Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

News: BadUSB-Risiko ausgeweitet

USB-Geräte: mehr als die Hälfte können missbraucht werden

Michael Nickles / 45 Antworten / Flachansicht Nickles
Hier wird verdeutlicht, dass nur ein kleiner Teil von USB-Sticks für Anwender sichtbar ist, die Controller-Elektronik und ihr Betriebssystem (Firmware) sind verborgen. (Foto: Security Research Labs)

Anfang August kam raus, dass USB-Sticks sich durch Manipulation ihrer Firmware von jederman in gefährliche Spionagewerkzeuge verwandeln lassen.

Die deutschen Sicherheitsforscher Karsten Nohl und Jakob Lell von Security Research Labs demonstrierten die Gefahr zunächst bei USB-Sticks mit Phison 2251-03 Controller.

Anfang Oktober machten zwei Sicherheitsexperten den USB-Geräte-Herstellern Druck, indem sie eine konkrete Bauanleitung veröffentlichten, wie USB-Sticks umprogrammiert und für beliebige Zwecke missbraucht werden. Ob ein USB-Stick mit der "BadUSB" getauften Methode manipuliert ist, lässt sich nicht feststellen.

Die einzige Chance besteht lediglich darin, einen eventuell verbauten Phison 2251-Controller zu indentifizieren und betroffene Sticks dann nicht mehr zu verwenden (siehe Tipp USB-Trojaner-Risiko - Phison 2251-03 Controller identifizieren).

Jetzt gibt es leider erwartungsgemäß neue Horrormeldungen von den Entdeckern des BadUSB-Sicherheitsproblems: über 50 Prozent aller auf dem Markt befindlichen USB-Geräte gelten nun als manipulierbar.

Die Rede ist wohlgemerkt von USB-Geräten, nicht nur von USB-Speichersticks. Dies war bereits zu vermuten, weil in jedem USB-Gerät ein programmierbarer Controller-Chip steckt. Ganz klar festzustellen ist, dass es sich um kein spezielles Sicherheitsproblem des Herstellers Phison handelt.

Karsten Nohl und sein Team haben USB-Controller-Chips von zig verschiedenen Herstellern (darunter Alcor, Asmedia, Cypress, FTDI, Genesys Logic, Microchip, Phison, Renesas) untersucht und Anfälligkeit für "BadUSB"-Manipulation entdeckt.

Eine Zusammenfassung der Untersuchung und Details zu BadUSB gibt es hier: BadUSB Exposure. Interessant ist vor allem die Dokumentation der Problematik (PDF). Auf Seite 22 wird dort unter anderem beschrieben, dass es wohl nicht nur reicht einen Controller zu identifizeren, es auch auf kleine Details ankommt.

Gezeigt werden zwei USB-Hubs, die beide mit dem gleichen Controller-Baustein bestückt sind. Riskant ist allerdings nur der Hub, der zusätzlich über einen SPI-Flash-Baustein verfügt. Somit wird es erst recht schwer, potentiell riskante USB-Geräte treffsicher zu entlarven.

Aktuell bleibt eigentlich nur einen Blick in die Auflistungen auf der BadUSB-Webpräsenz zu werfen. In der Kategorie "Webcams" sind aktuell zwei untersuchte Kameras gelistet. Eine billige Speedlink-Kamera wurde als "höchstwahrscheinlich unbedenklich" bewertet, ein Modell von Creative Labs als "höchstwahrscheinlich missbrauchbar".

Michael Nickles meint:

Jetzt haben wir den Salat: Fifty fifty. In sehr sicherheitssensiblen Arbeitsumgebungen bleibt aktuell nur sämtliche USB-Sticks und USB-Geräte wegzuschmeißen.

Alternativ wäre es denkbar, dass ALLE Hersteller dieser Geräte ehrlich und aufrichtig sind, Listen über ihre Modelle veröffentlichen, ob sie betroffen sind. Andererseits wird es natürlich das Geschäft ankurbeln wenn demnächst zig neue USB-Geräte auf den Markt kommen, die mit einem "Unbedenklichkeits-Siegel" versehen werden.

Unbedenklich können aber nur Geräte sein, die ausdrücklich über keine Möglichkeit der Umprogrammierbarkeit verfügen. Die Elektronik muss also quasi "fest verdrahtet" sein, es darf keinen "Speicher" für Firmware geben. Das bedeutet dann aber, dass bei Problemen nur noch begrenzt nachgebessert werden kann. Wie man es also dreht, ist es Mist.

bei Antwort benachrichtigen
Olaf19 mawe2 „Ich bin seit 1996 dabei. Wobei ich die Zeit vorher bei ...“
Optionen
Wobei ich die Zeit vorher bei Datex-J nicht mitzähle, damit konnte man ja noch nicht das Internet nutzen sondern nur den proprietären Dienst der Bundespost.

Du meinst wahrscheinlich BTX...? Und auch damals schon war Datensicherheit ein Thema: http://www.spiegel.de/einestages/btx-hack-1984-angriff-der-ccc-hacker-gegen-die-bundespost-a-1002443.html

Ich habe AOL nie über Festnetznummern genutzt, sondern immer über eine 01802, und die kostete 10 Pf. pro Minute. Also für 1 Stunde Surfen mal eben 6 DM verdaddelt, die damals eine Kaufkraft von etwa 5 EUR hatten - heftig.

Auch dass du zu unterschiedlichen Uhrzeiten unterschiedliche Tarife hattest, kann sich heute kein Mensch mehr vorstellen. "Mondscheintarif" - das ist für mich eher ein Kind der 70er Jahre. Darüber hat sich schon Ingrid Steeger in "Klimbim" mokiert: "Ich ruf lieber nach 22 Uhr die Feuerwehr, dann wird es billiger!!"

Die AOL-Software hat mich damals übrigens nicht genervt, weil - und jetzt dürft und sollt ihr wirklich über mich lachen!! - weil ich gar nicht wusste, dass es anders geht. Ich fand das immer schön, wenn mitten auf dem Bildschirm die hübsche Zeichnung vom Datenhighway erschien, der so langsam zum Leben erwachte - und manchmal eben auch nicht, zu meinem um so größeren Verdruss.

Übrigens hatte auch Freenet und später sogar HanseNet eine Zugangssoftware. Die habe ich aber verschmäht. Ich verstehe solche Volksverdummungen nicht. Eine vernünftige Anleitung, wie man die Netzwerkeinstellungen konfiguriert, wäre viel wertvoller und lehrreicher.

Wenn's so einfach wäre, müsste man ja nur auf's Online-Banking verzichten und alles wäre wieder gut.

Nein, so habe ich das nicht gemeint. Online-Banking ist ja nur die Spitze des Eisbergs. Das Shopping im Internet hat ja noch tausend andere Facetten, von amazon und ebay bis zu PayPal und Smartphone-Pay.

Meistens wissen die Leute nicht, was sie vorher gemacht haben und wie es zu der Infektion kam. Natürlich gibt es nie ein brauchbares Systemimage und nie ein brauchbares Datenbackup...

Interessanterweise hat das eine rein sachlich gar nichts mit dem anderen zu tun - und trotzdem hängen diese beiden Aspekte immer zusammen wie siamesische Zwillinge.

Wenn einer sich absichtlich(!) einen Virus einfängt, einfach nur um erfahren, wie sich so etwas anfühlt – z.B. Mail-Anhang öffnen und die Rechnung.pdf___.exe zum Leben erwecken o.ä. – vorher aber ein komplettes Backup und insbesondere ein Image erstellt hat, wäre wenigtens die Folge der Infektion für ihn leicht zu verschmerzen. Aber nein, die eine Nachlässigkeit geht immer mit der anderen Hand in Hand.

Was mich am meisten stört ist, dass so viele Menschen einfach nicht bereit sind, dazu zu lernen. Die verhalten sich – Achtung, bösartige Vergleiche! – wie die Stubenfliegen, die du 99x wegscheuchst und die sich trotzdem zum 100. Mal wieder an die gleiche Stelle setzen. Oder noch schlimmer: die kleinen Fliegen, die vom Lichtschein euphorisiert in eine Glühlampe fliegen, sich verbrennen, halb(!)tot zu Boden taumeln, nur um dann – wenn sie wieder einigeraßen flugtauglich sind – erneut in die selbe "Birne" fliegen, und das so oft wiederholen, bis sie nicht mehr nur halbtot sind.

Der große Unterschied zum Menschen: Wir sind lernfähig, im Gegensatz zu den kleinen Nervensägen aus der Insektenwelt. Wir, oder zumindest viele von uns, machen nur einfach viel zu wenig Gebrauch davon.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen