2133243

USB-Sticks - Eine Gefahr auch für den Mac?

12.10.2015 | 13:20 Uhr |

Bad USB ist wieder in aller Munde. Das Konzept ist schon etwas älter, die Gefahr nicht zu unterschätzen - aber auch kein Grund zur Panik.

Seit der Black-Hat-Konferenz im Jahre 2014, eine jährliche Versammlung von Sicherheitsexperten, ist die Sicherheitslücke mit dem Namen BadUSB in aller Munde. Das dort vom deutschen Experten Karsten Kohl vorgestellte Paper zeigte , wie einfach ein modifizierter USB-Stick Schaden am Computer anrichten kann.

Die Welle neu ins Rollen gebracht hat ein Artikel  der Mac&i in ihrer letzten Ausgabe. Ein Jahr nach Veröffentlichung der Lücke haben unsere Kollegen eine Machbarkeitsstudie für den Mac in Auftrag gegeben. Das Ergebnis: Auch das so sicher geltende OS X ist gegen diese Sicherheitslücke hilflos. Selbst OS X 10.11 El Capitan ändert daran nichts.

Das Vorgehen

Ein USB-Stick selbst hat einen kleinen Mikrocontroller integriert, der die Kommunikation mit dem Computer ermöglicht, in diesem Fall einem Mac. Dieser kleine Chip kann mit Software beladen werden, die nur das ausführt was wichtig ist, nämlich Dateien zu empfangen. Die Sicherheitsforscher haben den Mikrocontroller aber modifiziert und so meldet sich der Stick als Tastatur am Betriebssystem an.

Der bekannte Angriff BadUSB funktioniert durch das Überschreiben der USB-Firmware. Diese Firmware gibt sich anschließend als Tastatur oder anderes USB-Gerät aus, und lädt gespeicherte Programme vom angeschlossenen Stick. Dadurch lässt sich Schadcode unbemerkt auf Systemebene einschleusen, vorbei an Viren-Scannern und anderen Schutzmaßnahmen.
Vergrößern Der bekannte Angriff BadUSB funktioniert durch das Überschreiben der USB-Firmware. Diese Firmware gibt sich anschließend als Tastatur oder anderes USB-Gerät aus, und lädt gespeicherte Programme vom angeschlossenen Stick. Dadurch lässt sich Schadcode unbemerkt auf Systemebene einschleusen, vorbei an Viren-Scannern und anderen Schutzmaßnahmen.

Das Problem hierbei: OS X prüft nicht, beziehungsweise kann nicht überprüfen, ob es sich tatsächlich um eine Tastatur handelt. Am System angemeldet, starten die beiden Forscher in der Rolle des Angreifers ein vorgefertigtes Skript, dass das Terminal öffnet und unerlaubt Befehle darauf ausführt. Ein weiterer Fall ist der sogenannte Bad DNS Stick.

Modifizierte USB Sticks können sich auch als Ethernet-Adapter ausgeben. So ist es möglich, den gesamten Netzwerk-Verkehr durch den eigenen Server umzuleiten, oder wie im Bild zu sehen, den Aufruf einer Seite zu unterbrechen und den Nutzer auf eine präparierte Webseite umzuleiten. Auf dieser können anschließend Nutzerdaten abgegriffen werden.
Vergrößern Modifizierte USB Sticks können sich auch als Ethernet-Adapter ausgeben. So ist es möglich, den gesamten Netzwerk-Verkehr durch den eigenen Server umzuleiten, oder wie im Bild zu sehen, den Aufruf einer Seite zu unterbrechen und den Nutzer auf eine präparierte Webseite umzuleiten. Auf dieser können anschließend Nutzerdaten abgegriffen werden.

In diesem Fall ändert möglicher Schadcode die DNS-Einstellung des Computers, und leitet dadurch den gesamten Internet-Verkehr über den von den Hackern konfigurierten Server. Netzwerk-Pakete können so ausgelesen und entschlüsselt werden. 

Welche Gefahr für die Allgemeinheit besteht

Eine kurze Google-Suche nach USB-Attacken leitet zu einem Online-Shop, in dem der sogenannte Rubber Ducky , eines der beliebtesten Hackerwerkzeuge, zum Kauf zur Verfügung steht. Hinter dem niedlich klingenden Namen versteckt sich ein USB-Stick, der mit Hilfe einer eigenen Skriptsprache modifiziert werden kann. Wie zu sehen ist: Dieser Stick funktioniert unter jedem Betriebssystem. und ist seit 2010 ein Verkaufsschlager, vier Jahre vor Veröffentlichung des Kohl-Papers.

Warum gibt es also seit dem keinerlei Schutz von Anbietern oder von Seiten der Betriebssysteme? Um auf das Beispiel der Mac&i zurück zu gehen: Ein Skript kann Befehle auf dem Betriebssystem ausführen. Der Nutzer sieht alles, auch wenn die Ausführungen sehr schnell von statten gehen. Das war es aber auch schon. Der zu schreibende und lesende Bereich wird von OS X virtualisiert, das heißt Angreifer können nicht auf die Festplatte des Benutzers zugreifen. Tiefer greifende Angriffe setzen enorme Kenntnisse der Hardware sowie des eingesetzten Betriebssystems voraus. Gegen eine breite Angriffswelle sprechen also sowohl die hohen Anforderungen und der vorerst geringe Schaden. Angriffe wie den beschriebenen gibt es gewiss. Diese sind jedoch so speziell an die jeweiligen Umstände angepasst.

Wie Hersteller auf Bad USB reagieren

Auch die Hersteller sind von dieser Lücke betroffen. Die Firmware, der Code, der den USB-Stick intelligent macht, ist vom Anwender selbst modifizierbar. Eine Gegenmaßnahme wäre deshalb, die Firmware von USB Geräten nur les- und nicht beschreibbar auszuliefern. Der sogenannte FIPS-Standard enthält bereits solche Vorkehrungen. Zwei Hersteller, Kangaru und Ironkey , vertreiben bereits solch gesicherten Geräte.

Auch auf Seiten der Betriebssysteme sieht es bislang düster aus. Schutzmaßnahmen wie das Verifizieren von Geräten auf entweder BIOS- oder Kernel-Ebene sind möglich, aber noch von keinem der großen Hersteller integriert.

Angriffsszenario und möglicher Schutz

Kann der Angreifer auf die Eingabe des Mac zugreifen, kann das auch heißen: Der Rechner öffnet ohne Zutun des Anwenders eine präparierte Website, auf der Schadende lagert - und der auf diese Weise in das Betriebssystem eingeschleust wird. Sind sie also in Besitz von hoch sensiblen Informationen, ist ein Angriff über den USB-Stick eine Möglichkeit von vielen. Für eine breite Gefahr fehlt aber der direkte und unbemerkte Zugriff so einer Attacke.

Einen möglichen Schutz gibt es auch hier nicht, im Gegenteil verschärft sich die Situation in Zukunft. Das neue Macbook kommt nur mit einem USB-C-Anschluss . Das heißt: Jede Peripherie gilt als mögliches Angriffswerkzeug. In der Realität aber hat so ein Gerät nur Zugriff auf einen virtuellen Bereich der Festplatte. Herumliegende USB-Sticks sollte man also genauso wenig trauen wie fremden Personen, die nur mal schnell eine PDF-Datei auf Ihrem Mac öffnen wollen.

Fazit

So aufsehenerregend die Lücke auch ist, sowohl Hersteller von USB-Geräten als auch von Betriebssystemen haben Schutzmaßnahmen zur Verfügung , die größeren Schaden abwenden können. Die Implementierung solcher Maßnahmen, warum auch immer, lassen jedoch auf sich warten. Einen genauen Status gibt es bei keinem der drei großen Betriebssysteme (Linux, OS X und Windows).

0 Kommentare zu diesem Artikel
2133243