Informatiker am kanadischen Royal Military College of Canada (RMC) haben ein USB-Keyboard gebaut, das als Hardware-Trojaner fungiert. Wird es an einen Computer angeschlossen, lädt es einige Programme auf den PC, um dann über vermeintlich legitime USB-Kanäle Daten zu stehlen. Da die Tastatur für das System als harmloses Eingabegerät erscheint, funktioniert dieser Angriff trotzt etwaiger Endpoint-Security-Lösungen, so die Forscher in der Zeitschrift Future Generation Computer Systems.
"Dieser Ansatz ist durchaus interessant, wirkt aber eher spezialisiert", meint Ralf Benzmüller, Leiter der G Data SecurityLabs. Gezielte Insider-Angriffe mit manipulierten USB-Geräten sind für ihn vorstellbar, doch zum Massenphänomen dürfte sich die Angriffsmethode nach Ansicht des Experten nicht entwickeln.
Blindes USB-Vertrauen
Ein Problem, das sich das Trojaner-Keyboard zunutze macht, ist den RMC-Forschern zufolge, dass das USB-Protokoll einfach darauf vertraut, dass sich Ein- und Ausgabegeräte wie Tatstatur und Lautsprecher selbst korrekt identifizieren. "Das USB-Protokoll hat in dieser Hinsicht tatsächlich Lücken, da nur Geräteklassen definiert werden", bestätigt Benzmüller. Das machen sich die Kanadier bei ihrer Konzeptdemonstration zunutze.
Das Keyboard geht mehrstufig vor. Es lädt zunächst in Form scheinbar normaler Tasteneingaben Code auf den angeschlossenen Rechner. Die Software sucht nach Dateien mit bestimmten Schlüsselwörtern und gibt deren Speicherort über einen Kanal aus, der vermeintlich harmlos die LED-Anzeigen auf dem Keyboard steuert. Ein Prozessor im Keyboard entscheidet, welche Dateien näher abgefragt werden. Dies geschieht über einen USB-Kanal, der für das System nach gewöhnlichem Audio-Output aussieht. Letztendlich kann die Tatstatur eine Datei via zuvor installiertem Backdoor online übertragen.
Verschleierter Datenklau
Eine Trojaner-Tastatur wäre in der Praxis wohl keine sehr große Gefahr. "Die meisten Nutzer würden ihr Keyboard wohl wieder erkennen", erklärt Benzmüller. Doch der Hardware-Trojaner "könnte wie jedes harmlose Objekt aussehen, beispielsweise ein USB-Tassenwärmer", so die RMC-Forscher. Das sei für Insider-Angriffe in Unternehmen interessant. "Ein entsprechend gezielter Angriff wäre auf diese Art sicher machbar", bestätigt der G-Data-Experte.
Prinzipiell ist es für Sicherheitslösungen schwer, USB-Ein- und Ausgabegeräte so zu überwachen, dass sie einen Hardware-Trojaner erkennen können, so die RMC-Informatiker. Dass gute Endpoint-Security-Lösungen wirklich gänzlich ausgehebelt werden können, glaubt Benzmüller aber nicht. "Damit das ein Massenproblem wird, müsste wohl ein Angreifer die Produktion von Geräten entsprechen unterwandern", betont er weiters. Da ein zusätzlicher Chip in einer Tastatur bei der Qualitätskontrolle auffallen dürfte, erscheint das aber unwahrscheinlich. (pte/rw)