Anleitung für perfide Angriffe über USB ist öffentlich

  • Zitat

    Im August hatten die Berliner Hacker Karsten Nohl und Jakob Lell auf der Black-Hat-Konferenz in Las Vegas erklärt, wie sie jedes Gerät, das einen USB-Anschluss hat, in ein perfides Angriffswerkzeug verwandeln können. Ein USB-Stick, eine Maus, eine Webcam - all diese Geräte können einem Computer vorgaukeln, ein anderes Gerät zu sein, als sie sind. Und deshalb können sie ganz andere Dinge tun, als ein Nutzer erwartet, ohne dass der das bemerkt. Selbst die vollständige Übernahme eines fremden Rechners ist auf diesem Weg möglich.

    Das Besondere an der BadUSB getauften Angriffsfamilie: Die Malware steckt in der Firmware des Controller-Chips eines USB-Geräts. Dort wird sie von keinem Antivirusprogramm gefunden und kann auch nicht einfach gelöscht werden. Das unterscheidet sie von klassischen Viren und Trojanern, die als Datei im Speicherchip eines USB-Sticks darauf warten, vom ahnungslosen Anwender geöffnet zu werden.

    Die Malware kann zudem so gestaltet werden, dass sie erstens auf jedem Betriebssystem funktioniert und zweitens über den zuerst infizierten Rechner jedes weitere angeschlossene USB-Gerät befällt. Befallen heißt in diesem Fall: Auch die Firmware der Controller-Chips aller anderen USB-Geräte wird von der Schadsoftware überschrieben. Damit entsteht ein kaum zu entdeckender Wurm.

    […]

    Noch mal zusammengefasst: Die Anleitung für einen kaum zu entdeckenden und schwer zu verhindernden Angriff auf fremde Computer ist jetzt öffentlich. Es dürfte nur noch eine Frage der Zeit sein, bis das jemand ausnutzt.

    Vollständiger Artikel:
    http://www.golem.de/news/computers…410-109726.html

  • Was soll denn nun ein gemeiner Nutzer mit diesen Erkenntnissen machen ? Nichts, denn er kann nichts machen.
    In dieser Form trägt diese Erkenntnis einfach nur zur Verunsicherung bei.

    Man müsste wieder beim OS anfangen, denn die z.B. angesprochene neue Tastatur müsste abgefangen / nachgefragt werden, denn das ist kein normales Szenario.

    Die Pflichtigen sehe ich derzeit beim Vertreiber / Entwickler des OS, denn die diversen Sticks kann man nicht einfach einfangen. Und falls es wirklich mal einen Update der Firmware der Sticks geben sollte, wird das nicht ziehen.

  • Zitat von .Hermes

    Was soll denn nun ein gemeiner Nutzer mit diesen Erkenntnissen machen ? Nichts, denn er kann nichts machen.
    In dieser Form trägt diese Erkenntnis einfach nur zur Verunsicherung bei.

    Der Nutzer kann damit etwas machen und zwar etwas ganz Wichtiges: Ein Bewusstsein für eine neue Art von Bedrohung erlangen. Ich halte es für elementar wichtig, dass man weiß, was für Gefahrenpotentiale existieren und dass man sich nicht in Sicherheit wiegt, nur weil man einen Virenscanner installiert hat. Auch in diesem Forum tauchen immer wieder Nutzer auf, die meinen, dass ihr System noch nie befallen war, weil ihr ach so tolles Programm nicht angeschlagen hat. Sicherheit beginnt bei der Aufklärung der Anwender.

  • Zitat von Sören Hentzschel

    Ein Bewusstsein für eine neue Art von Bedrohung erlangen.

    Das ist schon richtig, aber was sollen die Anwender denn damit machen ?

    Im normalen gesellschaftlichen Umfeld hat sich z.B. der Gebrauch von Kondomen etabliert. Nur hier können die Anwender nichts machen, sie sind von flankierenden Maßnahmen der Hersteller der OS abhängig.

    Da hier gerade die Virenscanner angesprochen wurden, hier habe ich beim Freundeskreis meiner Söhne genug Erfahrung sammeln können. Wie oft die bei mir aufgetaucht sind, strotzt beinah jeder Erwartung.

  • Btw: Hatte übers WE zufällig privat Kontakt mit einem gewerbl. Datenschützer. Er erzählte mir, er habe aktuell auf einem frisch gekauften fabrikneuen USB-Stick mehr als 1 Dutzend Cookies vorgefunden.

    Was ist denn das?

    Aber vielleicht kann man eine solche Frage in diesem Thread nicht stellen, dann Nachsicht bitte :)

  • Sorry Leute, aber ihr habt etwas noch nicht verstanden.
    Es geht um die Firmware des USB-Gerätes. Darin sind die Protokolle für die Kommunikation der beiden Partner niedergelegt. Erst nach einem Austausch der Protokolle verstehen sich u.U. die Partner und es wird z.B. ein USB-Drive erkannt und kann angesprochen. Ansonsten wäre es ein unbrauchbares Stückchen Silizium.

    Bei dem obigen Angriff wird jedoch zusätzlich eine USB-Tastatur definiert, die dann nach dem Austausch der Protokolle ihre Befehle an das OS geben wird.

    Dies wird bislang nicht verhindert, da man auf diesen perfiden Gedanken überhaupt nicht kam.

  • Du hast recht, und ich sehe das auch so:

    Der Hinweis auf die Möglichkeit eines solchen Angriffs ist zwar Interessant, aber letztendlich nutzlos, da es keinerlei Abwehrmöglichkeiten gibt.

    OK, ich habe nun ein Bewusstsein dafür dass das Anschließen eines Druckers, einer Tastatur, einer Webcam, oder was auch immer, mein System verseuchen kann.
    Aber ich kann nichts dagegen tun.

    Deshalb, zur Kenntnis nehmen, Abheften, weitermachen.

  • Zitat von Palli

    Der Hinweis auf die Möglichkeit eines solchen Angriffs ist zwar Interessant, aber letztendlich nutzlos, da es keinerlei Abwehrmöglichkeiten gibt.

    Diese hergestellte Kausalität finde ich interessant: Derzeit keine Abwehrmöglichkeit, also sei der Hinweis nutzlos. Ich denke absolut nicht, dass Nutzen nur in dem Wissen besteht, welches sich direkt in irgendeiner Form anwenden lässt. Würde nämlich jeder so denken, dann wären wir wirklich verloren, da die meisten Angriffe irgendwann einmal nicht abgewehrt werden konnten, da neu und unbekannt. Und ich finde es darüber hinaus ein sehr nützliches Wissen in einem Forum wie diesem, in welchem immer in großem Vertrauen auf gewisse Sicherheits-Software verwiesen wird. Man muss wissen, dass es Schadsoftware gibt, welche keine Chance hat, von der derzeitigen, auch hier immer wieder empfohlenen Software erkannt zu werden, schon um gar nicht erst auf die Idee zu kommen, sich in vermeintlicher Sicherheit zu wiegen. Und für einige Nicht-Windows-Nutzer ist es auch wichtig zu sehen, dass wir hier von einer plattformübergreifenden Bedrohung sprechen, vor welcher die Verwendung von Linux oder OS X nicht schützt. Das ist längst nicht jedem klar, auf diesen Plattformen ist ein falsches Sicherheitsbewusstsein leider sehr stark verbreitet, weil es insbesondere aufgrund der Verbreitung von Windows viel mehr Schadsoftware dafür gibt, und weil es auf Windows üblicher ist, mit den vollen Administratorrechten zu surfen, was das Gefahrenpotential dort erhöht. Daraus entsteht schnell eine vermeintliche Sicherheit, welche fast gefährlicher ist, möchte ich behaupten. So gesehen hat dieser Hinweis sogar einen direkten Nutzen, wenn die Botschaft beim Leser ankommt.

    Mir ist klar, dass ein paar von euch Experten sind, aber ihr, die ihr hier aktive Helfer seid, seid vollkommen anders als der Durchschnitt. Den meisten Anwendern sind solche Dinge eben nicht klar. Die vertrauen in erster Linie auf ihre Software. Und wenn für die Software sogar bezahlt wird, dann ist Schadsoftware sowieso gänzlich ausgeschlossen, so denken doch bekanntermaßen nicht wenige. ;)

  • Zitat von Sören Hentzschel

    Und für einige Nicht-Windows-Nutzer ist es auch wichtig zu sehen, dass wir hier von einer plattformübergreifenden Bedrohung sprechen, vor welcher die Verwendung von Linux oder OS X nicht schützt.

    Genau an dieser Ecke knabbere ich noch.
    Mit den richtigen Protokollen muss die besagte Tastatur, deren Signatur vom System erkannt werden muss und die dafür benötigten Treiber im System installiert sein müssen, einer Shell / einem Terminal eines Users zugeordnet werden, welche(s) die Eingaben verwerten kann. Vorher kann keinerlei Eingabe stattfinden, da die einrichtenden Prozesse keine Eingaben empfangen / auswerten.

    Mir fehlen z.Z. Informationen um ein Szenario darstellen zu können, bzw. die getätigte Aussage für Ubuntu zu widerlegen.
    Die Nennung der Distribution ist hierbei relevant, da es sich bei Linux um einen Gattungsbegriff wie z.B. Schokolade handelt.