USB-Sicherheit 2016 - Bösartige Sticks im Briefkasten und ein USB-Killer
Außer den bereits vorgestellten Angriffen gab es dieses Jahr (und Ende letzten Jahres) einige weitere interessante Angriffe auf bzw. über USB. Der Einfachheit halber ab jetzt in umgekehrter chronologischer Reihenfolge, der neueste zu erst.
Bösartige(?) USB-Sticks als Hauswurfsendung
Die Polizei im australischen Bundesstaat Victoria hat am 21. September eine Warnung vor präparierten USB-Sticks veröffentlicht. Die wurden in der Vorwoche in Melbournes Vorort Pakenham in Briefkästen verteilt. Die unmarkierten USB-Sticks führten beim Anschluss an einen Computer (vermutlich mit Windows?) zu betrügerischen Angeboten für Medien-Streaming-Dienste und nicht näher beschriebenen "other serious issues".
Die Polizei glaubt, dass die USB-Sticks extrem schädlich sind und warnt davor, sie in Computer oder andere Geräte zu stecken:
"The USB drives are believed to be extremely harmful and members of the public are urged to avoid plugging them into their computers or other devices."
Es gibt auch ein Bild von USB-Sticks, die so ähnlich aussehen, wie die im Scam verwendeten. Glaubt die Polizei zumindest. Also für mich sehen die nach handelsüblichen NoName-Sticks aus:
Abb. 1: So sehen die verdächtigen USB-Sticks aus. Glaubt die
Polizei in Victoria zumindest. (Klick für großes Bild in neuen Fenster)
Quelle: Victoria Police News
Für meinen Geschmack glaubt die australische Polizei da ein bisschen zu viel, bzw. sie weiß zu wenig. Wie wäre es mit Fakten? Die wissen ja anscheinend weder, was die USB-Sticks machen, noch wie sie aussehen. Anscheinend wurde also kein einziger bei der Polizei abgeliefert.
Denn sonst hätte man ja prüfen können, was die machen. Und hätte vor allem ein Originalbild der verdächtigen Sticks und müsste nicht eins verwenden, von dem man glaubt, dass die Sticks so wie darauf abgebildet ausgesehen haben.
Ich vermute mal, dass ist dann der Punkt, an den in US-amerikanischen Krimis der Verteidiger aufspringt und die Aussage als "Hörensagen!" für wertlos erklären lässt.
Ich wage zu bezweifeln, dass da wirklich Schadsoftware drauf war. Für mich sieht das eher so aus, als hätte da jemand Werbung für einen Medien-Streaming-Dienst gemacht, die bei den Empfängern nicht gerade gut angekommen ist. Mehr aber auch nicht. Denn wenn da wirklich irgend ein Schaden entstanden wäre, wäre ja wohl jemand zur Polizei gegangen und hätte Anzeige erstattet. Und dabei den Übeltäter abgeliefert. Was ja allem Anschein nach nicht passiert ist
Und dann hätte man auch nicht um Hinweise auf die Hintermänner des Scams bitten müssen, man hätte einfach gucken können, was da beworben wird. Vermutlich hat man dann schon die Verantwortlichen gefunden.
Wenn da also Schadsoftware drauf war, dann wahrscheinlich nur weil der Hersteller geschlampt und seine Werbe-Sticks auf einem infizierten Rechner erstellt hat. Unabhängig davon, ob da nun wirklich Schadsoftware oder nur betrügerische Angebote (was ist eigentlich ein betrügerischen Angebot in diesem Zusammenhang? Verkaufen die Porno-Streamings, und dann kommen Kinderfilme? Oder lassen die sich bezahlen, ohne danach was zu liefern?) auf den USB-Sticks war: Man steckt keine unbekannten USB-Sticks in seinen Rechner. Egal ob die nun auf dem Uni-Campus oder im eigenen Briefkasten gefunden wurden. Und egal ob sie als Wurfsendung im Briefkasten landeten oder von Unbekannten unaufgefordert per adressierten Brief zugeschickt wurden. Dann muss man auch nicht befürchten, sich darüber Schadsoftware auf den Rechner zu holen. Oder seinen Rechner zu grillen:
USB-Killer, reloaded
Voriges Jahr habe ich bereits über den USB Killer 2.0 berichtet, der 220 Volt über die Datenleitungen des USB-Ports schickt und damit den Rechner zerstört. Damals schrieb ich:
"Für Cyberkriminelle dürfte das uninteressant sei, wie sollte man Geld verdienen, indem man den Rechner seines Opfers zerstört? "
Nun, jetzt hat jemand einen Weg gefunden, mit dem USB Killer Geld zu verdienen: Der Stick wird seit Anfang Juli vom Unternehmen USBKill.com aus Hong Kong als Testgerät verkauft, um die Reaktion der USB-Ports auf Überspannungen zu testen. Und damit man sich beim Test nicht seinen Rechner kaputt macht gibt es auch einen "Test Shield" bzw. "USB Killer Tester" genannten Schutz.
Der gleichzeitig auch vor "data theft via 'juice-jacking'" schützt. Mit anderen Worten: Da werden nur die Leitungen für die Spannungsversorgung durchgeschleift, nicht die Datenleitungen, über die der USB Killer seine Hochspannung einspeist und der Angreifer beim Juice-Jacking die Daten ausspäht.
Welche Geräte vor den Überspannungsangriffen sicher sind ist nicht ganz klar. Laut USBKill.com sind die meisten Consumer-Geräte ungeschützt, während die Hardware für den Unternehmenseinsatz scheinbar geschützt ist:
"[...] our internal testing demonstrated that most consumer-level devices are unprotected; an increasing amount of enterprise-level hardware seems to be hardened."
Andererseits steht dort auch, dass Apples Notebooks und Desktop-Rechner die einzigen Geräte sind, die einen Überspannungsschutz für die USB-Ports besitzen:
"To this day, according to our testing, the only company that releases hardware protected against a USB power-surge attack is Apple, on their Laptop and Desktop ranges. This means - despite adequate warning, and time to respond - the majority of consumer-level hardware manufacturers choose not to protect their customer's devices. We are disheartend by this lack of respect for customers."
Also zumindest Apples Desktop-Geräte dürften wohl kaum zu den Consumer-Geräten zählen, eben so wenig wie die meisten Apple-Notebooks. Sind die also insgesamt die einzigen sicheren Geräte? Das kann ich mir eigentlich nicht vorstellen.
Aber eigentlich ist das auch egal, oder würden Sie einen Test mit dem USB Killer wagen? Ich nicht. Bei keinem Gerät. Das Risiko, danach vor einem Haufen Elektroschrott zu sitzen, ist mir zu hoch.
Der mangelhafte Schutz der meisten Geräte vor Überspannungen auf dem USB-Port war auch ein Grund für die Entwickler, den USB Killer zu veröffentlichen: Sie wollen die Hersteller zwingen, ihre Geräte zu schützen. Was auch dringend nötig ist, denn die Gefahr geht ja nicht nur vom USB Killer aus, sondern auch von jedem anderen Gerät, dass eine Überspannung erzeugt und an die Datenleitungen des USB-Ports angeschlossen wird. Das kann ja durchaus auch mal ein defektes, eigentlich harmloses Gerät sein.
Besonders nett finde ich zwei Punkte auf der Website. Zum einen unter "IS IT SAFE?" den Satz
"It is fabricated and assembled to CE-Approved standard, with the utmost priority on user safety."
Es macht zwar den Rechner kaputt, ist aber sicher. Wobei ich mich nur frage, für welchen Bereich die CE-Kennzeichnung angebracht wurde.
Und dann ist da die Aussage eines "Systems Penetration Testers":
"Simply put, the USB Killer just works. Small, discrete and delivered quickly. It's earned a permanent place in my toolkit."
Also wer so einen Penetration-Tester hat braucht danach keine Angreifer mehr zu fürchten. Wenn der mit der Arbeit fertig ist, sind alle Geräte absolut sicher. Zwar kaputt, aber sicher - von denen klaut keiner mehr Daten, auf denen schleust keiner mehr Schadsoftware ein.
In der nächsten Woche werden weitere Angriffe auf bzw. über USB vorgestellt.
Trackbacks