USB-Sticks weiter sicher nutzen

BadUSB – so groß ist die Gefahr wirklich

09.02.2015 von Frank-Michael Schlede und Thomas Bär
Meldungen zu Sicherheitslücken schrecken die Anwender regelmäßig auf. Doch das BadUSB-Problem könnte sich als besonders folgenreich erweisen: Hintergründe, Fragen und Antworten der Sicherheitsspezialisten.

Alljährlich ist die amerikanische Spielerstadt für eine Woche das Mekka für Security-Experten und Hacker, wenn die Sicherheitskonferenz Black Hat ihre Tore öffnet. Wie schon in den Jahren zuvor, hatte auch dieses Treffen der Sicherheitsfachleute und sogenannten Hacker wieder Vorträge zu interessanten und teilweise auch beängstigenden Themen zu bieten. Das Spektrum reichte dabei von Angriffen auf VDI-Lösungen über Android-Schwachstellen bis hin zu Angriffen auf die Sicherheit von normalen Haushaltsgeräten.

Das Problem: Jeder USB-Stick besitzt einen eigenen Controller und Firmware in einem Bereich, der für den normalen Nutzer und das Betriebssystem so nicht sichtbar ist - Manipulationen auch nicht.
Foto: Security Research Labs

Besonders viel Aufsehen erregte der Vortrag von drei deutschen Sicherheitsspezialisten: Karsten Nohl, Sascha Krißler und Jakob Lell, Fachleute des Berliner Unternehmens Security Research Labs, stellten in ihrem Vortrag "BadUSB - On accessories that turn evil" eine Möglichkeit vor, die Firmware von USB-Geräten erfolgreich zu manipulieren. Sie verdeutlichten, dass aktuell noch kaum bis überhaupt keine Abwehrmaßnahmen gegen einen Angriff existieren, der auf diese Weise durchgeführt wird.

Wir haben uns die Unterlagen der Berliner Forscher angeschaut, stellen die Hintergründe dazu vor und haben bekannte Sicherheitsfirmen, die sich unter anderem auch auf die Absicherung solcher USB-Endgeräte verstehen, nach ihrer Einschätzung der Gefährdungslage gefragt. Zudem wollten wir von diesen Firmen beziehungsweise ihren Spezialisten wissen, ob und wie ihre Software helfen kann, einen derartigen Angriff zu verhindern. Wer den Vortrag der Forscher in Las Vegas selbst sehen möchte, findet weiter unten im Text das aufgezeichnete Video.

USB Rubber Ducky
Ein „Ahnvater“ der jetzt vorgeführten BadUSB-Angriffe: Hier kommt allerdings eine spezielle Hardwarelösung zum Einsatz, die dann einen USB-Stick modifiziert, so dass er unbemerkt Malware verbreiten kann.
SafeToGo
Könnte eine Lösung für die Zukunft sein: Verschlüsselte, zertifizierte USB-Medien (hier die Software des USB-Sticks „SafeToGo“), bei denen auch die Firmware zertifiziert ist und bei denen ausschließlich digital signierte Firmware-Updates möglich sind.
Das BadUSB-Problem
Diese Übersicht zeigt das grundsätzliche Problem: Jeder USB-Stick besitzt einen eigenen Controller und Firmware in einem Bereich, der für den normalen Nutzer und das Betriebssystem so nicht sichtbar ist.
Windows-Bordmittel als Schutz
Grundsätzliche Möglichkeiten zur Kontrolle von Endgeräten mit Wechselmedien bieten bereits die Windows-Bordmittel: So können Administratoren mittels Gruppenrichtlinien auch Whitelists für USB-Geräte anlegen.
USB-Geräte und ihre Identität
Ein weiterer gewichtiger Faktor: USB-Geräte können sich mit unterschiedlichen Identitäten gegenüber den Host-Geräten ausweisen. So kann sich ein Gerät auch ab- und mit einer anderen Identität über die verschiedenen Schritte wieder anmelden.
Bad DNS-Stick
Ein Beispiel, das ebenfalls auf der Black Hat Konferenz gezeigt wurde: Ein „BAD DNS Stick“, der die DNS-Einstellung „verbiegt“, indem er einen USB Ethernet Adapter emuliert.
Kontrolle externer Devices
Kontrolle der externen Geräte mittels Software: Wie hier, bei der Lösung von Trend Micro müssen Administratoren sicherstellen, dass diese Kontrollfunktion für alle Geräte eingeschaltet ist.
Regel-Editor als Schutz
Wie soll das System auf die Verbindung mit externen Datenspeichern reagieren: Viele Sicherheitslösung stellen dazu – wie hier die Software von Eset – einen Regel-Editor bereit
DriveLock
Eine Möglichkeit, die von fast allen Hersteller als ein gewisser aber leider nicht vollständiger Schutz auch gegen Angriffe mittels der BadUSB-Techniken angesehen wird, sind die sogenannten Whitelists: Hier ein Beispiel aus der Software „DriveLock“.
Bedingte Kontrolle
Könnte eine Lösung für die Zukunft sein: Verschlüsselte, zertifizierte USB-Medien (hier die Software des USB-Sticks „SafeToGo“), bei denen auch die Firmware zertifiziert ist und bei denen ausschließlich digital signierte Firmware-Updates möglich sind.

BadUSB - was ist eigentlich das Problem?

USB-Geräte aller Art haben in den vergangenen Jahren eine enorme Verbreitung erlangt: Von Mobiltelefonen über Kameras bis hin zu Massenspeichern aller Art - die Geräte finden über einen USB-Anschluss Kontakt zu den Computern und damit auch zu den Netzwerken. Ferner haben USB-Sticks in allen Größen fast alle früher gängigen Medien zum lokalen Datentausch ersetzt, sodass andere Medien wie Disketten mittlerweile obsolet geworden sind. Dass grundsätzlich eine Gefahr von USB-Sticks beziehungsweise Geräten ausgehen kann, die via USB-Anschluss auch mit der Unternehmens-IT in Verbindung treten, ist für Administratoren und IT-Verantwortliche keine neue Information. Das Problem des "auf dem Parkplatz gefundenen USB-Sticks", der dann von einem unbedarften Mitarbeiter einfach an seinem PC angesteckt wird und so Schadsoftware verbreitet, ist bekannt und wird von vielen Lösungen rund um das Thema Endpoint-Security behandelt.

Auch die von den Kryto-Forscher von Security Research Labs vorgestellte grundsätzliche Funktionalität wurde schon früher im Internet auf diversen Seiten demonstriert. Ein Beispiel dafür ist das sogenannte Keystroke-Injection-Tool USB Rubberducky, das allerdings im Gegensatz zu den auf der Black-Hat-Konferenz vorgeführten Problemen mit einer speziellen Hardware arbeitet. Das ist beim BadUSB-Szenario nicht mehr notwendig: Die Berliner Forscher haben auf der amerikanischen Konferenz bewiesen, dass es möglich ist, Firmware von USB-Controllern und damit das BIOS von USB-Devices auszulesen und auch zu verändern. Die Kommunikation des USB-Controllers mit dem Host-System wird hier komplett kontrolliert.

So kann dann der USB-Stick oder auch das Android-Telefon durch die manipulierte Firmware zu einer Netzwerkkarte oder zu einer Tastatur werden und den Datenverkehr umleiten oder manipulieren. Auf diese Weise lassen sich dann leider auch bereits vorhandene USB-Geräte umprogrammieren und damit nachträglich kompromittieren. Entsprechende Verfahren, die beispielsweise die Firewire-Schnittstellen für ähnliche Angriffe nutzen, sind unter der Bezeichnung DMA-Attack ebenfalls seit einiger Zeit bekannt.

Wie hoch ist aktuell die reelle Gefahr?

Udo Schneider, Security Evangelist Dach bei Trend Micro, fasste für uns die Gefährdung, die von einer BadUSB-Attacke ausgehen kann, prägnant zusammen: "Aus den vorliegenden Informationen ergibt sich leider auch, dass es keine Möglichkeit gibt, die Daten, die der Controller dem HostSystem übermittelt, zu verifizieren beziehungsweise die Integrität oder Validität dieser zu verifizieren. Kurzum: Es kann alles gefälscht werden - damit ist USB-Devices de facto nicht mehr zu trauen!"

Ein Beispiel für einen Angriff via USB: ein „BAD DNS Stick“, der die DNS-Einstellung „verbiegt“, indem er einen USB Ethernet Adapter emuliert.
Foto: Security Research Labs

Allerdings wiesen die von uns befragten Spezialisten auch darauf hin, dass ihre Einschätzungen aktuell auf dem Vortrag der Mitarbeiter von Security Research Labs sowie den von ihnen bereitgestellten Unterlagen beruhen und dass sie bis jetzt selbst noch keine entsprechenden Tests der Exploits durchführen konnten.

Gibt es Schutz vor dieser Bedrohung?

In dem von Karsten Nohl gezeigten Szenario simuliert ein modifizierter USB-Stick eine USB-Tastatur und sendet Tastaturbefehle an den Rechner, die im Resultat den Download einer bestimmten Malware bewirken. Wir wollten von den Experten der Sicherheitsfirmen wissen, ob und wie ihre Sicherheitslösungen einen derartigen Angriff erkennen und verhindern könnten. Stefan Ortloff, Virus Analyst bei Kaspersky Lab, führte dazu aus, dass beispielsweise die Unternehmenslösung "Kaspersky Security for Business" eine solche Bedrohung erkennen könne, wenn die dann aktive Malware ein bestimmtes Verhalten aufweist oder bereits eine Signatur in der Datenbank des Anbieter besitzt.

Grundsätzliche Möglichkeiten zur Kontrolle von Endgeräten mit Wechselmedien bieten bereits die Windows-Bordmittel. So können Administratoren mittels Gruppenrichtlinien auch Whitelists für USB-Geräte anlegen.
Foto: Schlede/Bär

Ein Download beziehungsweise die Installation und Weiterverteilung der Malware wäre so verhindert. Damit schützt eine derartige Lösungen aber nur vor den Gefahren, die von der Software ausgehen, die sich auf dem USB-Gerät befindet. Die Sicherheitsexperten von Eset haben in diesem Zusammenhang darauf hingewiesen, dass ein Workaround darin bestehen kann, Firmware-Updates in der Hardware grundsätzlich zu unterbinden, da diese benötigt werden, um schädliche Aktionen auf den Host-Systemen auszuführen. Allerdings schränken sie auch sogleich ein, dass dieses Vorgehen vom Administrator verlangt, regelmäßig zu überprüfen, ob neue Angriffspunkte in der vorhandenen Firmware entdeckt wurden, und diese dann manuell auf den aktuellen Stand zu bringen.

Was können Anwender und Firmen tun?

Die meisten Lösungen für die Endpoint Security - sowohl die Lösung von Kaspersky als auch Lösungen der Firmen Trend Micro, CenterTools, Eset und Lumension - beinhalten eine Form der "Device Control", die den Zugriff auf unbekannte externe Datenträger blocken kann.

Ein wichtiger Faktor: USB-Geräte können sich mit unterschiedlichen Identitäten gegenüber den Host-Geräten ausweisen. So kann sich ein Gerät abmelden und mit einer anderen Identität über die verschiedenen Schritte wieder anmelden.
Foto: Security Research Labs

Alle von uns näher betrachteten Softwarelösungen arbeiten mit einem "Whitelisting", sodass auch weiterhin die benötigten USB-Geräte wie Tastatur und Mäuse an den Desktops der Nutzer eingesetzt werden können. Dabei können in der Regel dann nur noch Geräte mit einer bestimmten ID verwendet werden - eine Restriktion, die unter Windows prinzipiell auch mittels Bordmitteln mithilfe der Gruppenrichtlinien durchzusetzen ist.

Allerdings besteht hier das grundsätzliche Problem, dass USB insgesamt 21 Geräteklassen (einschließlich einer Basisklasse) kennt, sodass zur Identifikation eines externen Geräts ganz unterschiedliche Identifizierungsmerkmale herangezogen werden können. Dabei kann es sich dann zum Beispiel um einen der folgenden Identifier handeln:

Nach Meinung von Stefan Ortloff von Kaspersky ist das Spoofing einer solche ID ebenfalls möglich, jedoch sei beim Whitelisting einer konkreten ID ein entsprechender Treffer durch ein solches Spoofing sehr unwahrscheinlich. Allerdings ist - und darüber sind sich die Experten auch einig - es nicht möglich, festzustellen, ob eine USB-ID nun gefälscht oder wirklich "echt" ist.

Otfried Köllhofer, Produktmanager bei CenterTools Software, sieht speziell die von seiner Firma angebotene Lösung DriveLock Device Control als eine Möglichkeit für Unternehmen, sich vor derartigen Angriffen zu schützen. Auch bei dieser Software können beliebige USB-Geräte sowie Geräteklassen mittels White- und Blacklisting gesperrt werden. Er hebt dabei hervor, dass eine derartige Sperrung weitaus feingranularer vorgenommen werden kann, wenn sich die entsprechenden Geräte genauer identifizieren lassen. Weiterhin ermöglicht es diese Software, das Netzwerk-Bridgeing zu unterbinden, sodass ein Angriff mittels eines "Bad DNS Stick", wie er ebenfalls von den Mitarbeitern von Security Research Labs demonstriert wurde, keinen Erfolg mehr hätte. Bei dieser Attacke "spooft" das manipulierte USB-Gerät den Ethernet Adapter, sodass DNS-Anfragen auf einen Server des Angreifers umgeleitet werden, während der restliche Internetverkehr weiter über die normale Netzwerkverbindung geleitet wird.

Wie soll das System auf die Verbindung mit externen Datenspeichern reagieren? Viele Sicherheitslösungen stellen dazu – wie hier die Software von Eset – einen Regel-Editor bereit.
Foto: Eset

Anbieter Lumension hat nach Aussagen von Andreas Müller, Regional Sales Director D/A/CH, in die eigene Lösung "Lumension Device Control" eine automatische Key-Logger-Erkennung integriert, die bereits einen gewissen Grundschutz ermöglicht. Speziell für Angriffe mit solchen Geräten, die dem Betriebssystem ein Eingabegerät wie eine Tastatur vorspiegeln, wurde mit dem Release LDC 4.5 SR3 vom 7.8.2014 eine spezielle Abwehrfunktion für Keyboard Emulatoren wie "Rubber Ducky" implementiert. Hierbei wird der Nutzer dann unter anderem explizit auf das "Anstecken einer zweiten Tastatur" hingewiesen.

Die Sicherheitsspezialisten der Firma Sophos haben uns ebenfalls ein Statement zu der Gefährdung durch BadUSB zugeschickt: Darin heben sie hervor, dass derartige Angriffe zurzeit noch nicht "in the wild" gesichtet wurden, sie diese Form der Attacke aber trotzdem als ernsthaftes Problem für die nahe Zukunft betrachten. Außerdem schließen sie sich der Meinung der anderen von uns befragten Anbieter an, dass die augenblicklichen Lösungen zum Blocken von USB-Geräten nur einen unzureichenden bis keinen Schutz vor dieser Art von Angriffen bieten können.

Kontrolle der externen Geräte mittels Software: Wie hier bei der Lösung von Trend Micro müssen Administratoren sicherstellen, dass diese Kontrollfunktion für alle Geräte eingeschaltet ist.
Foto: Trend Micro

Die Firma ProSoft bietet mit der Konfigurations- und Managementlösung SafeConsole und der Funktion Device LockOut ebenfalls eine einfache Endpoint-Security-Lösung an, die verhindert, dass nicht autorisierte Geräte benutzt werden können. Die White- beziehungsweise Blacklists basieren dabei auf der Abfrage von PID (Product ID), VID (VendorID), USB-Klasse und/oder Seriennummern. Allerdings gibt Robert Korherr, CEO von ProSoft, in seinem Statement zu bedenken, dass diese Verfahren eben nicht mehr ausreichen, seit es mit BadUSB gelungen ist, die USB-Klasse zu verändern: "Normalerweise wird die USB-Klasse HID (Human Interface Devices) in Data-Leakage-Prevention (DLP)-Software erlaubt. Wahrscheinlich können mit etwas Aufwand auch die Werte PID, VID und die Unique ID verändert werden, und dann greifen diese Verfahren eben nicht mehr zu 100 Prozent", weiß er zu berichten.

Als eine Alternative stellt dieser Anbieter seine Lösung SafeToGo in den Mittelpunkt: Dabei handelt es sich um einen 256-Bit AES per Hardware verschlüsselten USB-Stick. Dieser kann nur über digital signierte Firmware-Updates und die entsprechende Firmware-Updater Software aktualisiert werden. Dabei wird laut Hersteller die Überprüfung der Signierung ausschließlich über den manipulationssicheren On-Board-Controller auf dem USB-Stick vorgenommen. Da die Sticks in Schweden entwickelt werden, brauchen Nutzer auch kaum Angst vor NSA-Backdoors haben.

Fazit: Mehr Vorsicht denn je ist geboten

Alle von uns befragten Experten sind sich darin einig, dass es im Zusammenhang mit BadUSB noch genügend ungeklärte Bereiche gibt. So weist Robert Korherr von ProSoft zu Recht darauf hin, dass bei diesem Szenario neben dem Controller zusätzlich auch die jeweilige Firmware und die Technologie des Firmware-Updates entscheidend sind. In diesen Bereichen setzen aber die Hersteller ganz unterschiedliche Versionen ein. Laut der Aussagen von Security Research Labs sind hauptsächlich Controller von drei Herstellern bei den USB-Speicher-Sticks im Einsatz - ein Punkt, der ebenfalls noch genauerer Klärung bedarf.

Aber insgesamt sollten Anwender sowohl im privaten Bereich als auch ganz besonders alle IT-Profis im Firmenumfeld die Aussage von Udo Schneider von Trend Micro beherzigen: "Grundsätzlich ist bei fremden USB-Geräten heute noch größere Umsicht (als ohnehin schon!) notwendig. Das Schreckensszenario von früher, der USB-Stick mit Malware auf dem Unternehmensparkplatz, hat seinen Schrecken somit nicht verloren, sondern ist im Gegenteil aktueller denn je. Mit BadUSB ist ein kompromittierter Stick nicht einmal (beziehungsweise nur sehr schwer) nachweisbar."

Die Lösung, USB-Geräte schlicht nicht mehr einzusetzen oder diese Anschlüsse unbrauchbar zu machen, ist weder im Unternehmensalltag noch im privaten Umfeld umsetzbar, da Geräte, die mit einem USB-Anschluss ausgestattet sind, einfach in allen Bereichen zu finden ist. Als mögliche, aber nicht endgültig sichere Maßnahmen bleiben nach aktuellem Stand folgende Vorsichtsmaßnahmen:

(cvi)