USB-Sticks unter falscher Flagge

In der Zeit ist heute der Artikel “Jedes USB-Gerät kann zur Waffe werden” erschienen, der Artikel handelt von IT-Angriffen mithilfe von USB-Sticks bzw. USB-Controllern. Da ich mich in den letzten Wochen auch mit diesem Thema beschäftigt habe, nutze ich die Gelegenheit um ein paar Gedanken dazu zu bloggen.

Wenn wir von USB-Sticks reden, dann meinem wir meistens USB-Massenspeicher-Medien, WLAN-Sticks oder DVB-T-Sticks. Viele Menschen haben sich an diese Form von Hardware gewöhnt, benutzen Sie mehr oder weniger häufig und verschwenden keinen Gedanken daran, dass von diesen USB-Geräten allgemein eine Gefahr ausgehen könnte.

Sicherheitsbewusste IT-Administratoren in mittelständischen und großen Unternehmen lassen aus gutem Grund keine USB-Massenspeicher in ihrem Netzwerk zu. USB-Sticks sind dort häufig verboten und die Benutzung wird meistens technisch unterbunden bzw. kontrolliert. Die Computer dieser Unternehmen sind sicher vor den USB-Sticks der Mitarbeiter, könnte man meinen. Wenn besonders hinterlistige USB-Controller zum Einsatz kommen, haben alle anderen Sicherheitsmaßnahmen wenig Chancen. Ein Beispiel gefällig?

Ich habe mir vor ein paar Wochen in Amerika einen USB-Stick bestellt, der sich USB Rubber Ducky nennt. Der Stick sieht aus wie ein ganz normaler USB-Stick vom Discounter. Rund 40 USD hat er gekostet und die Speicherkapazität liegt bei 16 Megabyte. Ja richtig gelesen, Megabyte. Das besonderen an diesem USB-Stick ist, dass es eben kein gewöhnlicher Massenspeicher USB-Stick ist, sondern im Prinzip eine Tastatur. Der Stick gaukelt dem Computer vor, dass es sich um eine stinknormale USB-Tastatur handelt. Das besondere dabei ist, dass man diesen stick vorher programmieren kann. Man kann dem Stick also vorab sagen, was er später alles tippen soll. In dem Augenblick, wo er in einen Rechner gesteckt wird, fängt er an das eingespeicherte Script abzutippen. Der Stick tippt wesentlich schneller als ein Mensch es je könnte.

Jeder der sein Computer auch ohne Maus bedienen kann, kann sich vorstellen, welchen Dinge jemand  mit so einen Stick tun könnte, wenn er einige Sekunden bzw. Minuten Zugriff auf ein nicht gesperrtes Computersystem hat.

Dieses Beispiel ist einfach und schon etwas länger bekannt. Der Artikel in der ZEIT greift aber noch ein anderes Angriffsszenario auf. So richtig multifunktionale USB-Controller stecken in jedem Smartphone. Die USB-Controller sind auf Hardwareseite so entwickelt, dass sie zu dem Gerät werden können, was die Software grade sagt. Eben noch Massenspeicher-Modus und Sekunden später Tethering via USB. Damit kann man dann jede Firewall in Unternehmen aushebeln und auch schön am Proxy vorbei surfen. Ein manipuliertes Gerät könnte so sämtlichen Netzwerkverkehr abfischen. Wobei sich Modems und zusätzliche Netzwerkdevices wieder besser über technische Lösungen verbieten lassen als “USB-Tastaturen”. Trotz immer besserer Technologien, wird es nicht einfacher im Bereich IT-Sicherheit.

Achja, wer sich für den Stick interessiert, hier ist das Präsentationsvideo vom Hersteller.

Got something to say? Go for it!

*