USB-Sicherheit 2016: "USB-Antennen", Keylogger und E-Zigaretten
Weiter geht es mit aktuellen Angriffen auf und über USB. Und "mit" USB, denn beim ersten vorgestellten Angriff spielen die USB-Devices nur eine Nebenrolle, wenn auch eine entscheidende.
Ist das ein USB- oder ein Funk-Gerät?
Bei Angriffen auf Rechner, die nicht mit einem Netzwerk verbunden sind (also durch eine sog. "Air-Gap" vor Angriffen geschützt werden), haben die Angreifer zwei Probleme zu lösen: Sie müssen ihren Schadcode irgendwie auf den Rechner bekommen, und nachdem sie den erfolgreich kompromittiert haben, müssen sie die ausgespähten Daten irgendwie auf ihren eigenen Rechner bringen.
Der Angriff kann z.B. über einen präparierten USB-Stick erfolgen. Wenn der an den Air-Gap-Rechner angeschlossen wird und wenn der Schadcode erfolgreich eingeschleust wird kann er danach die gewünschten Daten sammeln. Das sind zwar zwei große "WENN", aber das klappt tatsächlich ab und zu.
Nur: Wie bekommt man die danach ausgespähten Daten vom Rechner runter? Normalerweise würde die Schadsoftware sie einfach übers Netz an den Command&Control-Server der Angreifer schicken. Mangels Netzwerkverbindung ist das aber nicht möglich.
Eine mögliche Lösung des Problems besteht darin, die gesammelten Daten samt Schadsoftware auf jeden USB-Massenspeicher zu schreiben, der mit dem Air-Gap-Rechner verbunden wird. Wenn der danach in einen mit dem Netzwerk verbundenen Rechner gesteckt wird und wenn die Schadsoftware diesen Rechner kompromittieren kann, kann sie danach die gesammelten Daten über das Netz an den C&C-Server schicken. Wenn keine Firewall, Data-Loss-Prevention-Lösung oder andere Schutzfunktion genau das verhindert. Das sind auch wieder ziemlich viele "wenn", nicht war?
Mordechai Guri, Matan Monitz und Yuval Elovici von der Ben-Gurion University haben in ihrem Whitepaper "USBee: Air-Gap Covert-Channel via Electromagnetic Emission from USB" einen anderen Weg beschrieben: Ihr USBee genannter Angriff nutzt die Datenleitungen zu unmodifizierten USB-Geräten, um 20 bis 80 Bytes pro Sekunde per Funk zu senden. Ein YouTube-Video zeigt den Angriff.
Die Forscher nutzen aus, dass der Datenbus des USB-Geräts elektromagnetische Strahlung ausstrahlt. Durch das Senden entsprechender Daten kann diese Strahlung kontrolliert werden, so dass darüber Daten übertragen werden können. 6K große Puffer erzeugen beim Schreiben auf das USB-Gerät Signale, die stark genug sind, um in der Nähe aufgefangen zu werden. Der Empfang der Signale erfolgt über ein 30 US-Dollar "teueres" RTL-SDR Software Defined Radio, dass mit einem Laptop verbunden ist. Das muss sich allerdings relativ nah beim Air-Gap-Rechner befinden, so dass Angriffe in der Praxis meist daran scheitern werden, dass der Angreifer mit seinem Empfänger-Rechner nicht nah genug an den angegriffenen Rechner heran kommt.
Die Forscher wurden zu diesem Angriff vom Cottonmouth-Angriff der NSA inspiriert, der von Edward Snowden aufgedeckt wurde. Nur dass beim Cottonmouth-Angriff ein präpariertes USB-Gerät mit Antenne verwendet wird, während USBee ein normales USB-Gerät für seine Zwecke missbraucht.
Was ein Keylogger anrichten kann
Keylogger für USB-Tastaturen gibt es wie Sand am Meer. Zwischen USB-Port und Tastatur gesteckt, protokollieren sie alle Tastendrücke. Wie es z.B. Anfang 2015 bei der taz passiert ist (Chronologie).
Am 4. Juni 2016 hat die Redaktion einen ausführlichen Bericht über den Vorfall veröffentlicht und Bilanz gezogen. Der von einem Mitarbeiter eingeschleusten Keylogger war mindestens seit dem 11. Februar 2014 in der taz-Redaktion im Einsatz. Das ist das früheste Datum, dass aus den auf dem Keylogger vorhandenen Daten ermittelt werden konnte. Bis der Keylogger am 17. Februar 2015 entdeckt wurde war an verschiedenen Rechner im Einsatz, bunt gestreut über die Redaktionsräume der taz. Es wurden mindestens 23 Personen ausgespäht, 22 davon konnten von Keylogger aufgezeichnete Benutzernamen und Passwörter zugeordnet werden.
Der Angriff hatte sehr wahrscheinlich persönliche Gründe, zeigt aber, wie leicht brisante Informationen ausgespäht werden können, wenn der Angreifer physikalischen Zugriff auf einen Rechner hat. Beim in der taz eingesetzten Keylogger musste der Täter ihn zum Auslesen an seinen eigenen Rechner anschließen, es gibt aber auch Modelle, die die gesammelten Tastendrücke über WLAN übertragen. Zu kaufen z.B. bei Amazon als "WiFi Keylogger". Und falls Sie jetzt denken, dass sie vor diesem Angriff sicher sind, weil sie eine PS/2-Tastatur verwenden: Auch dafür gibt es Keylogger als Zwischenstecker, und auch die gibt es in WLAN-Ausführung.
Das BSI warnt: Rauchen schadet – auch Ihrem Computer
Am 31. Mai hat das BSI eine Warnung veröffentlicht: "Rauchen schadet – auch Ihrem Computer: E-Zigarette als trojanisches Pferd".
Das wissen wir ja schon länger, Ende November 2014 wurde angeblich die erste E-Zigarette entdeckt, die beim Laden über USB Schadsoftware installiert. Ob das wirklich stimmte, ist nicht sicher. Aber da nun auch das BSI warnt, muss es ja wohl wirklich solche Angriffe "in the wild" gegeben haben. Leider ist das ein Irrtum, also was die Bestätigung durch das BSI betrifft. Auf Nachfrage von Heise Security erklärte das BSI, dass es eine allgemeine Warnung ohne konkreten Grund ist.
In der nächsten Folge geht es weiter um Angriffe auf und über USB. Sie haben es sicher schon bemerkt: USB ist ziemlich unsicher. Und ein gutes Einfallstor für Angreifer.
Trackbacks