Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

News: BadUSB-Risiko ausgeweitet

USB-Geräte: mehr als die Hälfte können missbraucht werden

Michael Nickles / 45 Antworten / Flachansicht Nickles
Hier wird verdeutlicht, dass nur ein kleiner Teil von USB-Sticks für Anwender sichtbar ist, die Controller-Elektronik und ihr Betriebssystem (Firmware) sind verborgen. (Foto: Security Research Labs)

Anfang August kam raus, dass USB-Sticks sich durch Manipulation ihrer Firmware von jederman in gefährliche Spionagewerkzeuge verwandeln lassen.

Die deutschen Sicherheitsforscher Karsten Nohl und Jakob Lell von Security Research Labs demonstrierten die Gefahr zunächst bei USB-Sticks mit Phison 2251-03 Controller.

Anfang Oktober machten zwei Sicherheitsexperten den USB-Geräte-Herstellern Druck, indem sie eine konkrete Bauanleitung veröffentlichten, wie USB-Sticks umprogrammiert und für beliebige Zwecke missbraucht werden. Ob ein USB-Stick mit der "BadUSB" getauften Methode manipuliert ist, lässt sich nicht feststellen.

Die einzige Chance besteht lediglich darin, einen eventuell verbauten Phison 2251-Controller zu indentifizieren und betroffene Sticks dann nicht mehr zu verwenden (siehe Tipp USB-Trojaner-Risiko - Phison 2251-03 Controller identifizieren).

Jetzt gibt es leider erwartungsgemäß neue Horrormeldungen von den Entdeckern des BadUSB-Sicherheitsproblems: über 50 Prozent aller auf dem Markt befindlichen USB-Geräte gelten nun als manipulierbar.

Die Rede ist wohlgemerkt von USB-Geräten, nicht nur von USB-Speichersticks. Dies war bereits zu vermuten, weil in jedem USB-Gerät ein programmierbarer Controller-Chip steckt. Ganz klar festzustellen ist, dass es sich um kein spezielles Sicherheitsproblem des Herstellers Phison handelt.

Karsten Nohl und sein Team haben USB-Controller-Chips von zig verschiedenen Herstellern (darunter Alcor, Asmedia, Cypress, FTDI, Genesys Logic, Microchip, Phison, Renesas) untersucht und Anfälligkeit für "BadUSB"-Manipulation entdeckt.

Eine Zusammenfassung der Untersuchung und Details zu BadUSB gibt es hier: BadUSB Exposure. Interessant ist vor allem die Dokumentation der Problematik (PDF). Auf Seite 22 wird dort unter anderem beschrieben, dass es wohl nicht nur reicht einen Controller zu identifizeren, es auch auf kleine Details ankommt.

Gezeigt werden zwei USB-Hubs, die beide mit dem gleichen Controller-Baustein bestückt sind. Riskant ist allerdings nur der Hub, der zusätzlich über einen SPI-Flash-Baustein verfügt. Somit wird es erst recht schwer, potentiell riskante USB-Geräte treffsicher zu entlarven.

Aktuell bleibt eigentlich nur einen Blick in die Auflistungen auf der BadUSB-Webpräsenz zu werfen. In der Kategorie "Webcams" sind aktuell zwei untersuchte Kameras gelistet. Eine billige Speedlink-Kamera wurde als "höchstwahrscheinlich unbedenklich" bewertet, ein Modell von Creative Labs als "höchstwahrscheinlich missbrauchbar".

Michael Nickles meint:

Jetzt haben wir den Salat: Fifty fifty. In sehr sicherheitssensiblen Arbeitsumgebungen bleibt aktuell nur sämtliche USB-Sticks und USB-Geräte wegzuschmeißen.

Alternativ wäre es denkbar, dass ALLE Hersteller dieser Geräte ehrlich und aufrichtig sind, Listen über ihre Modelle veröffentlichen, ob sie betroffen sind. Andererseits wird es natürlich das Geschäft ankurbeln wenn demnächst zig neue USB-Geräte auf den Markt kommen, die mit einem "Unbedenklichkeits-Siegel" versehen werden.

Unbedenklich können aber nur Geräte sein, die ausdrücklich über keine Möglichkeit der Umprogrammierbarkeit verfügen. Die Elektronik muss also quasi "fest verdrahtet" sein, es darf keinen "Speicher" für Firmware geben. Das bedeutet dann aber, dass bei Problemen nur noch begrenzt nachgebessert werden kann. Wie man es also dreht, ist es Mist.

bei Antwort benachrichtigen
mawe2 Olaf19 „Trotz meiner hohen Computer-/IT-Affinität bin ich erst ...“
Optionen
Trotz meiner hohen Computer-/IT-Affinität bin ich erst 1998 auf den Internet-Zug aufgesprungen, bei AOL war's (nicht lachen!).

Ich bin seit 1996 dabei. (Wobei ich die Zeit vorher bei Datex-J nicht mitzähle, damit konnte man ja noch nicht das Internet nutzen sondern nur den proprietären Dienst der Bundespost.)

Ab 1996 habe ich Compuserve genutzt; der nächste Knoten (Nürnberg bzw.  Frankfurt) war nur über ein Ferngespräch (!!) erreichbar, weswegen ich grundsätzlich erst nach 22:00 Uhr online war. Ich erinnere mich an Gesamtkosten für 1 Stunde von ca. 20 DM (bei maximalen 14 400 Bit/s !!). (Für 10 EUR ist man heute den ganzen Monat ununterbrochen online und das mindestens 1000 mal so schnell!)

Später war ich dann auch bei AOL, weil die einen Knoten in Erfurt hatten und ich keine teuren Ferngespräche mehr "führen" musste. Die AOL-Software hat mich von Anfang bis Ende immer genervt.

Interessant war auch germany.net. Da kam man kostenlos ins Internet und musste nur die Telefonkosten bis zum Einwahlknoten bezahlen. Leider war der nächste ISDN-Knoten wieder nur per Ferngespräch erreichbar. :-(

Eine organisierte Cyberkriminalität, so wie wir sie heute kennen, gab es damals noch nicht.

Richtig. Das waren mal ein paar vereinzelte Spinner, die irgendwelche Malware produzierten, mal mit mehr und mal mit weniger "Erfolg". Eine wirkliche Gefahr war das nicht.

Wer machte denn da schon Bankgeschäfte am Computer oder wickelte Zahlungen übers Internet ab?

Ich habe das damals schon ein paar Jahre gemacht. Wenn man sich an die Spielregeln hielt, gab's keine Probleme.

Und genau da lässt sich der Rahm abschöpfen.

Wenn's so einfach wäre, müsste man ja nur auf's Online-Banking verzichten und alles wäre wieder gut. Aber leider wird der Rahm an so vielen anderen Stellen auch abgeschöpft, dass das Online-Banking noch das kleinste Problem ist. Da sind schon die Banken in der Pflicht, die Sicherheit zu verbessern und das tun sie ja auch.

Würde ich nicht ganz so pessimistisch sehen.

Ich kriege in letzter Zeit immer mehr solche Fälle auf den Tisch, wo sich jemand wieder mal einen Fiesling eingefangen hat. Meistens wissen die Leute nicht, was sie vorher gemacht haben und wie es zu der Infektion kam. Natürlich gibt es nie ein brauchbares Systemimage und nie ein brauchbares Datenbackup...

Bei 2 Milliarden Menschen, die das Internet nutzen (grobe Bauch-Schätzung von mir) sind imer ein paar Schussel dabei.

Unter den 2 Mrd. sind das mit Sicherheit 1,9 Mrd! Und dass nicht alle gleichzeitig komplett durch Malware-Einfluss geschädigt werden, ist i.d.R. purer Zufall.

Für die Cyberkrminiellen lohnt sich genau das.

Auf alle Fälle. Geheimdienste, staatliche Stellen usw. mit eingeschlosssen.

Gruß, mawe2

bei Antwort benachrichtigen