Seit wenigen Tagen
eilt die Nachricht durch die Medien und erschreckt weltweit Computernutzer: Die
Berliner Firma SRLabs hat eine neuartige Angriffstechnologie entwickelt, die es
erlaubt jedes USB-Gerät als Waffe zu missbrauchen und wird diese Methode am
7.8.2014 im Rahmen der BlackHat Konferenz in Las Vegas vorstellen. [1]
Die Reaktionen auf
diese Ankündigung sind sehr verschieden. Von manchen Seiten wird die Chance auf
Sicherheit von Computern zu Grabe getragen und der Kampf gegen
Cyber-Kriminalität wird endgültig als verloren gemeldet. [2] Von anderen Seiten
wird wiederum darauf hingewiesen, dass diese Angriffe bereits seit mindestens
2011 bekannt und durchführbar sind. [3] Wenn man das Internet nach dem Produkt
„Rubber Ducky“ durchsucht, findet man sogar kommerzielle Werkzeuge um solche
Angriffe durchzuführen. [4]
Bei der Methode von SRLabs
werden USB-Geräte durch eine neue Software (Firmware) innerlich in andere
Geräte umgewandelt. Ein Speicherstick oder eine Digitalkamera kann durch die
aufgespielte Software so modifiziert werden, dass daraus ein WLAN-Adapter oder
eine Tastatur wird. Zumindest denkt das der Rechner, an den das Gerät
angesteckt wird. Hierbei spielt es keine Rolle, ob der Rechner ein Windows, MAC
OS X oder Linux Betriebssystem besitzt. Besonders gefährlich sind Geräte, die
zu einer USB-Tastatur umfunktioniert wurden. Über diese lassen sich in
Bruchteilen einer Sekunde und ohne Benutzerinteraktion beliebige Befehle
„eintippen“. Der Rechner des Opfers kann somit beispielsweise mit Schadsoftware
infiziert und im Anschluss über das Internet ferngesteuert werden. Zusätzlich
umgeht diese Version gängige Sicherheitsmechanismen in
Hochsicherheitsumgebungen. Sogenannte USB-Blocking-Software blockiert meist nur
unbekannte USB-Speichermedien, nicht jedoch USB-Tastaturen oder Mäuse, da sonst
ja die Bedienung eines Rechners erheblich erschwert werden würde.
So gefährlich und aussichtslos
das klingen mag, es gibt einen Lichtblick: Fast alle Angriffsszenarien, außer
der „bösen Tastatur“, lassen sich durch USB-Blocking-Software eindämmen oder
durch fehlende Administratorrechte der Benutzer verhindern. Angriffe mit vorgetäuschten
Tastaturen können nur schwer verhindert werden, sind aber auf dem Monitor des
Opfers sichtbar. Schließlich muss diese Tastatur die gefährlichen Befehle auf
der grafischen Oberfläche des Rechners erst einmal tippen. Dieses Tippen kann
vom Opfer auf dem Bildschirm erkannt werden, wie in dem folgenden Video zu
sehen ist:
Im Video sehen Sie,
wie unser manipulierter USB-Raketenwerfer (besonders bei IT affinen Menschen,
wie Systemadministratoren beliebt) nach dem Einstecken rechts das Menü öffnet.
Dort wird, kurz erkennbar, ein Befehlt ausgeführt. Das alles dauert nur wenige
Augenblicke. Wie Sie sich nach unserer kurzen Einführung nun sicher denken
können, handelt es sich in Wirklichkeit nicht mehr nur um einen Spielzeugraketenwerfer
mit USB-Anschluss, sondern zudem um eine eingebaute Tastatur, die beim
Einstecken Tastaturbefehle absetzt.
Dem Angreifer wird
kurz nach Ausführung unserer Malware auf dem USB-Gerät die entfernte Steuerung
des Opfersystems online übertragen, ohne dass das Opfer etwas davon merkt, die
Firewall etwas blockiert oder das Antivirensystem etwas erkennt. Der Rechner
steht vollständig unter fremder Kontrolle:
Das große
Problem im Unternehmensumfeld:
Wenn der Benutzer etwas bemerkt, ist es zu spät.
Dann hilft nur noch schnelles Handeln! Das Opfer sollte den Vorfall umgehend einem
Sicherheitsbeauftragten melden, damit dieser Gegenmaßnahmen einleiten kann.
- Prägen Sie sich den Vorgang ein und zeigen Sie das Video Ihren Kollegen und Mitarbeitern, damit diese den Angriff erkennen können.
- Kennen in Ihrem Unternehmen alle Benutzer die Ansprechpartner und Prozesse bei Sicherheitsvorfällen? Nein? Nicht sicher? Dann ist jetzt der perfekte Zeitpunkt, diese wesentliche Information aufzufrischen.
Nur wenn Mitarbeiter einen
solchen Angriff erkennen können, den zuständigen Ansprechpartner kennen und dadurch
Sicherheitsvorfälle rasch und zuverlässig melden, lässt sich der Schaden
eindämmen, der durch einen trojanisierten Rechner unter der Kontrolle
Krimineller entsteht.
Wenn Sie Fragen haben,
wie man sich auch technisch davor schützen kann oder Hilfe benötigen: Sprechen
Sie uns einfach an!
Ihr NSIDE Team.
W www.nsideattacklogic.de
T +49 (0) 89 89 082 110
E nfo@nsideattacklogic.de
T +49 (0) 89 89 082 110
E nfo@nsideattacklogic.de
[1] https://srlabs.de/badusb/ (aufgerufen: 5.8.2014 18:00)
[2] http://www.zeit.de/digital/datenschutz/2014-07/usb-controller-chip-angriff-srlabs (aufgerufen: 5.8.2014 18:00)
[3] http://www.heise.de/security/meldung/BadUSB-Wenn-USB-Geraete-boese-werden-2281098.html (aufgerufen: 5.8.2014 18:00)
[4] https://hakshop.myshopify.com/products/usb-rubber-ducky-deluxe (aufgerufen: 5.8.2014 18:00)
Keine Kommentare:
Kommentar veröffentlichen