BadUSB: So groß ist die Gefahr wirklich

So nutzen Sie USB weiter "sicher"

Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.

Gibt es Schutz vor dieser Bedrohung?

Grundsätzliche Möglichkeiten zur Kontrolle von Endgeräten mit Wechselmedien bieten bereits die Windows-Bordmittel: So können Administratoren mittels Gruppenrichtlinien auch Whitelists für USB-Geräte anlegen.
Grundsätzliche Möglichkeiten zur Kontrolle von Endgeräten mit Wechselmedien bieten bereits die Windows-Bordmittel: So können Administratoren mittels Gruppenrichtlinien auch Whitelists für USB-Geräte anlegen.
Foto: Schlede/Bär

In dem von Karsten Nohl gezeigten Szenario simulierte ein modifizierter USB-Stick eine USB-Tastatur und sendet Tastaturbefehle an den Rechner, die im Resultat den Download einer bestimmten Malware bewirken. Wir wollten von den Experten der Sicherheitsfirmen wissen, ob und wie ihre Sicherheitslösungen einen derartigen Angriff erkennen und verhindern könnten. Stefan Ortloff, Virus Analyst bei Kaspersky Lab führte dazu aus, dass beispielsweise die Unternehmenslösung "Kaspersky Security for Business" eine solche Bedrohung erkennen könne, wenn die dann aktive Malware ein bestimmtes Verhalten aufweist oder bereits eine Signatur in der Datenbank des Anbieter besitzt.

Ein Download beziehungsweise die Installation und Weiterverteilung der Malware wäre so verhindert. Damit schützt eine derartige Lösungen aber nur vor den Gefahren, die von der Software ausgehen, die sich auf dem USB-Gerät befinden. Die Sicherheitsexperten von Eset haben in diesen Zusammenhang darauf hingewiesen, dass ein Workaround darin bestehen kann, Firmware-Updates in der Hardware grundsätzlich zu unterbinden, da diese benötigt werden, um schädliche Aktionen auf den Hostsystemen auszuführen. Allerdings schränken sie auch sogleich ein, dass dieses Vorgehen vom Administrator verlangt, dass er regelmäßig überprüft, ob neue Angriffspunkte in der vorhandenen Firmware entdeckt wurden und diese dann manuell auf den aktuellen Stand bringt.

Was können Anwender und Firmen tun?

Die meisten Lösungen für die Endpoint Security sowohl die Lösung von Kaspersky als auch Lösungen der Firmen Trend Micro, CenterTools, Eset und Lumension beinhalten eine Form der "Device Control", die den Zugriff auf unbekannte externe Datenträger blocken kann. Alle von uns näher betrachteten Softwarelösungen arbeiten mit einem "Whitelisting", so dass auch weiterhin die benötigten USB-Geräte wie Tastatur und Mäuse an den Desktops der Nutzer eingesetzt werden können: Dabei können in der Regel dann nur noch Geräte mit einer bestimmten ID eingesetzt werden. Eine Restriktion, die unter Windows prinzipiell auch mittels Bordmitteln mit Hilfe der Gruppenrichtlinien durchzusetzen ist.

Ein wichtiger Faktor: USB-Geräte können sich mit unterschiedlichen Identitäten gegenüber den Host-Geräten ausweisen. So kann sich ein Gerät ab- und mit einer anderen Identität über die verschiedenen Schritte wieder anmelden.
Ein wichtiger Faktor: USB-Geräte können sich mit unterschiedlichen Identitäten gegenüber den Host-Geräten ausweisen. So kann sich ein Gerät ab- und mit einer anderen Identität über die verschiedenen Schritte wieder anmelden.
Foto: Security Research Labs

Allerdings besteht hier das grundsätzlich Problem, dass USB insgesamt 21 Geräteklassen (einschließlich einer Basisklasse) kennt, so dass zur Identifikation eines externen Geräts, ganz unterschiedliche Identifizierungsmerkmale herangezogen werden können. Dabei kann es sich dann zum Beispiel um einen der folgenden Identifier handeln:

  • der Class ID,

  • der Hersteller- oder Produkt ID sowie

  • der Seriennummer.

Nach Meinung von Stefan Ortloff von Kaspersky ist das Spoofing einer solche ID auch möglich, jedoch sei beim Whitelisting einer konkreten ID ein entsprechender Treffer durch ein solches Spoofing sehr unwahrscheinlich. Allerdings ist - und darüber sind sich die Experten auch einig - es nicht möglich, festzustellen, ob eine USB-ID nun gefälscht oder wirklich "echt" ist.

Otfried Köllhofer, Produktmanager bei CenterTools Software, sieht speziell die von seiner Firma angebotene Lösung DriveLock Device Control als eine Möglichkeit für Unternehmen, sich vor derartigen Angriffen zu schützen. Auch bei dieser Software können beliebige USB-Geräte sowie Geräteklassen mittels White- und Blacklisting gesperrt werden. Er hebt dabei hervor, dass eine derartige Sperrung weitaus feingranularer vorgenommen werden kann, wenn sich die entsprechenden Geräte genauer identifizieren lassen. Weiterhin ermöglicht es diese Software, das Netzwerk-Bridgeing zu unterbinden, so dass ein Angriff mittels eines "Bad DNS Stick", wie er ebenfalls von den Mitarbeitern von Security Research Labs demonstriert wurde, keinen Erfolg mehr hätte. Bei dieser Attacke "spooft" das manipulierte USB-Gerät den Ethernet Adapter, so dass DNS-Anfragen auf einen Server des Angreifers umgeleitet werden, während der restliche Internet-Verkehr weiter über die normale Netzwerkverbindung geleitet wird.

Wie soll das System auf die Verbindung mit externen Datenspeichern reagieren? Viele Sicherheitslösung stellen dazu – wie hier die Software von Eset – einen Regel-Editor bereit
Wie soll das System auf die Verbindung mit externen Datenspeichern reagieren? Viele Sicherheitslösung stellen dazu – wie hier die Software von Eset – einen Regel-Editor bereit
Foto: Eset

Anbieter Lumension hat nach Aussagen von Andreas Müller, Regional Sales Director D/A/CH, in die eigene Lösung "Lumension Device Control" eine automatische Key-Logger-Erkennung integriert, die bereits einen gewissen Grundschutz ermöglicht. Speziell für Angriffe mit solchen Geräten, die dem Betriebssystem ein Eingabegerät wie eine Tastatur vorspiegeln, wurde mit dem Release LDC 4.5 SR3 vom 7.8.2014 eine spezielle Abwehrfunktion für Keyboard Emulatoren wie "Rubber Ducky" implementiert. Hierbei wird der Nutzer dann unter anderem explizit auf das "Anstecken einer zweiten Tastatur" hingewiesen.

Die Sicherheitsspezialisten der Firma Sophos haben uns ebenfalls ein Statement zu der Gefährdung durch BadUSB zugeschickt: Darin heben sie hervor, dass derartige Angriffe im Moment noch nicht "in the wild" gesichtet wurden, dass sie diese Form der Attacke aber trotzdem als ernsthaftes Problem für die nahe Zukunft betrachten. Außerdem schließen sie sich der Meinung der anderen von uns befragten Anbieter an, dass die augenblicklichen Lösungen zum Blocken von USB-Geräten nur einen unzureichenden bis keinen Schutz vor dieser Art von Angriffen bieten können.

Kontrolle der externen Geräte mittels Software: Wie hier, bei der Lösung von Trend Micro müssen Administratoren sicherstellen, dass diese Kontrollfunktion für alle Geräte eingeschaltet ist.
Kontrolle der externen Geräte mittels Software: Wie hier, bei der Lösung von Trend Micro müssen Administratoren sicherstellen, dass diese Kontrollfunktion für alle Geräte eingeschaltet ist.
Foto: Trend Micro

Die Firma ProSoft bietet mit der Konfigurations- und Managementlösung SafeConsole und der Funktion Device LockOut ebenfalls eine einfache Endpoint-Security-Lösung an, die verhindert, dass nicht autorisierte Geräte benutzt werden können. Die White-beziehungsweise Blacklists basieren dabei auf der Abfrage von PID (Product ID), VID (VendorID), USB-Klasse und/oder Seriennummern. Allerdings gibt Robert Korherr, CEO von ProSoft, in seinem Statement zu bedenken, dass diese Verfahren eben nicht mehr ausreichen, seit es mit BadUSB gelungen ist, die USB-Klasse zu verändern: "Normalerweise wird die USB-Klasse HID (Human Interface Devices) in Data Leakage Prevention (DLP) Software erlaubt. Wahrscheinlich können mit etwas Aufwand auch die Werte PID, VID und die Unique ID verändert werden und dann greifen diese Verfahren eben nicht mehr zu 100 Prozent", weiß er zu berichten.

Als eine Alternative stellt dieser Anbieter seine Lösung SafeToGo in den Mittelpunkt: Dabei handelt es sich um einen 256-Bit AES per Hardware verschlüsselten USB-Stick. Dieser kann nur über digital signierte Firmware-Updates und die entsprechende Firmware-Updater Software aktualisiert werden. Dabei wird laut Hersteller die Überprüfung der Signierung ausschließlich über den manipulationssicheren On-Board-Controller auf dem USB-Stick vorgenommen. Da die Sticks in Schweden entwickelt werden, brauchen Nutzer auch kaum Angst vor NSA-Backdoors haben.

Zur Startseite