BadUSB: USB-Schwachstelle jetzt öffentlich, wie groß ist die Gefahr?
Ende Juli wurde die BadUSB-Lücke bekannt. Die beiden Deutschen Karsten Nohl und Jakob Lell zeigten auf der BlackHat-Konferenz, das sich die Firmware von USB-Geräten jeglicher Art so manipulieren lässt, dass quasi kein Schutz mehr auf dem Rechner besteht und jede Malware, Keylogging-Software oder sonstiges unerkannt auf dem System installiert werden kann. Das Ganze geriet wieder recht schnell in Vergessenheit, da die beiden keinen entsprechenden Code veröffentlichten.
Jetzt haben Adam Caudill und Brandon Wilson auf der DerbyCon erklärt, dass sie BadUSB erfolgreich reverse-engineered haben. Anders als Noll und Lell, haben Caudill und Wilson allerdings keine großen Skrupel und veröffentlichten den entsprechenden Code bei GitHub. Sprich, die Lücke kann ab sofort ohne großen Aufwand ausgenutzt werden.
Die Gefahr ist dabei größer, als man vielleicht meinen möchte. Die USB-Firmware lässt sich umprogrammieren, dagegen kann man nichts machen. Der komplette USB-Standard müsste um einen Sicherheitsaspekt erweitert werden, was nicht nur ewig dauern kann, sondern auch alle Geräte ohne diese Sicherheit weiter gefährlich macht.
Der effektivste Schutz ist, sich nicht mehr auf USB-Geräte einzulassen, die USB-Ports am Rechner verstauben zu lassen. Das ist praktisch heutzutage nicht möglich, auch wenn wir uns gerade in Richtung drahtlose Welt zubewegen. Auch wenn der Druck auf die Industrie durch die Veröffentlichung des Codes nun stark steigt, kann es sehr lange dauern, bis eine Lösung dafür gefunden ist.
Wie geht Ihr mit BadUSB um? No risk, no fun, oder werdet Ihr künftig mehr darauf achten, was Ihr so an Euren Computer anschließt? Falls ja, woran macht Ihr das dann fest? Man sieht es einem USB-Gerät ja nicht an, dass es manipuliert wurde.
https://www.gdatasoftware.com/en-usb-keyboard-guard
Hey, der Computer ist heutzutage ein digitales „Ich“. Darum sollte man dieser Lücke schon Beachtung schenken. Ich werde künftig von der USB-Massenware die Finger lassen. Dazu zählen USB-Sticks, USB-Festplatten und div. USB Kleinkram. Besonders wenn dieser auf Ebay / Amazon vertickt wird und aus Fernost stammt.
Externe Festplatten werden künftig nur noch als NAS angeschafft. Da man aber nicht ganz an USB vorbei kommt, müsste man mal schauen, ob ein Netzwerk USB Hub, wie der DIGITUS DA-70251 eine Lösung sein kann. Da der Datenaustausch dann über das Netzwek läuft, könnten die Security suiten einen solchen Angriff durchaus erkennen und blocken können.
Ein richtiges Problem stellt diese Lücke aber für Firmen und Behörden dar. Maus und Tastatur sind in der Regel per USB angeschlossen. Und so lassen sich die USB-Ports nicht einfach abschalten.
Ich kauf mir jetzt einfach Sandisk Aktien, falls die ganze Welt nun auf SD Karten umsteigt. 😀
Ohne USB geht bei mir gar nichts.
Das ganze funktioniert grundsätzlich mit jeder Schnittstelle, denn jedes Addon-Gerät besitzt irgendeine Art von Firmware, die vor dem Laden nicht überprüft werden kann. Der einzige Schutz dagegen wäre die völlige Abschaffung jeglicher Anschlussoptionen – insofern: Leben wir damit.
BTW:
Macs wären nur betroffen, wenn sich der Angreifer im internen Netz befindet und das lokale Benutzerkonto Admin-Rechte besitzt. Und selbst dann würden die Firewall und/oder LittleSnitch den Angriff melden.
Diese Hysterie wieder. Warum nicht gleich komplett auf den PC, das Tablet oder Smartphone verzichten und natürlich auf das Internet. Ist doch eh alles Teufelszeug.
Also ohne USB geht es kaum wenn nicht sogar gar nicht.
Aber wenn das USB Gerät, in welcher Form auch immer intern vorab über die Firmware gehackt werden muss, so sehe ich da eigentlich „nur“ eine eventuelle Gefahr bei dubiosen Händlern. Original versiegelte Markenware von einem offiziellen Händler sollte wohl keine Gefahr darstellen würde ich mal sagen.
Ich hätte da eine Idee um mit dem Problem umzugehen:
Man könnte bei Anschluss eines USB Geräts anzeigen was genau es ist und anfordert und der Benutzer müsste es erst abnicken.
Klar, Henne-Ei Problem mit USB Mäusen, aber durchaus irgendwie implementierbar und Sicherheit bringend.
@Hyper
Nennt sich USB-Wächter. Nur der Admin kann neue USB-Geräte zulassen und man sieht als was sie sich anmelden wollen.
Klar Tastatur und Maus bleiben ein Problem bei einem neu aufsetzen des Systems.
@Ralf: Sicher das USB-Wächter die auch die Ausführung der kompromittierten Firmware verhindert? Nur weil es das Gerät blockt, heißt es noch lange nicht das nicht doch irgendwas ausgeführt wird.
@sharcy: Zu blöd das GData nirgendwo erläutert, wie das genau funktioniert. Irgendwie ein bisschen magisch, das die die einzigen sind die dazu etwas rausbringen ohne gleichzeitig zu sagen wie es funktioniert.
@Sascha
1. Kann bei der Lücke auch die Firmware eines bisher sauberen USB-Geräts umprogrammiert werden?
2. Wenn ja. ist dadurch die Gefahr eigentlich höher, als wenn ich ein komprimiertes Programm starte? In beiden Fällen müsste eine Aktion der Malware ausgeführt werden, die (irgendwann) erkannt werden könnte.
Ich verstehe den Artikel ehrlich gesagt nicht?
Wird das USB Gerät manipuliert oder das USB auf dem Mainboard am PC?
Ich mein die Chance eine USB Platte zu kaufen mit Hack ist ja 0 wenn man keine gebrauchten kauft?
@John: Ich denke da gerade an USB-Sticks, die auf Messen oder so als Werbemittel verteilt werden, oder den Stick, den man in die Hand gedrückt bekommt mit der Bitte „doch schnell mal die Datei auszudrucken“. Fällt dann wohl unter die Kategorie Wirtschaftsspionage …
Kann die Firmware des USB-Sticks ohne mein Wissen verändert werden, wenn ich ihn an einen fremden PC anstecke (und ich am PC mit normalen Benutzerrechten sitze)?
@Andreas, Begründung und Quelle bitte.
Wäre ein Zwischenspeicher bei dem man sich sicher ist dass er ungefährlich ist nicht eine Lösung? Also zB etwas das die Daten vorlädt und dann erst an den Rechner gibt.
@ Jo:
Ich habe mich mit der Frage an die Entwickler von obdev.at gewandt und eine sehr detaillierte und plausible Antwort erhalten. Der gesamte Inhalt würde hier den Rahmen sprengen, daher habe ich ihn oben zusammengefasst. In den Rubber-Ducky-Videos bei Youtube befindet sich der Angreifer auch immer im selben Netz wie der Angegriffene.
Und was macht man bei USB-Readern?
Manche melden sich ja als externe Laufwerke und habe garantiert auch Firmware.
Haben die auch das Problem?