Alljährlich ist die amerikanische Spielerstadt für eine Woche das Mekka für Security-Experten und Hacker, wenn die Sicherheitskonferenz Black Hat ihre Tore öffnet. Wie schon in den Jahren zuvor, hatte auch dieses Treffen der Sicherheitsfachleute und sogenannten Hacker wieder Vorträge zu interessanten und teilweise auch beängstigenden Themen zu bieten. Das Spektrum reichte dabei von Angriffen auf VDI-Lösungen über Android-Schwachstellen bis hin zu Angriffen auf die Sicherheit von normalen Haushaltsgeräten.
Foto: Security Research Labs
Besonders viel Aufsehen erregte der Vortrag von drei deutschen Sicherheitsspezialisten: Karsten Nohl, Sascha Krißler und Jakob Lell, Fachleute des Berliner Unternehmens Security Research Labs, stellten in ihrem Vortrag "BadUSB - On accessories that turn evil" eine Möglichkeit vor, die Firmware von USB-Geräten erfolgreich zu manipulieren. Sie verdeutlichten, dass aktuell noch kaum bis überhaupt keine Abwehrmaßnahmen gegen einen Angriff existieren, der auf diese Weise durchgeführt wird.
Wir haben uns die Unterlagen der Berliner Forscher angeschaut, stellen die Hintergründe dazu vor und haben bekannte Sicherheitsfirmen, die sich unter anderem auch auf die Absicherung solcher USB-Endgeräte verstehen, nach ihrer Einschätzung der Gefährdungslage gefragt. Zudem wollten wir von diesen Firmen beziehungsweise ihren Spezialisten wissen, ob und wie ihre Software helfen kann, einen derartigen Angriff zu verhindern. Wer den Vortrag der Forscher in Las Vegas selbst sehen möchte, findet weiter unten im Text das aufgezeichnete Video.
- USB Rubber Ducky
Ein „Ahnvater“ der jetzt vorgeführten BadUSB-Angriffe: Hier kommt allerdings eine spezielle Hardwarelösung zum Einsatz, die dann einen USB-Stick modifiziert, so dass er unbemerkt Malware verbreiten kann. - SafeToGo
Könnte eine Lösung für die Zukunft sein: Verschlüsselte, zertifizierte USB-Medien (hier die Software des USB-Sticks „SafeToGo“), bei denen auch die Firmware zertifiziert ist und bei denen ausschließlich digital signierte Firmware-Updates möglich sind. - Das BadUSB-Problem
Diese Übersicht zeigt das grundsätzliche Problem: Jeder USB-Stick besitzt einen eigenen Controller und Firmware in einem Bereich, der für den normalen Nutzer und das Betriebssystem so nicht sichtbar ist. - Windows-Bordmittel als Schutz
Grundsätzliche Möglichkeiten zur Kontrolle von Endgeräten mit Wechselmedien bieten bereits die Windows-Bordmittel: So können Administratoren mittels Gruppenrichtlinien auch Whitelists für USB-Geräte anlegen. - USB-Geräte und ihre Identität
Ein weiterer gewichtiger Faktor: USB-Geräte können sich mit unterschiedlichen Identitäten gegenüber den Host-Geräten ausweisen. So kann sich ein Gerät auch ab- und mit einer anderen Identität über die verschiedenen Schritte wieder anmelden. - Bad DNS-Stick
Ein Beispiel, das ebenfalls auf der Black Hat Konferenz gezeigt wurde: Ein „BAD DNS Stick“, der die DNS-Einstellung „verbiegt“, indem er einen USB Ethernet Adapter emuliert. - Kontrolle externer Devices
Kontrolle der externen Geräte mittels Software: Wie hier, bei der Lösung von Trend Micro müssen Administratoren sicherstellen, dass diese Kontrollfunktion für alle Geräte eingeschaltet ist. - Regel-Editor als Schutz
Wie soll das System auf die Verbindung mit externen Datenspeichern reagieren: Viele Sicherheitslösung stellen dazu – wie hier die Software von Eset – einen Regel-Editor bereit - DriveLock
Eine Möglichkeit, die von fast allen Hersteller als ein gewisser aber leider nicht vollständiger Schutz auch gegen Angriffe mittels der BadUSB-Techniken angesehen wird, sind die sogenannten Whitelists: Hier ein Beispiel aus der Software „DriveLock“. - Bedingte Kontrolle
Könnte eine Lösung für die Zukunft sein: Verschlüsselte, zertifizierte USB-Medien (hier die Software des USB-Sticks „SafeToGo“), bei denen auch die Firmware zertifiziert ist und bei denen ausschließlich digital signierte Firmware-Updates möglich sind.
BadUSB - was ist eigentlich das Problem?
USB-Geräte aller Art haben in den vergangenen Jahren eine enorme Verbreitung erlangt: Von Mobiltelefonen über Kameras bis hin zu Massenspeichern aller Art - die Geräte finden über einen USB-Anschluss Kontakt zu den Computern und damit auch zu den Netzwerken. Ferner haben USB-Sticks in allen Größen fast alle früher gängigen Medien zum lokalen Datentausch ersetzt, sodass andere Medien wie Disketten mittlerweile obsolet geworden sind. Dass grundsätzlich eine Gefahr von USB-Sticks beziehungsweise Geräten ausgehen kann, die via USB-Anschluss auch mit der Unternehmens-IT in Verbindung treten, ist für Administratoren und IT-Verantwortliche keine neue Information. Das Problem des "auf dem Parkplatz gefundenen USB-Sticks", der dann von einem unbedarften Mitarbeiter einfach an seinem PC angesteckt wird und so Schadsoftware verbreitet, ist bekannt und wird von vielen Lösungen rund um das Thema Endpoint-Security behandelt.
Auch die von den Kryto-Forscher von Security Research Labs vorgestellte grundsätzliche Funktionalität wurde schon früher im Internet auf diversen Seiten demonstriert. Ein Beispiel dafür ist das sogenannte Keystroke-Injection-Tool USB Rubberducky, das allerdings im Gegensatz zu den auf der Black-Hat-Konferenz vorgeführten Problemen mit einer speziellen Hardware arbeitet. Das ist beim BadUSB-Szenario nicht mehr notwendig: Die Berliner Forscher haben auf der amerikanischen Konferenz bewiesen, dass es möglich ist, Firmware von USB-Controllern und damit das BIOS von USB-Devices auszulesen und auch zu verändern. Die Kommunikation des USB-Controllers mit dem Host-System wird hier komplett kontrolliert.
So kann dann der USB-Stick oder auch das Android-Telefon durch die manipulierte Firmware zu einer Netzwerkkarte oder zu einer Tastatur werden und den Datenverkehr umleiten oder manipulieren. Auf diese Weise lassen sich dann leider auch bereits vorhandene USB-Geräte umprogrammieren und damit nachträglich kompromittieren. Entsprechende Verfahren, die beispielsweise die Firewire-Schnittstellen für ähnliche Angriffe nutzen, sind unter der Bezeichnung DMA-Attack ebenfalls seit einiger Zeit bekannt.