BadUSB: USB-Schwachstelle jetzt öffentlich, wie groß ist die Gefahr?

3. Oktober 2014 Kategorie: Backup & Security, Hardware, geschrieben von: Sascha Ostermaier

Ende Juli wurde die BadUSB-Lücke bekannt. Die beiden Deutschen Karsten Nohl und Jakob Lell zeigten auf der BlackHat-Konferenz, das sich die Firmware von USB-Geräten jeglicher Art so manipulieren lässt, dass quasi kein Schutz mehr auf dem Rechner besteht und jede Malware, Keylogging-Software oder sonstiges unerkannt auf dem System installiert werden kann. Das Ganze geriet wieder recht schnell in Vergessenheit, da die beiden keinen entsprechenden Code veröffentlichten.

Fotolia_33425328_S_copyright

Jetzt haben Adam Caudill und Brandon Wilson auf der DerbyCon erklärt, dass sie BadUSB erfolgreich reverse-engineered haben. Anders als Noll und Lell, haben Caudill und Wilson allerdings keine großen Skrupel und veröffentlichten den entsprechenden Code bei GitHub. Sprich, die Lücke kann ab sofort ohne großen Aufwand ausgenutzt werden.

Die Gefahr ist dabei größer, als man vielleicht meinen möchte. Die USB-Firmware lässt sich umprogrammieren, dagegen kann man nichts machen. Der komplette USB-Standard müsste um einen Sicherheitsaspekt erweitert werden, was nicht nur ewig dauern kann, sondern auch alle Geräte ohne diese Sicherheit weiter gefährlich macht.

Der effektivste Schutz ist, sich nicht mehr auf USB-Geräte einzulassen, die USB-Ports am Rechner verstauben zu lassen. Das ist praktisch heutzutage nicht möglich, auch wenn wir uns gerade in Richtung drahtlose Welt zubewegen. Auch wenn der Druck auf die Industrie durch die Veröffentlichung des Codes nun stark steigt, kann es sehr lange dauern, bis eine Lösung dafür gefunden ist.

Wie geht Ihr mit BadUSB um? No risk, no fun, oder werdet Ihr künftig mehr darauf achten, was Ihr so an Euren Computer anschließt? Falls ja, woran macht Ihr das dann fest? Man sieht es einem USB-Gerät ja nicht an, dass es manipuliert wurde.



Quelle: The Verge |
Über den Autor: Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 7059 Artikel geschrieben.

20 Kommentare

Tom 3. Oktober 2014 um 09:55 Uhr

Hey, der Computer ist heutzutage ein digitales „Ich“. Darum sollte man dieser Lücke schon Beachtung schenken. Ich werde künftig von der USB-Massenware die Finger lassen. Dazu zählen USB-Sticks, USB-Festplatten und div. USB Kleinkram. Besonders wenn dieser auf Ebay / Amazon vertickt wird und aus Fernost stammt.

Externe Festplatten werden künftig nur noch als NAS angeschafft. Da man aber nicht ganz an USB vorbei kommt, müsste man mal schauen, ob ein Netzwerk USB Hub, wie der DIGITUS DA-70251 eine Lösung sein kann. Da der Datenaustausch dann über das Netzwek läuft, könnten die Security suiten einen solchen Angriff durchaus erkennen und blocken können.

Ein richtiges Problem stellt diese Lücke aber für Firmen und Behörden dar. Maus und Tastatur sind in der Regel per USB angeschlossen. Und so lassen sich die USB-Ports nicht einfach abschalten.

quorn23 3. Oktober 2014 um 10:17 Uhr

Ich kauf mir jetzt einfach Sandisk Aktien, falls die ganze Welt nun auf SD Karten umsteigt. 😀

Hotti 3. Oktober 2014 um 10:28 Uhr

Ohne USB geht bei mir gar nichts.

TheK 3. Oktober 2014 um 10:28 Uhr

Das ganze funktioniert grundsätzlich mit jeder Schnittstelle, denn jedes Addon-Gerät besitzt irgendeine Art von Firmware, die vor dem Laden nicht überprüft werden kann. Der einzige Schutz dagegen wäre die völlige Abschaffung jeglicher Anschlussoptionen – insofern: Leben wir damit.

Andreas 3. Oktober 2014 um 10:37 Uhr

BTW:
Macs wären nur betroffen, wenn sich der Angreifer im internen Netz befindet und das lokale Benutzerkonto Admin-Rechte besitzt. Und selbst dann würden die Firewall und/oder LittleSnitch den Angriff melden.

Herr Hauser 3. Oktober 2014 um 10:53 Uhr

Diese Hysterie wieder. Warum nicht gleich komplett auf den PC, das Tablet oder Smartphone verzichten und natürlich auf das Internet. Ist doch eh alles Teufelszeug.

Patrick Bäder 3. Oktober 2014 um 11:01 Uhr

Also ohne USB geht es kaum wenn nicht sogar gar nicht.

Aber wenn das USB Gerät, in welcher Form auch immer intern vorab über die Firmware gehackt werden muss, so sehe ich da eigentlich „nur“ eine eventuelle Gefahr bei dubiosen Händlern. Original versiegelte Markenware von einem offiziellen Händler sollte wohl keine Gefahr darstellen würde ich mal sagen.

Hyper 3. Oktober 2014 um 11:10 Uhr

Ich hätte da eine Idee um mit dem Problem umzugehen:

Man könnte bei Anschluss eines USB Geräts anzeigen was genau es ist und anfordert und der Benutzer müsste es erst abnicken.

Klar, Henne-Ei Problem mit USB Mäusen, aber durchaus irgendwie implementierbar und Sicherheit bringend.

Ralf 3. Oktober 2014 um 11:33 Uhr

@Hyper

Nennt sich USB-Wächter. Nur der Admin kann neue USB-Geräte zulassen und man sieht als was sie sich anmelden wollen.

Klar Tastatur und Maus bleiben ein Problem bei einem neu aufsetzen des Systems.

René Fischer 3. Oktober 2014 um 11:44 Uhr

@Ralf: Sicher das USB-Wächter die auch die Ausführung der kompromittierten Firmware verhindert? Nur weil es das Gerät blockt, heißt es noch lange nicht das nicht doch irgendwas ausgeführt wird.

René Fischer 3. Oktober 2014 um 11:46 Uhr

@sharcy: Zu blöd das GData nirgendwo erläutert, wie das genau funktioniert. Irgendwie ein bisschen magisch, das die die einzigen sind die dazu etwas rausbringen ohne gleichzeitig zu sagen wie es funktioniert.

Ted 3. Oktober 2014 um 12:15 Uhr

@Sascha

1. Kann bei der Lücke auch die Firmware eines bisher sauberen USB-Geräts umprogrammiert werden?

2. Wenn ja. ist dadurch die Gefahr eigentlich höher, als wenn ich ein komprimiertes Programm starte? In beiden Fällen müsste eine Aktion der Malware ausgeführt werden, die (irgendwann) erkannt werden könnte.

John 3. Oktober 2014 um 17:29 Uhr

Ich verstehe den Artikel ehrlich gesagt nicht?
Wird das USB Gerät manipuliert oder das USB auf dem Mainboard am PC?

Ich mein die Chance eine USB Platte zu kaufen mit Hack ist ja 0 wenn man keine gebrauchten kauft?

Werner 3. Oktober 2014 um 20:09 Uhr

@John: Ich denke da gerade an USB-Sticks, die auf Messen oder so als Werbemittel verteilt werden, oder den Stick, den man in die Hand gedrückt bekommt mit der Bitte „doch schnell mal die Datei auszudrucken“. Fällt dann wohl unter die Kategorie Wirtschaftsspionage …

Heiner 3. Oktober 2014 um 20:42 Uhr

Kann die Firmware des USB-Sticks ohne mein Wissen verändert werden, wenn ich ihn an einen fremden PC anstecke (und ich am PC mit normalen Benutzerrechten sitze)?

Jo 3. Oktober 2014 um 20:44 Uhr

@Andreas, Begründung und Quelle bitte.

hafnera 4. Oktober 2014 um 08:49 Uhr

Wäre ein Zwischenspeicher bei dem man sich sicher ist dass er ungefährlich ist nicht eine Lösung? Also zB etwas das die Daten vorlädt und dann erst an den Rechner gibt.

Andreas 5. Oktober 2014 um 11:14 Uhr

@ Jo:
Ich habe mich mit der Frage an die Entwickler von obdev.at gewandt und eine sehr detaillierte und plausible Antwort erhalten. Der gesamte Inhalt würde hier den Rahmen sprengen, daher habe ich ihn oben zusammengefasst. In den Rubber-Ducky-Videos bei Youtube befindet sich der Angreifer auch immer im selben Netz wie der Angegriffene.

GwenDragon 18. Oktober 2014 um 11:55 Uhr

Und was macht man bei USB-Readern?
Manche melden sich ja als externe Laufwerke und habe garantiert auch Firmware.
Haben die auch das Problem?


Kommentar verfassen



Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.