Computersicherheit: Jedes USB-Gerät kann zur Waffe werden
Berliner Sicherheitsforscher haben einen neuartigen Angriff auf fremde PCs entwickelt. Alles, was einen USB-Stecker hat, kann ihn auslösen. Gegenwehr ist kaum möglich.
USB-Stick neben einem Laptop | © Ole Spata / dpa
USB-Geräte sind ein viel größeres Sicherheitsrisiko, als bisher allgemein angenommen wird. Ein spektakulärer Hack von Berliner Sicherheitsforschern zeigt: Sticks oder anderen USB-Geräten wie externen Tastaturen oder Webcams sollte niemand mehr trauen.
Zwei Mitarbeiter der Security Research Labs (SRLabs) haben eine ganze Familie von neuartigen Angriffen entwickelt, die sich eine Schwachstelle zunutze machen, die fast alle Geräte mit USB-Anschluss gemeinsam haben. Am kommenden Donnerstag werden sie ihre Forschungsergebnisse auf der BlackHat-Konferenz in Las Vegas vorstellen. Zuvor haben sie ZEIT ONLINE und dem Westdeutschen Rundfunk (WDR) erklärt und gezeigt, wie ihre Angriffe funktionieren.
"Beim Thema Sicherheit und USB denkt jeder an Viren, die auf USB-Sticks abgelegt werden", sagt Karsten Nohl, Leiter der SRLabs. "Und genau darum geht es hier nicht. Jedenfalls nicht darum, dass jemand auf dem Speicherchip des USB-Sticks einen Virus lädt und auf jemanden wartet, der dumm genug ist, da draufzuklicken. Wir reden hier von einem Angriff auf einen anderen Chip, der ebenso in jedem USB-Stick steckt, nämlich vom Controller-Chip."
Der Controller-Chip ist so etwas wie der Übersetzer zwischen einem USB-Gerät und dem Computer, an den es angeschlossen wird. Zu diesem Chip gehört eine Firmware – eine Software, die Informationen unter anderem dazu enthält, zu welcher Geräteklasse ein Chip gehört. Diese Firmware schreiben die Berliner um, so dass sie zum Ausgangspunkt für ihre Attacke wird. Wie diese dann im Einzelnen abläuft, hängt vom jeweiligen Gerät ab. Immer gleich ist jedoch der Ansatz: Jedes präparierte USB-Gerät gibt sich als ein anderes aus. Es kann also ganz andere Dinge tun, als ein Nutzer erwartet, wird dabei vom angeschlossenen Computer aber als normales externes Gerät eingestuft – womit alle üblichen Sicherheitsvorkehrungen ausgehebelt werden.
Ein USB-Stick etwa tut so, als sei er eine Tastatur. Der Nutzer kann zum Beispiel wie gewohnt Dateien auf den Stick ziehen. Im Hintergrund aber öffnet der Stick mit seinen Tastaturfähigkeiten die Eingabemaske des Windows-Startmenüs und schreibt Befehle hinein. Vereinfacht gesagt, baut er auf diesem Wege eine Verbindung zu einem sogenannten Command-and-Control-Server auf, über den der Angreifer dann die Kontrolle über den Rechner übernimmt. Er kann alle Tastatureingaben protokollieren, die Webcam aktivieren und Fotos vom Opfer machen oder auch Screenshots vom Bildschirminhalt anlegen.
Jakob Lell und Henryk Plötz haben die Angriffstechnik entwickelt, zusammen mit Karsten Nohl führen sie eine Attacke in ihrem Berliner Büro vor. Das "Opfer" ist ein WDR-Redakteur in Köln, der einen präparierten USB-Stick an seinen Dienstrechner steckt. Nach einer voreingestellten Zeit – das können 30 Sekunden oder auch zehn Minuten sein – wird die versteckte Funktion aktiv. Sie stellt dann eine Verbindung zum Server von Plötz her. Ab diesem Zeitpunkt kann der Forscher alles auf dem Rechner des Opfers tun, was es selbst auch tun kann. Testweise meldet sich der Redakteur bei einem Webmail-Dienst an. Plötz sieht Benutzernamen und Passwort und verschafft sich ebenfalls Zugang zu dem Postfach. Nebenbei fotografiert er das Opfer heimlich mit der Webcam und schaut nach, welche Websites der Redakteur derzeit noch geöffnet hat. In der ARD-Sendung Monitor wird der Angriff am Donnerstagabend um 21:45 Uhr zu sehen sein.
Die Übernahme des Rechners sei technisch nichts Besonderes, sagt Plötz. Er nutzt dafür das Metasploit Framework, eine bekannte Open-Source-Software für Sicherheitstests. Es gibt raffiniertere Spähsoftware, aber für die Demonstration des Angriffs reicht diese völlig aus.
Viele denkbare Angriffsszenarien
Das Besondere an dem Angriff ist die Art der Infektion. Die ist erstens kaum zu erkennen und zu verhindern. Es gibt keine verseuchte Datei, die ein Antivirenprogramm finden könnte, der Stick kann komplett leer sein. Die meisten USB-Geräte werden ohne jede Rückfrage vom Computer akzeptiert. "Es gibt keinen Mechanismus, der einen USB-Stick davon abhält, eine Tastatur zu werden", sagt Karsten Nohl. "Weil die gleichen Controller-Chips von ganz verschiedenen Stick-Herstellern verwendet werden, muss man sie leicht umprogrammieren können, damit sie mal mit diesem, mal mit jenem Speicherchip funktionieren."
Zweitens ist die Angriffstechnik flexibel. Ein Stick kann eine Tastatur nachahmen, eine Tastatur eine Maus, ein Smartphone eine Netzwerkkarte. "Es gibt Hunderte von Geräteklassen, die sich jetzt alle emulieren lassen", sagt Nohl. "In Sachen Angriffspotenzial sind der Fantasie keine Grenzen gesetzt. Auch weil es keinen Test gibt, der feststellt, ob auf dem USB-Gerät die Original-Firmware läuft oder nicht."
Für alle Varianten ergeben sich verschiedene Möglichkeiten, ein Opfer zu überwachen. Ein Android-Smartphone etwa ist besonders leicht zu manipulieren, weil es schon alle Treiber installiert hat, die man braucht, um andere USB-Geräte nachzuahmen. Wer jemanden ausspionieren will, bittet einfach darum, sein (präpariertes) Smartphone an dessen PC aufladen zu dürfen. Das Smartphone lässt den angeschlossenen Computer glauben, er sei mit einer USB-Netzwerkkarte, also per Kabel, mit dem Internet verbunden worden. Weil der PC dies einer WLAN-Verbindung immer vorzieht, verabschiedet er sich aus seinem WLAN und leitet allen Internetverkehr durch das vermeintliche Kabel, also durchs Smartphone. Die Malware kann dort Daten abfangen und auch verändern, also zum Beispiel gefälschte Webadressen aufrufen. Jakob Lell denkt dabei an Banking-Trojaner: Wer das Smartphone eines Nutzers und gleichzeitig dessen PC kontrolliert, kann alle Daten abfangen, die zum Onlinebanking per mTAN benötigt werden.
Drittens funktioniert der Angriff plattformübergreifend, also auf Windows- und Linux-Rechnern ebenso wie auf Apple-Computern.
Viertens kann die Schadsoftware so programmiert werden, dass sie sich vom ersten USB-Stick auf einen PC kopiert und von dort auf jedes weitere angeschlossene USB-Gerät. So könnte sie sich sehr schnell verbreiten.
Was die Berliner entwickelt haben, können auch andere entwickeln
Den Angriffen von Lell und Plötz fehlt der letzte Feinschliff. So könnten aufmerksame Beobachter beim Anschluss eines präparierten USB-Sticks an einen Windows-PC bemerken, dass irgendetwas für wenige Sekundenbruchteile aktiv geworden ist. Das geht zwar zu schnell, um es abbrechen zu können, aber es kann reichen, Verdacht zu schöpfen und den PC nicht weiter zu benutzen. Weil aber alles weiterhin normal funktioniert, dürften die meisten Anwender ein kleines Fenster, das sich selbst wieder schließt, ignorieren. Erst recht, wenn die Aktion erst eine Stunde nach dem Einstecken des USB-Sticks beginnt und deshalb von den meisten nicht mehr mit dem Stick in Verbindung gebracht werden dürfte. Solange der Bildschirm nicht gesperrt ist, kann der Angriff starten. Tricks, ihn noch besser zu verschleiern, sind denkbar.
Den Forschern geht es darum, auf die Gefahr aufmerksam zu machen, die von USB-Geräten ausgeht. Wenn sie solche Angriffe entwickeln können, dann können es andere auch – erst recht, wenn sie größere finanzielle und personelle Mittel dazu haben. Lell hat für das Reverse Engineering von zwei verschiedenen Controller-Chips nur ein paar Monate gebraucht, und das ist sogar der aufwändigste Weg, an den Code der Firmware zu kommen. Wer sich bei den Herstellern oder deren Zulieferern einkauft, erreicht das womöglich schneller.
BSI: Solche Manipulationen sind schwer in den Griff zu bekommen
Wer kann nun was gegen diese Gefahr unternehmen?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI)
hat ZEIT ONLINE telefonisch zugesichert, diese Frage schriftlich zu
beantworten, dies aber bisher nicht getan. Der Sprecher sagte am Telefon, das Problem sei durch "technische und organisatorische Maßnahmen in den Griff zu kriegen". So müsse etwa sichergestellt sein, dass die Firmware von USB-Geräten vertrauenswürdig sei. Andernfalls seien solche Manipulationen "schwer in den Griff zu bekommen". Wie die Abnehmer und Nutzer von USB-Geräten das überprüfen sollen, sagte er nicht.
Die große Lösung wäre eine Änderung des gesamten USB-Standards. Der müsste um Schutzvorkehrungen erweitert werden. "Aber das wird zehn Jahre dauern", sagt Nohl, weil solche Standards immer von vielen beteiligten Parteien entwickelt und beschlossen werden müssen.
Die Hersteller von Controller-Chips müssten deshalb zunächst ihre Produkte so gestalten, dass sie gar nicht oder nur mit ihrer Signatur umprogrammiert werden könnten. Solche Chips gebe es schon, sagt Nohl, aber die Gerätehersteller würden sie nicht kaufen, weil sie etwas teurer seien als die herkömmlichen.
SD-Karten statt USB-Sticks
Unternehmen, Behörden und alle Organisationen, die mit sensiblen Daten arbeiten, müssten ihren Umgang mit USB-Geräten überdenken. Wer zum Beispiel eine Datei auf einem USB-Stick ausgehändigt bekomme, müsse den beteiligten Personen komplett vertrauen können, sagt Nohl – und deren Computern.
USB-Sticks als Medium zum Tausch von Dateien aber hält Nohl grundsätzlich für nicht mehr vertrauenswürdig. Er schlägt vor, auf Sticks zu verzichten und stattdessen SD-Karten zu verwenden. Die könnten nämlich nicht so tun, als seien sie etwas anderes. Voraussetzung dafür ist natürlich, dass die Computer über integrierte Kartenleser verfügen. Oft sind das aber externe Geräte – die über USB angeschlossen werden.
Anwender müssten für ungewöhnliche Vorgänge sensibilisiert werden, zum Beispiel für Fenster auf ihrem Desktop, die sich kurzzeitig öffnen und dann wieder schließen. Wer so etwas bemerkt, sollte seinen Rechner nicht mehr verwenden, bis klar ist, was da gerade passiert ist. Nutzer sollten zudem möglichst nicht mit Administratorrechten arbeiten – die Schadsoftware kann nur tun, was der jeweilige Anwender auch gerade tun darf. Das kann das Ausmaß eines Angriffs zumindest einschränken, verhindern allerdings nicht.
verursacht ja schon Kopfschmerzen ...
Ansonsten bleiben mehr Fragen als Antworten. Aber schaun wir mal, bald wissen wir mehr.
... Panikmache war immer schon Kriegskunst der Medien.
Gerade wenn es um Computer und Internet geht - die Verblödung der Massen in diesem Bereich ist doch mehr als offensichtlich. Was einem immer erzählt wird ... traurig.
Vor allem Waffe. Wenn mein PC kaputt ist, dank Virus oder ähnlichem - bewaffneter Überfall auf mein Leben, klare Sache. Hallo ZEIT - ihr erinnert mich an Spiegel - und der neuerdings an BILD.
Hallo BILD!
"Wer zum Beispiel von seiner Unternehmens-IT eine neue USB-Tastatur ausgehändigt bekomme, müsse den beteiligten Personen komplett vertrauen können, sagt Nohl – und deren Computern."
Wenn der Feind schon in der hausinternen IT sitzt, dann hat man sowieso verloren. Der braucht dann auch keine manipulierten USB-Geräte mehr.
Ich habe die Passage geändert. Danke für den Hinweis.
Besonders lustig auch dieser Satz: „Wer das Smartphone eines Nutzers und gleichzeitig dessen PC kontrolliert, kann alle Daten abfangen, die zum Onlinebanking per mTAN benötigt werden.“
Wie hätte Loriot gesagt: „Ach.“
gesamte aufgehaeufte Infrastruktur zu einem Haeufen Sicherheitsrisiken zusammen.
Smartphones - das ist inwischen jedem klar, dass sie genauso gegen wie fuer einen arbeiten koennen.
WLAN, Bluetooth - alles angreifbar, macht alles angreifbar
Jede (neue) Hardware (Mainboards mit Chips unbekannter Verwendung)
Jedes Betriebssystem - ausser Linux vielleicht
Wohl jede Krypto-Software
Sicherlich jede Kommunikationssoftware (email, chat ect.)
Alles was auf der Platte ist, steht scheinbar unbefugten Dritten im Zugriff
Und jetzt soll man USB Speicher Medien meiden, weil USB ein Risiko birgt.
Das wird allmaehlich verdammt eng.
XMPP (ehemals "Jabber") mit OTR-Verschlüsselung soll ganz gut sein. Nutzen aber nur wenige, dabei ist die Einrichtung m.M.n. nach für Laien durchführbar.
Was mich aber bei dem Artikel frage: Wie soll ich dann noch Datenaustausch betreiben mit anderen? OK gut, SD-Karte wurde genannt. Aber wie immer heißt es da: Die anderen Leute müssen da mitspielen. Ansonsten brennen wir wieder alles auf CDs, wie "früher" ;-)
Ich bin kein IT-Experte, daher folgende Frage:
Ist die Mikrokontroller-Tastaturnummer nicht (über die Teensy-Kits) ein ziemlich alter Hut?
Eine Tastatur ist ein Mikrocontroller. Und klar, man kann einen universellen Mikrocontroller wie einen Teensy so programmieren, dass er sich wie eine Tastatur verhält. Das ist sogar in den einschlägigen Beispielprogrammen der Mikrocontroller-Hersteller beschrieben.
Dass sich USB-Geräte einfach emulieren lassen, ist wahrlich nichts Neues. Dagegen hilft dann auch eine weite Verbreitung von nicht-änderbaren Controllern nichts. So wie ich es verstanden habe, ist das Besondere hier lediglich, dass man normale USB-Geräte nehmen und sie manipulieren kann, ohne gleich ein Geheimndienst zu sein. Also Verfügbarkeit und Unauffälligkeit.
Und auch die Idee, das ganze für Exploits zu nutzen ist nicht gerade innovativ. So gesehen zum Beispiel bei Homeland.
Ansonsten ist auch zu sagen, dass das dynamische Ändern der Geräteklasse inzwischen ein recht weit verbreitetes Feature ist. Ich habe hier einen UMTS-Stick, der sich zunächst mal als Treiber-CD meldet und dann als Breitbandmodem und SD-Kartenleser fungiert. Auch das Beispiel mit dem Telefon, das sich als Netzwerkkarte meldet gibt es so wirklich und ist eine elegante Art, vom Computer aus über das Smartphone ins Netz zu gehen.
Klar man hörte schon immer von selbstgebauten usb geräten.
Daher ist es oft nicht erlaubt usb geräte zu verwenden.
Die neue quaität ist, dass die massenhaften controllerchips jetzt zweckentfremdet werden.
können Sie auch nicht einfach so überschreiben, das muss schon halbwegs zum angeschlossenen Gerät passen. Sowohl von den Funktionen her als auch von der Größe usw.
Da müssen Sie schon für jede Art USB Gerät den passenden Exploit zur Hand haben, sonst meint die Tastatur sie wäre ein Stick und man kann halt nichtmehr tippen. Außerdem erstmal Schreibzugrifff auf die Firmware haben.
Also das klingt doch sehr theoretisch hier.
Bin mal gespannt auf Black Hat :-)
... das stimmt, aber denken Sie daran dass vor noch nicht langer Zeit ein "unbekannter Dienst" ungefähr 4 zero-day-exploits ausgenutzt hat um eine air bridge zu überwinden. Vor Script-Kiddies, die jetzt einen USB-Virus lostreten, muss man wohl weniger Angst haben. Aber es ist wieder einmal ein eindrucksvoller Beweis der alten Theorie, dass das Eindringen in ein System nur eine Frage der Kosten ist.
Im Nachhinein ist es immer einfach, aber der Hack ist so genial wie auch simpel. Kann mir fast nicht vorstellen, dass die Berliner die ersten sind die darauf gekommen sind. Spannend! Auch interessant, wie jetzt reagiert wird - entweder wird das unter den Teppich gekehrt oder die Angelegenheit wird nochmal eine ganze Ecke teurer als Heartbleed.
also das man grundsätzlich eine Firmware überschreiben oder sonst wie überwinden kann und dann eigenen Code dort hat ist klar, das ist dann auch nichts neues sondern das kenne ich seit den 90ern.
Wenn das wirklich alles ist klingt es eher nach altem Hut und Theorie, auch wenn es jetzt natürlich nicht falsch ist.
Das jedes Gerät angreifbar ist, wenn der Angreifer genug Zeit und Geld investiert, sollte eigentlich schon länger klar sein.
besonders, wie systemübergreifend das eingesetzt werden kann, da dies lt. Autor ja möglich sein soll. Besonders bei *nix Systeme wäre es spannend, da die Entwickler das gesamte Rechte und Zugriffs System dort ad absurdum führen würden.
Ich habe die Passage geändert. Danke für den Hinweis.
... ist mein Sinclair Spectrum?
Eine gute und wichtige Demonstration - bei einer derart offensichtlichen Lücke kann auch nicht ausgeschlossen werden, dass sie bereits seit langem genutzt wird (das Problem dürfte seit den 1990er Jahren bestehen). Signierte Firmware ist sicher eine langfristige Lösung, schafft kurzfristig aber Kompatibilitätsprobleme mit vorhandener Hardware.
Eine Möglichkeit wäre es, kurzfristig die Plug&Play Fähigkeiten des Hosts zu deaktivieren, und jedes unsignierte USB-Gerät bestätigen zu lassen. Dazu ließe sich lokal ein Schüssel aus der Firmware einmal bestätigter Geräte generieren, damit diese dann künftig automatisch akzeptiert werden. Bei neuen Geräten - eben dem USB-Stick des Kollegen - müsste die Verwendung dann manuell bestätigt werden und bei jeder Änderung der Geräteklasse (wenn der Stick eben eine Tastatur oder Netzwerkkarte sein möchte), die dem Anschluss eines neuen Gerätes gleichkommt, müsste dies erneut geschehen.
Etwas aufwändiger als Plug&Play, aber nicht wirklich unzumutbar. Mal sehen, wie schnell die OS-Hersteller reagieren.
Jein. Man kann Plug&Play schon beibehalten, jedoch sollte man eben das Einverständnis des Benutzers abfragen. "Es wurde gerade eine Tastatur eingesteckt. Wollen Sie die benutzen?"
Im Normalfall (eine echte, nicht schadende Tastatur) wird das vielleicht Unverständnis beim Benutzer hervorrufen, doch sind die Benutzer sensibilisiert, werden sie das mit der Zustimmung schon schaffen.
Ich ziehe nicht die in dem Artikel beschriebenen Forschungsergebnisse in Zweifel, allerdings stellt sich die Frage, wie umfänglich diese Bedrohung tatsächlich ist.
Diesbezüglich ist in Betracht zu ziehen, wer und wozu wird heute Schadcode im Umlauf gebracht - in der Hauptsache geht es darum, Geld zu stehlen. Für diese Täter ist es von größter Bedeutung, der Schadcode verbreitet sich so weit als möglich automatisch weiter.
Das in dem Artikel beschriebene Szenario setzt aber voraus, jeder zu kompromittierende Computer wird gezielt über speziell für diesen Zweck präparierte Hardware attackiert. Solchen Aufwand betreiben üblicher Weise eher Geheimdienste - siehe Stuxnet.
Ganz gewiss ist die Bedrohung real, nur ist in Betracht zu ziehen, die Methoden über die die manipulierte Firmware eines USB-Stick ein Betriebssystem kompromittieren könnte, unterscheiden sich prinzipiell nicht von denen anderer Formen von Schadcode. Insofern sind zunächst einmal die Anbieter von Betriebssystemen gefragt, auf diese Bedrohung zu reagieren.
Überall dort wo Sicherheit die höchste Priorität genießt, lassen sich USB-Ports durchs Betriebssystem deaktivieren. Dies war beispielsweise schon unter Windows XP möglich und ist meines Wissens bei Behörden bis heute gängige Praxis.
Bitte melden Sie sich an, um zu kommentieren