Dipl.-Inform. Carsten Eilers

Gehen USB-Sticks verloren oder werden sie gestohlen, sind auch die darauf gespeicherten Daten weg. Wobei es i.A. kein Problem ist, dass sie weg sind, ein Backup oder noch wahrscheinlicher das Original der Daten auf irgend einer Festplatte wird in den meisten Fällen existieren. Ein Problem wird es, wenn diese Daten irgendwo auftauchen, wo sie nicht hingehören. Ein paar Beispiele gefällig? Hier eine kleine, willkürliche Auswahl aus Einträgen in Sophos Blog "Naked Security", naturgemäß auf Sophos Heimatland Großbritannien konzentriert:

• 19.7.2008: "Thanks for the memory sticks"
  Dem britischen Verteidigungsministerium sind etliche USB-Sticks mit vertraulichen Daten abhanden gekommen.
• 22.8.2008: "Lost on USB drive: Confidential data on every prisoner in England and Wales"
  Ein USB-Stick mit den medizinischen Daten von 130.000 Häftlingen wird vermisst.
• 10.9.2008: "Troop secrets on lost USB stick found on nightclub floor"
  Ein verloren gegangener USB-Stick der britischen Armee wurde in einem Nachtklub gefunden.
• 16.9.2008: "Lost memory stick contained confidential patient records"
  Ein USB-Stick mit den Daten von 200 Patienten wurde auf der Straße gefunden.
• 2.11.2008: "Passwords for UK government website found in pub carpark"
  Vor einem Pub wurde ein USB-Stick mit den Zugangsdaten zu Regierungs-Websites gefunden.
• 22.12.2008: "Vulnerable children put at risk after memory stick lost"
  Ein USB-Stick mit den Daten gefährdeter Kinder wurde verloren.
• 12.1.2009: "Medical data on over 6000 prisoners lost on USB stick"
  Ein USB-Stick mit den medizinischen Daten von 6.360 Häftlingen geht verloren.
• 31.1.2009: "US military files on lost $15 MP3 player recovered"
  Auf einem gebraucht gekauften MP3-Player wurden vertrauliche Daten des US-Militärs gefunden.
  
  [...]
  
  
• 28.7.2011: "Stolen USB stick contained police investigation details"
  Aus der Privatwohnung eines Polizisten wurde ein USB-Stick mit den Daten zu einer laufenden Ermittlung gestohlen.
• ...

Einen Kommentar verkneife ich mir, das hier ist ja kein "Standpunkt".

USB-Stick mit Schutzfunktion - oder auch nicht

Die Schlussfolgerung aus diesen Vorfällen dürfte eigentlich allgemein bekannt sein: Vertrauliche Daten müssen verschlüsselt werden, bevor sie auf mobilen Massenspeichern wie z.B. USB-Sticks gespeichert werden. Da das oft vergessen wird, liegt es nahe, einen selbst verschlüsselnden USB-Stick oder einen mit Zugriffsschutz, z.B. durch einen Fingerabdruck-Sensor, zu verwenden. Leider ist das u.U. eine schlechte Idee, da sich deren Schutz in der Vergangenheit des öfteren als wenig wirksam erwiesen hat. Auch hier wieder einige Beispiele:

• 2008 wurde von Heise Security herausgefunden, dass der Zugriffsschutz von Corsairs Padlock-USB-Sticks durch das Verbinden zweier Kontakte umgangen werden kann.
  Der Padlock-Stick besteht intern aus zwei Komponenten: Einer Steuerplatine und einer Hauptplatine, die einem normalen USB-Stick entspricht. Die Steuerplatine enthält ein PIN-Eingabefeld zur Eingabe einer PIN, erst bei Eingabe der richtigen PIN wird die Hauptplatine mit Strom versorgt und kann vom Computer angesprochen werden. Wird die Stromversorgung nach Öffnen des Gehäuses manuell hergestellt, kann auf die gespeicherten Daten zugegriffen werden.
• Ebenfalls 2008 fand die c't heraus, dass der Zugriffsschutz vieler USB-Sticks mit Fingerabdruck-Sensoren einfach umgangen werden kann.
• 2009 wurden von Matthias Deeg und Sebastian Schreiber vom Sicherheitsunternehmen SySS nach dem FIPS-Standard 140-2 des US-amerikanischen National Institute of Standards and Technology (NIST) für den Einsatz mit schutzbedürftigen Daten durch US-Regierungsbehörden zertifizierte USB-Sticks mit Hardwareverschlüsselung von SanDisk geknackt (Bericht als PDF).
  Angriffspunkt war dabei das für die Passworteingabe zuständige Windows-Programm, das immer den gleichen String an den USB-Stick liefert, wenn das richtige Passwort eingegeben wurde. Ein Proof-of-Concept-Tool ändert das Programm so ab, dass der entsprechende String immer übergeben wird - auch wenn das Passwort falsch eingegeben wurde.
  SanDisk hat ein Security Bulletin und ein vom Benutzer zu installierendes Update veröffentlicht.
  Auch einige USB-Sticks von Kingston und Verbatim sind betroffen. Während Kingston ein Umtausch-Programm gestartet hat, um die betroffenen Sticks auszutauschen, hat Verbatim wie SanDisk ein vom Benutzer zu installierendes Update veröffentlicht.
• 2010 wies der Hersteller Corsair selbst auf eine Schwachstelle in seinen verschlüsselnden USB-Sticks Flash Padlock 2 hin und beschrieb auch gleich, wie sie behoben werden konnte.
  Eine bestimmte Tastenkombination erlaubte das Löschen der PIN, wobei die Daten erhalten bleiben und anschließend gelesen werden können.
• Im Februar 2011 wurde von Matthias Deeg eine Schwachstelle in einer angepassten Version des "ThumbDrive CRYPTO" des Herstellers Trek Technology gefunden (Bericht als PDF).
  Der für die Verschlüsselung verwendete Schlüssel wird unsicher gespeichert und kann von einem Proof-of-Concept-Tool ermittelt werden.
  Die Schwachstelle wurde in einer aktualisierten Version des USB-Sticks behoben.
• ...

Im Zweifelsfall ist es also besser, die Daten mit einer Softwarelösung zu verschlüsseln, anstatt sich auf die Hardware zu verlassen.

In der nächsten Folge werden weitere Angriffe über und auf USB-Geräte vorgestellt.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Gefährliche Peripherie: Firewire

Gefährliche Peripherie: USB

Gefährliche Peripherie: USB - Stick weg, Daten weg

Gefährliche Peripherie: USB - Weitere Angriffe und Gegenmaßnahmen

Gefährliche Peripherie: Drucker und Co.

Gefährliche Peripherie: Thunderbolt

Gefährliche Peripherie: USB - Bösartige Ladegeräte

Gefährliche Peripherie: USB - Zweckentfremdete Anschlüsse und mehr

BadUSB - Ein Angriff, der dringend ernst genommen werden sollte