Was können Anwender und Firmen tun?
Die meisten Lösungen für die Endpoint Security - sowohl die Lösung von Kaspersky als auch Lösungen der Firmen Trend Micro, CenterTools, Eset und Lumension - beinhalten eine Form der "Device Control", die den Zugriff auf unbekannte externe Datenträger blocken kann.
Alle von uns näher betrachteten Softwarelösungen arbeiten mit einem "Whitelisting", sodass auch weiterhin die benötigten USB-Geräte wie Tastatur und Mäuse an den Desktops der Nutzer eingesetzt werden können. Dabei können in der Regel dann nur noch Geräte mit einer bestimmten ID verwendet werden - eine Restriktion, die unter Windows prinzipiell auch mittels Bordmitteln mithilfe der Gruppenrichtlinien durchzusetzen ist.
Allerdings besteht hier das grundsätzliche Problem, dass USB insgesamt 21 Geräteklassen (einschließlich einer Basisklasse) kennt, sodass zur Identifikation eines externen Geräts ganz unterschiedliche Identifizierungsmerkmale herangezogen werden können. Dabei kann es sich dann zum Beispiel um einen der folgenden Identifier handeln:
Class ID,
Hersteller- oder Produkt ID sowie
Seriennummer.
Nach Meinung von Stefan Ortloff von Kaspersky ist das Spoofing einer solche ID ebenfalls möglich, jedoch sei beim Whitelisting einer konkreten ID ein entsprechender Treffer durch ein solches Spoofing sehr unwahrscheinlich. Allerdings ist - und darüber sind sich die Experten auch einig - es nicht möglich, festzustellen, ob eine USB-ID nun gefälscht oder wirklich "echt" ist.
Otfried Köllhofer, Produktmanager bei CenterTools Software, sieht speziell die von seiner Firma angebotene Lösung DriveLock Device Control als eine Möglichkeit für Unternehmen, sich vor derartigen Angriffen zu schützen. Auch bei dieser Software können beliebige USB-Geräte sowie Geräteklassen mittels White- und Blacklisting gesperrt werden. Er hebt dabei hervor, dass eine derartige Sperrung weitaus feingranularer vorgenommen werden kann, wenn sich die entsprechenden Geräte genauer identifizieren lassen. Weiterhin ermöglicht es diese Software, das Netzwerk-Bridgeing zu unterbinden, sodass ein Angriff mittels eines "Bad DNS Stick", wie er ebenfalls von den Mitarbeitern von Security Research Labs demonstriert wurde, keinen Erfolg mehr hätte. Bei dieser Attacke "spooft" das manipulierte USB-Gerät den Ethernet Adapter, sodass DNS-Anfragen auf einen Server des Angreifers umgeleitet werden, während der restliche Internetverkehr weiter über die normale Netzwerkverbindung geleitet wird.
Anbieter Lumension hat nach Aussagen von Andreas Müller, Regional Sales Director D/A/CH, in die eigene Lösung "Lumension Device Control" eine automatische Key-Logger-Erkennung integriert, die bereits einen gewissen Grundschutz ermöglicht. Speziell für Angriffe mit solchen Geräten, die dem Betriebssystem ein Eingabegerät wie eine Tastatur vorspiegeln, wurde mit dem Release LDC 4.5 SR3 vom 7.8.2014 eine spezielle Abwehrfunktion für Keyboard Emulatoren wie "Rubber Ducky" implementiert. Hierbei wird der Nutzer dann unter anderem explizit auf das "Anstecken einer zweiten Tastatur" hingewiesen.
Die Sicherheitsspezialisten der Firma Sophos haben uns ebenfalls ein Statement zu der Gefährdung durch BadUSB zugeschickt: Darin heben sie hervor, dass derartige Angriffe zurzeit noch nicht "in the wild" gesichtet wurden, sie diese Form der Attacke aber trotzdem als ernsthaftes Problem für die nahe Zukunft betrachten. Außerdem schließen sie sich der Meinung der anderen von uns befragten Anbieter an, dass die augenblicklichen Lösungen zum Blocken von USB-Geräten nur einen unzureichenden bis keinen Schutz vor dieser Art von Angriffen bieten können.
Die Firma ProSoft bietet mit der Konfigurations- und Managementlösung SafeConsole und der Funktion Device LockOut ebenfalls eine einfache Endpoint-Security-Lösung an, die verhindert, dass nicht autorisierte Geräte benutzt werden können. Die White- beziehungsweise Blacklists basieren dabei auf der Abfrage von PID (Product ID), VID (VendorID), USB-Klasse und/oder Seriennummern. Allerdings gibt Robert Korherr, CEO von ProSoft, in seinem Statement zu bedenken, dass diese Verfahren eben nicht mehr ausreichen, seit es mit BadUSB gelungen ist, die USB-Klasse zu verändern: "Normalerweise wird die USB-Klasse HID (Human Interface Devices) in Data-Leakage-Prevention (DLP)-Software erlaubt. Wahrscheinlich können mit etwas Aufwand auch die Werte PID, VID und die Unique ID verändert werden, und dann greifen diese Verfahren eben nicht mehr zu 100 Prozent", weiß er zu berichten.
Als eine Alternative stellt dieser Anbieter seine Lösung SafeToGo in den Mittelpunkt: Dabei handelt es sich um einen 256-Bit AES per Hardware verschlüsselten USB-Stick. Dieser kann nur über digital signierte Firmware-Updates und die entsprechende Firmware-Updater Software aktualisiert werden. Dabei wird laut Hersteller die Überprüfung der Signierung ausschließlich über den manipulationssicheren On-Board-Controller auf dem USB-Stick vorgenommen. Da die Sticks in Schweden entwickelt werden, brauchen Nutzer auch kaum Angst vor NSA-Backdoors haben.