Die USB-Schnittstelle unserer Geräte stellt eine gewichtige Schwachstelle in Punkto Sicherheit für unsere IT-Systeme dar. Ein von Sicherheitsforschern modifiziertes USB-Ladekabel, als USBHarpoon (USB-Harpune) bezeichnet, reicht aus, um Rechner zu kompromittieren.
Dass ein ‘gefundener’ USB-Stick nicht einfach mal so an einen Rechnern angestöpselt werden sollte, haben inzwischen einige Leute begriffen. Trotzdem gibt es, seit den Zeiten von Stuxnet, immer wieder (auch in Industrieumgebungen) Infektionen durch per USB-Medium eingeschleppter Malware. Die Blog-Beiträge Black Hat 2014: USB-Geräte als Sicherheitsrisiko und Unpatchbarer Exploit für BadUSB bekannt geworden haben das Ganze bereits vor Jahren thematisiert.
USBHarpoon – der Feind im Ladekabel
Jetzt hat mir über Twitter ein Nutzer einen Link auf diesen Beitrag bei Bleeping-Computer geschickt. Sicherheitsexperten rund um Vincent Yiu von SYON Security haben eine bösartige Version eines USB-Ladekabels (USBHarpoon genannt) entwickelt. Einmal an einen Computer angeschlossen, verwandelt sich das Ladekabel in ein Peripheriegerät, das über die USB-Verbindung Befehle an das Betriebssystem schicken und starten kann.
USBHarpoon setzt auf die BadUSB-Forschung von Karsten Nohl und seinem Team von Security Research Labs auf. Deren Arbeit hat gezeigt, dass ein Angreifer den Controller-Chip eines USB-Laufwerks neu programmieren kann. Ein USB-Stick oder ein USB-Laufwerk kann sich gegenüber dem Computer dann als Human Interface Device (HID) ausgeben und quasi als Tastatur agieren. Die so per ‘Tastatur’ eingegebenen Befehle werden in der Regel nicht durch Antivirus-Software geblockt.
USBHarpoon könnte verschiedene Geräte emulieren
Die Art des Human Interface Device (HID), den USBHarpoon einnimmt, kann dabei variieren. Von der vorgegaukelten Tastatur bis hin zur USB-Netzwerkkarte, die die DNS-Einstellungen des Systems ändert, ist alles denkbar. Das Angriffsszenario erfordert zwar einen physischen Zugriff auf das System. Aber wenn das Datenkabel einer USB-Festplatte oder ein USB-Ladekabel von einem Angreifer mit dem USBHarpoon-Kabel ausgetauscht wird, merkt das kaum einer.
Das Kabel ist mit modifzierten USB-Steckern versehen, um sowohl die Ladefunktion, als auch die USB-Funktion wahrnehmen zu können. So ein Gadget auf einer Konferenz (z.B. zusammen mit einem USB-Ventilator oder USB-Hub) an die Teilnehmer verteilt, schon kann man deren Systeme bei Verwendung des Kabels manipulieren.
(Quelle: YouTube.com)
Inzwischen gibt es sogenannte BadUSB Condoms, Zwischenstecker, die nur die Ladekontakte des USB-Kabels zur Buchse durchlassen und so einen solchen Angriff verhindern sollen (siehe folgendes Video).
#3 – BadUSB Cables wouldn’t be complete without BadUSB Condoms.
Tempted to get a run of these made for the vendor area at the next security con. pic.twitter.com/Iq8HHSV7qG
— MG (@_MG_) 13. Januar 2018
Aber ob das praxisgerecht ist, steht auf einem anderen Blatt. Man muss im Betriebssystem ansetzen, um USB-Geräte zu blocken. Weiter Infos finden sich bei Bleeping Computer. heise.de hat inzwischen diesen deutschsprachigen Artikel zum Thema veröffentlicht. Einen weiteren Beitrag gibt es bei winfuture.de
Ähnliche Artikel:
Black Hat 2014: USB-Geräte als Sicherheitsrisiko
Industroyer: Größte Bedrohung für die Industrie seit Stuxnet
März 2015 Patchday-Infos: Stuxnet, FREAK, SuperFish & mehr
Neuer Stuxnet-Virus und modifizierter Staatstrojaner …
Kaspersky: NSA “Equation Group” versteckt Spionagesoftware in HD-Firmware
Experten warnen: SCADA-Systeme hoffnungslos unsicher
Datendiebstahl per USB-Stick in Unternehmen verhindern
Unpatchbarer Exploit für BadUSB bekannt geworden
Rittal Werbegeschenk: USB-Stick, der als HID-Tastatur agiert
Fail: Elsevier verteilt aktiven USB-Dongle mit Webumleitung
Die Firewall für USB-Ports …
IT-Systeme sind immanent unsicher, also sollte man sich im Umgang mit ihnen auch entsprechend verhalten. Wie wir alle wissen ist eher das Gegenteil der Fall.
Es ist eben sehr verführerisch, vom heimischen PC aus, mit Hilfe des Smartphones, Bank-Cards oder Bezahlkarten diverser Anbieter Bezahlvorgänge zu tätigen. Alles ist schnell abgewickelt und Sicherheitstechnik legt dem schnellen Konsum nur lästige Hindernisse in den Weg. Kritiker der Systeme werden als Alu-Hüte verunglimpft, weil die schlechte Sicherheitslage nicht ins fortschrittsgläubige Weltbild passt.
Auch die Anbieter von Bezahlkarten bzw. deren Hersteller scheren sich nicht viel um Sicherheit, man wälzt das Problem eben auf den Kunden ab. Wenn ein Kunde bestreitet, einen bestimmten Bezahlvorgang abgewickelt zu haben, muss er erst mal beweisen, dass dem wirklich so ist. Was z.B. mit den Bezahlkarten für Elektroautos möglich ist, kann man sehr schön hier sehen:
https://www.youtube.com/watch?v=xU18ylN3gPE
Wirklich problematisch wird das erst, wenn man kaum noch eine Wahl hat um das elektronische Bezahlen herumzukommen. Die Banken sind ja fleißig am jammern wie unsäglich teuer das Verwalten von Bargeld sei und würden lieber heute als morgen auf 100% elektronisches Geld umsteigen. In einigen Ländern (z.B. Schweden) soll das ja schon so weit fortgeschritten sein, dass man selbst auf dem Flohmarkt mit dem Handy/Smartphone bezahlt.