21.11.2014 Fachartikel: Bedrohung durch manipulierte USB-Geräte

Die Flexibilität von USB ermöglicht es, eine Vielzahl unterschiedlicher Geräte über eine gemeinsame Schnittstelle ohne Authentifizierung einzubinden. Seit jeher ist auch bekannt, dass Antivirenprogramme Schutz gegen schadhafte Dateien bieten können, die über USB-Sticks transportiert werden. Mit der Absicht, möglichst unentdeckt einen Computer zu beeinflussen, wurden in der jüngeren Vergangenheit manipulierbare USB-Geräte vorgezeigt, die von gegenwärtigen Schutzmaßnahmen nicht als Bedrohung erkannt werden können. In einer neuen Studie hat A-SIT das mögliche Gefahrenpotential analysiert.

Schließt man ein USB-Gerät an einen Computer an, wird es anhand der Informationen identifiziert, die es über sich mitteilt. Der Computer vertraut darauf, dass das USB-Gerät wirklich das ist, was es zu sein verspricht. Benutzerinnen und Benutzer wiederum nehmen an, dass sich das Gerät so verhält, wie es zu erwarten wäre. Dass diese Annahme trügerisch sein kann, wurde im August 2014 durch den „BadUSB“-genannten Angriff von Nohl et al. vorgeführt, über den sich USB-Geräte vollständig zweckentfremden lassen.

Angriffsmöglichkeiten

Physikalisch präparierte Geräte, die grundsätzlich dafür entwickelt werden, um in Systeme unbemerkt einzugreifen, ermöglichen Angreiferinnen und Angreifern beispielsweise die Aufzeichnung aller Tastatureingaben („Hardware-Keylogger“). In ähnlicher Weise können programmierbare Eingabegeräte etwa eine zusätzliche Tastatur vortäuschen und dazu genutzt werden, Eingaben automatisiert vorzunehmen. Angreiferinnen und Angreifer können so z.B. schadhafte Dateien auf ein System herunterladen und ausführen oder auch persönliche Informationen (wie Passwörter) an fremde Server übertragen.

Das Verhalten von USB-Geräten lässt sich beeinflussen, wenn die Firmware des Geräts austauschbar ist. Angreiferinnen und Angreifer können dadurch die ausgewiesene Funktionalität des Geräts an eigene Vorstellungen anpassen und so z.B. einen USB-Stick einem System gegenüber als Tastatur, Webcam, Netzwerkadapter, etc. ausgeben. Bei diesem, als „BadUSB“-bekannten Angriff, wird ausgenutzt, dass USB-Geräte grundsätzlich ohne zu umgehende Schutzmechanismen neu programmiert werden können. Weil der Angriff keine Schwachstelle eines Betriebssystems ausnützt, kann er auch durch ein Update nicht unterbunden werden.

Wie akut ist die Bedrohung?

Um ein physikalisch präpariertes USB-Gerät einzusetzen, wie etwa einen „Hardware Keylogger“, ist kurzzeitig ein physikalischer Zugriff auf den betreffenden Computer notwendig. Das Gerät muss von einer Angreiferin oder einem Angreifer also in böser Absicht angeschlossen werden.

Obwohl im Rahmen des „BadUSB“-Angriffs die Manipulierbarkeit der Firmware nur anhand von USB-Sticks mit einem spezifischen Mikrocontroller demonstriert wurde, lässt sich die dahinterstehende Angriffsmethodik mit erheblichem Aufwand auch auf andere USB-Geräte anwenden. Dies funktioniert allerdings nur dann, wenn der Hersteller des Geräts prinzipiell eine Funktion zum Überschreiben der Firmware vorsieht.

Softwarelösungen, die Schutz vor derartigen Angriffen bieten sollen, werden zumeist erst dann wirksam, wenn das Betriebssystem bereits gestartet ist. Eine Infektion des Systems mit Malware könnte dann aber bereits stattgefunden haben.

In der von A-SIT durchgeführten Kurzstudie wird ausführlich auf die technischen Aspekte eingegangen, die für einen möglichen Angriff gegeben sein müssen. Auf eine kurze Einführung in den USB-Standard folgt eine Zusammenfassung bekannter Angriffsmöglichkeiten. Praktische Fallbeispiele dienen dazu, die Problematik und mögliche Tragweite eines „BadUSB“-Angriffs zu veranschaulichen. Abschließend wird der Einsatz möglicher Schutzmechanismen diskutiert.

Weiterführende Informationen:

Datum der Veröffentlichung: 21.11.2014

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria