Dipl.-Inform. Carsten Eilers

BadUSB, das klingt fast so wie eine Variante oder eher wie der kleine Bruder von BadBIOS. Sie erinnern sich? Dieser Superschädling wurde vor einem Jahr von Dragos Ruiu auf seinen Laptops entdeckt und konnte angeblich unter anderen das BIOS des Rechners und von USB-Devices infizieren. Und zwar aller Rechner und USB-Geräte. Was zwar sicher theoretisch möglich ist, in der Praxis aber eher unwahrscheinlich. Oder auch nicht, aber dazu komme ich gleich.

Nebenbei bemerkt: Was ist aus BadBIOS eigentlich geworden? Man hört gar nichts mehr davon. Sogar die Antivirenhersteller, die ja sonst keine Gelegenheit auslassen, sich mit der Entdeckung riesiger Gefahren hervor zu tun, vor denen nur ihr Produkt schützen kann, waren auffällig ruhig. Zu BadBIOS kam fast gar nichts. Weder ein "gibt's ja gar nicht" noch ein "wir werden alle sterben, wenn Sie nicht sofort ihren Rechner mit unserem Superscanner schützen". Irgendwie ist BadBIOS völlig in der Versenkung verschwunden. Sehr merkwürdig - wo bleibt die Auflösung des Rätsels? Gibt es BadBIOS? War es ein Irrtum? Ein Marketinggag? Nix, nada, absolute Funkstille.

Stufe 1: BadUSB als Präsentation und Video

Aber egal, hier geht es jetzt ja um BadUSB. Ein aus Marketingsicht gut gewählter Name, die Aufmerksamkeit der Medien hat das natürlich geweckt. Von den Security Research Labs vorab als Vortrag auf der Black Hat USA 2014 (wo es immer noch keine Materialien zu diesem Vortrag gibt, zu den meisten anderen dagegen schon) angekündigt, danach unterfüttert mit weiteren Details samt Links zu Präsentation und Video des Vortrags, blieb als Fazit, dass das womöglich noch schlimmer ist als vorab ausgemalt wurde.

Punkt 1: Man kann USB-Sticks gezielt für bösartige Zwecke einsetzen, indem man deren Firmware manipuliert. Sie können sich dann zum Beispiel als Tastatur ausgeben und Tastendrücke simulieren, als angeblicher Ethernet-Adapter gefälschte Antworten auf DHCP-Queries geben, oder den Ausbruch aus einer virtuellen Maschine erlauben, indem sie einerseits mit der virtuellen Maschine und andererseits heimlich als zusätzliches simuliertes Gerät auch mit dem Host verbunden sind. Das war alles so oder so ähnlich im Grunde schon seit einiger Zeit bekannt. Nur das bisher spezielle Hardware verwendet wurde, und kein normaler, manipulierter USB-Stick. Die Forscher von den Security Research Labs schlagen übrigens ein präpariertes Android-Smartphone als Angriffstool vor, das der Angreifer mit der Bitte, es aufladen zu dürfen, an einen Rechner anschließt.

Gefährlicher ist Punkt 2: In der Firmware könnte ein "Bootsektor-Virus"-ähnlicher Schädling verborgen werden, der zum einen die Rechner infiziert, an die der USB-Stick angeschlossen wird, und der andererseits danach vom infizierten Rechner aus alle angeschlossenen USB-Sticks infiziert. Vorausgesetzt natürlich, es gibt eine passende Firmware, was ja schon ein Kritikpunkt an BadBIOS war: Um alle Sticks zu infizieren, muss der Schädling auch alle Firmware-Varianten zur Verfügung haben. Was anscheinend gar nicht so unwahrscheinlich ist, da in zwar eine unüberschaubare Anzahl an USB-Stick-Herstellern und -Vertreibern gibt, aber zum größten Teil nur Controller von drei Herstellern verwendet werden.

Einen Schädling, der alle USB-Geräte angreift, halte ich nach wie vor für unwahrscheinlich, der müsste zu viele Firmwares bereit halten. Aber einer für fast alle USB-Sticks dürfte angesichts der überschaubaren Anzahl Controller kein größeres Problem sein. Vielleicht kann der dann ein paar eher exotische USB-Sticks nicht infizieren, die große Masse aber schon. Und das reicht den Cyberkriminellen ja im Allgemeinen. Zumindest scheint es sie nicht sehr zu stören, dass die meisten ihrer Schädling nur Windows angreifen können und nicht auch Mac OS X und Linux.

Microsoft hat durch die Änderung der AutoRun-Funktion USB-Würmern das Leben verdammt schwer gemacht, sie nahezu ausgerottet. Das letzte, was wir jetzt brauchen, sind USB-Firmware-Würmer, die sich statt über den Speicher der USB-Sticks über deren Firmware verbreiten. Und die sind leider möglich.

Stufe 2: PoC "Psychson" - Alte Tricks in neuen USB-Sticks als Warnung vor neuen Gefahren

Während die Security Research Labs mit Absicht keinen Proof-of-Concept-Code oder ähnliches veröffentlicht haben, wurde ein solcher nun von Dritten veröffentlicht. Adam Caudill und Brandon Wilson haben mit Psychson ein Tool veröffentlicht und auf der Sicherheitskonferenz DerbyCon 4.0 vorgestellt, mit dem sich USB-Sticks mit dem Controller Phison 2251-03 umprogrammieren lassen. Zum Beispiel kann der Stick sich dann als USB-Tastatur ausgeben, eine versteckte Partition enthalten oder sein Passwort-Schutz außer Kraft gesetzt werden.

Droht dadurch der Untergang der Welt? Des Internet? Von was auch immer?
Nein.
Denn es wurde nichts wirklich Neues veröffentlicht, alle mit Psychson möglichen Angriffe waren auch zuvor schon möglich, nur eben teilweise nur mit spezieller Hardware. Gefährlich wäre es geworden, wenn sich selbst verbreitender Code veröffentlicht worden wäre.
Also: Kein Grund zur Panik. Jedenfalls nicht mehr als nach der Veröffentlichung auf der Black Hat.

Stufe 3 fällt hoffentlich aus: Sich selbst verbreitende Malware

Adam Caudill hat inzwischen die Gründe für die Veröffentlichung des Tools genannt: Die Hersteller der USB-Geräte haben die Veröffentlichung von BadUSB weitgehend ignoriert, es wurde ja nichts wirklich Neues veröffentlicht. Alle Angriffe waren auch schon vorher möglich, teilweise eben nur unabhängig von den USB-Geräten. Warum sollte also an den USB-Geräten etwas geändert werde?

Dass die Angriffe auch ohne USB möglich sind ist aber gerade kein Grund, auf eine Absicherung der USB-Firmware zu verzichten. Mal ein etwas hinkender Vergleich: Einbrecher steigen oft durch Fenster ein. Wäre das ein Grund, auf Türschlösser zu verzichten? Wenn man den Argumenten der USB-Geräte-Hersteller folgen würde, könnte man das: Warum soll man Geld für ein Türschloss ausgeben, wenn die Einbrecher trotzdem noch durchs Fenster steigen können?

Also, wie sieht es aus - wollen die Hersteller warten bis es einen sich selbst verbreitenden USB-Firmware-Schädling gibt (was Sicherheitsforscher können, können Cyberkriminelle auch) und keiner mehr wagt, USB-Geräte an seinen Rechner an zu schließen? Oder wollen sie vorher ihre Geräte absichern? BadUSB war die erste Warnung, Psychson die zweite. Ich würde nicht darauf wetten, dass es noch eine dritte gibt. Irgendwann kommen die Cyberkriminellen zum Zuge.

Carsten Eilers

---

Übersicht über alle Artikel zum Thema

Gefährliche Peripherie: Firewire

Gefährliche Peripherie: USB

Gefährliche Peripherie: USB - Stick weg, Daten weg

Gefährliche Peripherie: USB - Weitere Angriffe und Gegenmaßnahmen

Gefährliche Peripherie: Drucker und Co.

Gefährliche Peripherie: Thunderbolt

Gefährliche Peripherie: USB - Bösartige Ladegeräte

Gefährliche Peripherie: USB - Zweckentfremdete Anschlüsse und mehr

BadUSB - Ein Angriff, der dringend ernst genommen werden sollte