff auf den betreffenden Computer notwendig. Das Gerät muss von einem Angreifer also in böser Absicht angeschlossen werden.

Obwohl im Rahmen des „BadUSB“-Angriffs die Manipulierbarkeit der Firmware nur anhand von USB-Sticks mit einem spezifischen Mikrocontroller demonstriert wurde, lässt sich die dahinterstehende Angriffsmethodik mit erheblichem Aufwand auch auf andere USB-Geräte anwenden. Dies funktioniert allerdings nur dann, wenn der Hersteller des Geräts prinzipiell eine Funktion zum Überschreiben der Firmware vorsieht.

Softwarelösungen, die Schutz vor derartigen Angriffen bieten sollen, werden zumeist erst dann wirksam, wenn das Betriebssystem bereits gestartet ist. Eine Infektion des Systems mit Malware könnte dann aber bereits stattgefunden haben.

In der von A-SIT durchgeführten Kurzstudie wird ausführlich auf die technischen Aspekte eingegangen, die für einen möglichen Angriff gegeben sein müssen. Auf eine kurze Einführung in den USB-Standard folgt eine Zusammenfassung bekannter Angriffsmöglichkeiten. Praktische Fallbeispiele dienen dazu, die Problematik und mögliche Tragweite eines „BadUSB“-Angriffs zu veranschaulichen. Abschließend wird der Einsatz möglicher Schutzmechanismen diskutiert.[2]


Schutzmöglichkeiten

Gegen eine Vielzahl von "BadUSB"-Angriffen hat die Firma G-Data ein kostenloses Schutztool entwickelt[3].


Einzelnachweis

  1. https://srlabs.de/badusb/
  2. DsiN-Blog: "Bedrohung durch manipulierte USB-Geräte"
  3. "Kostenloses G-Data-Tool schützt vor BadUSB-Angriffen" in heise.de/Security vom 04.September.2014


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 23. Februar 2015 um 14:29 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl und Johannes Feichtner.

Anzeigen