Skip to content

USB-Sicherheit - Ein Überblick

2014 wurden mit BadUSB und der angeblich beim Laden über USB den Strom spendenden Rechner mit Schadsoftware infizierenden E-Zigarette zwei neue kritische Angriffe auf/über USB gemeldet. Das schreit nach einem Überblick über die bisher bekannten Angriffe und Schwachstellen. Bitte sehr, hier ist er:

Hinweis:
Ich habe den Artikel im Laufe des Jahres 2015 ab und zu aktualisiert.
Ende des Hinweis

USB-Würmer - Der Anfang des Übels

Die ersten Angriffe über USB waren die USB-Würmer, die sich über die AutoRun-Funktion von Windows verbreiteten. Denen hat Microsoft recht effektiv einen Riegel vorgeschoben, indem die AutoRun-Funktion ab Windows 7 geändert wurde: Sie funktioniert nun nur noch für optische Laufwerke, so dass sie nicht mehr durch Schadsoftware ausgenutzt werden kann, um sich selbst von USB-Sticks und anderen mobilen Massenspeichern zu starten.

Was natürlich nicht bedeutet, dass es gar keine USB-Würmer oder allgemeiner USB-Schädlinge mehr geben kann. Für die bleiben immer noch (mindestens) zwei Möglichkeiten zur Verbreitung:

  1. Die Schadsoftware kann sich über ein als virtuelles CD-Laufwerk getarntes USB-Gerät verbreiten, da damit die AutoRun-Funktion ja weiterhin funktioniert. Im Guten nutzen das zum Beispiel die U3-USB-Sticks zum Bereitstellen der benötigten Software, und Sie wissen ja: Alles, was zu Ihrem Nutzen entwickelt wurde, können die Cyberkriminellen zu Ihrem Schaden missbrauchen. 2013 wurde zum Beispiel vor präparierten Modems gewarnt, über deren CD-Image mit Treibern, Konfigurationsdateien und weiterer Software Schadsoftware eingeschleust werden könnte.
  2. USB-Würmer können auch ganz auf AutoRun verzichten und stattdessen Schwachstellen ausnutzen, wie es zum Beispiel Stuxnet demonstriert hat. Der ist ja erstmals aufgefallen, weil er sich über einen 0-Day-Exploit für die Shortcut-Lücke verbreitete.
    Update 11.8.2015:
    Microsoft hat eine 0-Day-Schwachstelle behoben, die mit der Shortcut-Lücke vergleichbar ist: Über den Mount Manager, der symbolische Links nicht korrekt verarbeitet, kann über zum Beispiel präparierte USB-Sticks Code eingeschleust werden.
    Die Schwachstelle wurde bereits für gezielte Angriffe ausgenutzt.
    Ende des Updates

Die "alten" Angriffe

Schon vor 2014 gab es etliche Angriffe auf und über USB-Geräte:

Bösartige Hardware

Über USB werden ja nicht nur Massenspeicher angeschlossen, sondern zum Beispiel auch Tastaturen oder Mäuse, die sogenannten Human Interface Devices (HID). Was passiert aber, wenn ein angeblicher USB-Stick in Wirklichkeit einen Microcontroller enthält, der sich als Tastatur ausgibt? Dann kann der (virtuelle) Tastendrücke an den Rechner senden und darüber zum Beispiel Aktionen auslösen. Entsprechende Angriffe wurden schon vor einigen Jahren in verschiedenen Varianten beschrieben. So gab es zum Beispiel bereits eine USB-Maus, in der ein Microcontroller eingebaut war, der eine Tastatur simuliert und 60 Sekunden nach dem Anschließen an den Rechner Schadsoftware von einem ebenfalls in der Maus integrierten USB-Stick installierte. Oder ein Android-Smartphone mit einem manipulierten USB-Stack, dass sich als Tastatur ausgab und Aktionen ausführte.

Nicht zu vergessen die Hardware-Keylogger, die als kleiner Zwischenstecker zwischen Tastatur und Rechner gesteckt werden und alle Tastendrücke aufzeichnen. Entsprechende Geräte wurden zum Beispiel 2011 in öffentlichen Bibliotheken im britischen Manchester und 2015 in der Radaktion der taz gefunden. (Aktualisiert am 4.3.2015)

Update 4.11.2015:
Besonders bösartig ist der USB Killer 2.0, ein USB-Stick, der beim Anschluss an ein Gerät -220 Volt erzeugt und über die Signalleitungen fließen lässt. Was natürlich zu Zerstörungen im Gerät führt. Für Cyberkriminelle dürfte das uninteressant sei, wie sollte man Geld verdienen, indem man den Rechner seines Opfers zerstört? Falls es aber jemand nur auf Zerstörungen um der Zerstörungen willen abgesehen hat, könnte der damit durchaus Schaden anrichten.
Ende des Updates

Funktionslose Schutzfunktionen

USB-Sticks sind klein, aber sehr oho - ihre inzwischen beachtlichen Speichergrößen erlauben es, eine Unmenge sensitiver Daten darauf zu speichern. Was man besser nicht unverschlüsselt tun sollte, denn sie werden schnell mal verloren, und wenn sie dann in die falschen Hände gelangen kann es unschön werden. Da liegt es nahe, USB-Sticks zu verwenden, die die gespeicherten Daten selbst verschlüsseln. Leider sind diese selbst verschlüsselnden USB-Sticks nicht immer so sicher, wie sie zu sein behaupten, da ihre Verschlüsselung nichts taugt. Zum Beispiel weil sie sich brechen oder umgehen lässt, oder weil der verwendete Schlüssel unsicher auf dem Stick gespeichert ist.

Wo Strom rein fließt, können auch Daten raus fließen

2011 wurde erstmals vor Juice-Jacking-Angriffen gewarnt: Präparierte USB-Ladestationen können während des Ladens Daten von den angeschlossenen Smartphones kopieren. Das gleiche geht mit einem entsprechenden Programm auch mit jedem normalen Rechner.

Es wäre fast überlegenswert, so ein Programm auf jeden Rechner zu installieren - rein Sicherheitshalber natürlich. Wenn dann jemand sein präpariertes Smartphone zwecks Angriffs an den Rechner anschließt, werden im Gegenzug seine darauf gespeicherten Daten runter kopiert. Und wenn jemand nur ganz harmlos, aber verboten sein Smartphone auflädt, kann man wenigstens hinterher gucken, ob er auch wirklich keine Daten "geklaut" hat.

OK, Spass wieder beiseite, jetzt wird es unschön:

Wo Strom rein kommt, können auch Programme rein kommen

Noch eine Stufe gefährlicher werden die präparierten Ladegeräte, wenn sie nicht nur Daten lesen, sondern auch Schadsoftware auf dem Smartphone installieren. Was sogar bei einem iPhone möglich ist. Auch ohne Jailbreak, da für das Installieren bzw. eher Einschleusen der bösartigen Apps Enterprise-Zertifikate und ein zugehöriges Provisioning Profile verwendet werden können. Eine Taktik, die 2014 auch im Rahmen des WireLurker-Angriffs auf iOS-Geräte ausgenutzt wurde.

Kommen wir nun noch kurz zu einem spektakulären Schädling. Oder einem genialen Marketinggag. Oder den Folgen eines Paranoia-Anfalls. Oder was auch immer das war:

BadBIOS - Extrem gefährlicher Angriff, Fake, oder was sonst?

2013 hat Dragos Ruiu vor einem neuen Superschädling gewarnt: BadBIOS soll sich angeblich über USB-Laufwerke verbreiten, das BIOS der angegriffenen Rechner kompromittieren und unter verschiedenen Betriebssystemen laufen. Hier interessieren vor allem die angebliche vorhandenen Schadfunktionen für USB-Geräte:

  • Alle angeschlossenen USB-Laufwerke inklusive CD-Laufwerken werden beim Anschließen geflasht, die vorhandene Firmware durch eine mit dem Schadcode ersetzt.
  • Wird ein USB-Laufwerk unerwartet entfernt, wird es unbrauchbar. Wird das unbrauchbare Gerät wieder an einen infizierten Rechner angeschlossen, erweckt der es wieder zum Leben.
  • Wird ein infizierter USB-Stick in einen nicht infizierten Rechner gesteckt, wird der Rechner infiziert. Allem Anschein nach ohne Aktion des Betriebssystems.

Das klingt alles sehr bedrohlich, und es wurde bereits zuvor bewiesen, dass die beschriebenen Angriffe möglich sind. Allerdings nicht im behaupteten Umfang. Neu wäre "nur" die Kombination und der Umfang der Angriffe. Das größte Problem dabei schien die Vielfalt nötiger Firmware-Versionen zu sein, um alle möglichen Geräte infizieren zu können. Wie BadBIOS 2014 gezeigt hat, ist das aber gar kein so großes Problem, da die Anzahl entsprechender Hersteller überschaubar ist.

Ob es BadBIOS wirklich gibt oder nicht wurde bisher nicht geklärt. Merkwürdigerweise schweigen auch die Antivirenhersteller zu diesen Angriff, die doch sonst keine Gelegenheit auslassen, darauf hin zu weisen, dass ihre Lösungen einen neuen Angriff ja schon seit einer halben Ewigkeit erkennen. Oder dass sie ihn eben nicht erkennen, weil es ihn gar nicht gibt. Aber BadBIOS haben die fast komplett ignoriert. Anfangs gab es ein paar Meldungen nach dem Motto "Das haben wir auch gehört, das müssen wir uns mal angucken" - und dabei blieb es dann. Nun könnte BadBIOS natürlich von einem Geheimdienst stammen, der alle Unternehmen zum Schweigen verdonnert hat. Aber nur in seinem Zuständigkeitsbereich. Und egal ob da nun die NSA, der KGB-Nachfolger, ein chinesischer Geheimdienst oder welcher auch immer dahinter steckt - es gäbe genug Sicherheitsunternehmen in anderen Staaten, die er nicht beeinflussen kann. Aber bei BadBIOS herrscht weltweites Schweigen. Das ist schon sehr merkwürdig.

Aber kommen wir von etwas, das es vielleicht (oder sogar wahrscheinlich) nicht gibt, zu etwas, dass es sehr wohl gibt. Sogar mit Proof-of-Concept, wenn auch die Hersteller von USB-Firmware und -Geräten den lieber ignorieren, mit dem Kopf im Sand scheint es sich wunderbar leben zu lassen:

BadUSB - USB-Geräte werden böse

2014 wurde BadUSB vorgestellt: Da die Firmware vieler USB-Geräte nicht vor unbefugten Änderungen geschützt ist kann ein Angreifer sie manipulieren und darüber zum Beispiel die oben beschriebenen Angriffe über virtuelle Tastaturen durchführen. Ebenso ist es möglich, einen "Bootsektor-Virus"-ähnlichen Schädling einzuschleusen, der zum einen die Rechner, mit denen das USB-Gerät verbunden wird, infiziert und zum anderen von diesen aus dann weitere USB-Geräte infiziert. Erleichtert wird das durch die geringe Anzahl von Firmware-Varianten, da es nur wenige Hersteller dafür gibt.

Bisher wurden nur Proof-of-Concepts für die erste Kategorie der Angriffe veröffentlicht. Es gibt keinen PoC für sich selbst verbreitenden Code, und erst recht keine entsprechenden Angriffe "in the wild". Was nicht zwingend lange so bleiben muss, da die Hersteller der USB-Geräte keine Anstalten machen, ihre Geräte entsprechend zu schützen. Und wann hätten sich die Cyberkriminellen irgend eine Gelegenheit, Schadsoftware zu verbreiten, entgehen lassen?

Der Schädling, der aus der E-Zigarette kam

Ebenfalls 2014 wurde über einen Angriff über eine E-Zigarette berichtet: Angeblich wurde beim Laden der E-Zigarette über USB der Strom spendende Rechner mit Schadsoftware infiziert. Unabhängig davon, ob dieser Bericht richtig oder falsch ist, sind entsprechende Angriffe problemlos möglich.

"Mögest Du in interessanten Zeiten leben?" Das tun wir bereits!

USB wird also mehr und mehr zu einem möglichen Einfallstor für Angreifer. Dass man nicht so einfach schließen kann, da darüber heutzutage ja im Allgemeinen Tastatur und Maus angeschlossen werden. Früher, als noch PS/2-Tastaturen und -Mäuse üblich waren, hätte man notfalls die USB-Ports soft- und sogar hardwaremäßig lahm legen können. Diese Möglichkeit gibt es heute nicht mehr. Da kommen also interessante Zeiten auf uns zu. Zeit, ein paar USB-Ladegeräte bereit zu legen, um alle möglichen Geräte in Zukunft darüber mit Strom zu versorgen statt sie mit dem Rechner zu verbinden. Wie man den Angriffe über die manipulierte Firmware von Geräten, die Daten mit dem Rechner austauschen müssen, verhindert, weiß bisher niemand so genau zu sagen.

Was kaum funktionieren wird, ist der Einsatz einer Whitelist zulässiger USB-Devices. Zum einen können manche USB-Devices gar nicht individuell identifiziert werden, da sie nur eine Typ-spezifische ID haben. Zum anderen muss man ja von Zeit zu Zeit auch neue Geräte verwenden, und wie stellt man sicher, dass zum Beispiel der neu gekaufte USB-Stick oder die neu gekaufte Webcam keine manipulierte Firmware enthalten? Ach ja: So eine Whitelist würde natürlich auch nicht vor einem Angriff mit einem nachträglich manipulierten, zulässigen USB-Device schützen. Wenn es also zum Beispiel einen die Firmware von USB-Sticks infizierenden Schädling gäbe, wäre der so nicht aufzuhalten. Denn auch der infizierte USB-Stick hätte ja noch die zugelassene ID.

Übersicht über alle Artikel zum Thema

USB-Würmer - Gute und schlechte Nachrichten
Gefährliche Peripherie: USB
Gefährliche Peripherie: USB - Stick weg, Daten weg
Gefährliche Peripherie: USB - Weitere Angriffe und Gegenmaßnahmen
Gefährliche Peripherie: USB - Bösartige Ladegeräte
Gefährliche Peripherie: USB - Zweckentfremdete Anschlüsse und mehr
Ist BadBIOS möglich? Teil 2: USB-Manipulationen
Ist BadBIOS möglich? Teil 6: Stolperstein USB-Firmware und mehr
Verdächtig: Die NSA hat einen Werkzeugkasten, in den auch BadBIOS passt
BadUSB - Ein Angriff, der dringend ernst genommen werden sollte
Angriffe über Geräte, die angeblich nur etwas Strom über USB möchten

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 1.16 - Angriffe auf die Auto-IT

Vorschau anzeigen
Im Entwickler Magazin 1.16 ist ein Artikel über Angriffe auf die IT-Systeme in Autos erschienen. Die Autohersteller packen immer mehr IT in ihre Autos. Und machen die dadurch immer mehr angreifbar. Wenn die IT auf Lenkung oder Bremsen z

Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 3.16 - Angriffe auf die Auto-IT

Vorschau anzeigen
Im windows.developer 3.16 ist ein Artikel über Angriffe auf die IT-Systeme in Autos erschienen. Die Autohersteller packen immer mehr IT in ihre Autos. Und machen die dadurch immer mehr angreifbar. Wenn die IT auf Lenkung oder Bremsen zugr

Dipl.-Inform. Carsten Eilers am : USB-Sicherheit 2016 - Ein Update

Vorschau anzeigen
Angriffe über USB-Geräte hatte ich ja schon des öfteren im Blog. Der aktuellste Artikel war der Überblick vom 18. Dezember 2014, den ich im Laufe des Jahres 2015 immer mal wieder angepasst habe. Jetzt wird es Zeit für ein

Dipl.-Inform. Carsten Eilers am : USB-Sicherheit 2016 - Bösartige Sticks im Briefkasten und ein USB-Killer

Vorschau anzeigen
Außer den bereits vorgestellten Angriffen gab es dieses Jahr (und Ende letzten Jahres) einige weitere interessante Angriffe auf bzw. über USB. Der Einfachheit halber ab jetzt in umgekehrter chronologischer Reihenfolge, der neueste zu er