> > > > Komplette Anleitung zu BadUSB online - USB auf Jahre unsicher

Komplette Anleitung zu BadUSB online - USB auf Jahre unsicher

DruckenE-Mail
Erstellt am: von

usb 3 1Im August hielten der deutsche Sicherheitsforscher Karsten Nohl, der vielen vor allem für die Entdeckung zahlreicher Sicherheitslücken in GSM-Netzen im Gedächtnis geblieben ist, und Jakob Lell auf der Black-Hat-Konferenz in Las Vegas einen Vortrag über einen Angriffsvektor im USB-Protokoll. Dieser ermöglicht das Einschleusen von Malware über jedes beliebige USB-Gerät, egal ob Maus, Tastatur, USB-Stick, Webcam usw. Letztendlich spielt die Hardware keine Rolle, da der Angriff dem Host jedes beliebige Gerät simuliert.

Die Gefährlichkeit des Angriffs ergibt sich also durch den Weg, über den die Schadsoftware den Weg in das System nimmt aber auch über die Tatsache, dass keinerlei Abwehrsoftware in der Lage ist, diesen Angriff zu erkennen. Die Malware steckt in der Firmware des USB-Controllers und kann dort von klassischer Antivirensoftware nicht erkannt werden. Ein Löschen ist natürlich ebenso wenig möglich. Gut programmierte Malware kann zudem verhindern, dass die Schadsoftware nach dem Ausführen von eventuell vorhandene Antiviren- oder Trojanersoftware erkannt wird. Die Verbreitung kann wiederum über weitere USB-Geräte erfolgen, denn die Malware ist in der Lage auch andere USB-Geräte bzw. deren Firmware zu überschreiben. Die Ausbreitung findet also nicht über den klassischen Weg der Verbreitung einer Datei/Software statt, sondern versteckt in der Firmware einer Hardware, wo sie nur schwer zu detektieren ist.

Karsten Nohl und Jakob Lell entschieden sich ihr Werk zunächst unter Verschluss zu halten, da man der Branche eine Chance geben wollte auf das Risiko zu reagieren. Allerdings war ihnen auch klar, dass eine Lösung nicht einfach bis unmöglich werden würde. Auf Jahre hin ist die Hardware anfällig und könnte nur durch einen kompletten Austausch geschlossen werden. In Anbetracht der weltweit vorhandenen USB-Hardware ein unmögliches Unterfangen.

Adam Caudill und Brandon Wilson wollten nicht so lange warten und haben den von Nohl und Lell  gewählten Angriffsvektor nachgestellt und eine eigene Version von BadUSB entwickelt. Dabei haben sie auch gleich einige konkrete Angriffsszenarien entwickelt, die bis zu einer kompletten Übernahme des Systems reichen. Auf Github ist der Quellcode zu dieser BadUSB-Interpretation zu finden. Damit gehen sie den in diesem Fall umstrittenen Weg des "full disclosure". Laut Caudill und Brandon nutzten Behörden wie die NSA diesen Angriffsweg vermutlich ohnehin schon und mit der Veröffentlichung wolle man den Druck auf die Hersteller erhöhen etwas gegen einen solchen Angriff zu tun.

BadUSB könnte auf Jahre die größte Hard- und Softwaresicherheitslücke sein
BadUSB könnte auf Jahre die größte Hard- und Softwaresicherheitslücke sein

Die Gefahr ist nun groß, dass sich Hacker und Behörden die bisher keine Kenntnis von diesem Angriff hatten die von Caudill und Brandon zur Verfügung gestellten Code schnappen und diesen erweitern, denn bisher funktioniert dieser nur auf bestimmten USB-Controllers und verbreitet sich auch noch nicht selbständig auf weitere Geräte. Es dürfte aber nur eine Frage der Zeit, bis die dazugehörigen Anpassungen vorgenommen wurden. Die beiden Sicherheitsforscher arbeiten laut eigenen Angaben bereits daran, sind sich aber noch unschlüssig, ob sie diesen Code dann auch veröffentlichen.

Die Gegenmaßnahmen sind bereits angelaufen. In sensiblen Bereich sollte unbekannte USB-Hardware ohnehin nicht eingesetzt werden. G-Data hat bereits eine Software entwickelt, die fremde USB-Hardware erkennt und den Nutzer darum bittet sie entsprechend zu verifizieren. Wird die Hardware aber unentdeckt vom Nutzer ausgetauscht, hilft auch diese Sicherheitsmaßnahme sicherlich wenig.

Effektiver wäre nun ein Umdenken bei den Herstellern von USB-Hardware. Kryptografisch gesicherte USB-Controller gibt es bereits, nur sind diese teurer als die ungesicherten Controller und werden daher von den Herstellern gemieden. Alle bisher verwendete USB-Hardware bleibt natürlich weiterhin anfällig für diesen Angriff, egal ob nun alle Hersteller auf neue Controller setzen oder nicht. Es wird also nicht einfach werden die nun offene Lücke wieder zu stopfen.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (29)

#20
customavatars/avatar76160_1.gif
Registriert seit: 02.11.2007

Bootsmann
Beiträge: 564
SD Karten könnten evtl. eine Alternative darstellen. Allerdings nur zum Datentransfer.

EDIT: Noch ein Denkanstoß: Einige integrierte Hardware ist auch teilweise über den USB Port angebunden. Mögliche Beispiele wären Laptoptastaturen, Ethernet Controller und Sound Chips. Selbst wenn man also alle äußerlichen USB Geräte abziehen würde, wäre man eventuell immer noch verwundbar.
#21
Registriert seit: 01.12.2005

Bootsmann
Beiträge: 620
Was ist der Grund, warum mein Beitrag mit Vergleich zu Firewire und Thunderbolt nicht freigeschaltet wurde, wann andere spätere Kommentare freigeschaltet wurden? PM bitte.
#22
customavatars/avatar108709_1.gif
Registriert seit: 17.02.2009
Sachsen, Brandis b. Leipzig
Admiral
Beiträge: 16817
SD Karten werden auch bloß über einen Controller ausgelesen der wo dran hängt? Am USB Hub... ergo wenn auf der SD Karte ne entsprechende Malware ist kann diese auch den Controller infizieren... eigentlich nen absolut kranker Gedanke auf welcher Ebene das mittlerweile funktioniert.


Weiterhin interessant: Da so vieles mittlerweile aus Fernost bzw. dem Land der Mitte kommt ist es durchaus möglich das ganze Chargen von Billig-USB Sticks infiziert würden, die Chinesen sind ja sehr gut in Industriespionage - wer weiß wie lange sowas schon genutzt wird und wo deren Sticks überall schon herumgeschnüffelt haben? :fresse:
#23
Registriert seit: 25.09.2009

Hauptgefreiter
Beiträge: 200
Was mich an der ganzen Sache wundert ist, dass dass die Geräte überhaupt eine Routine zur reprogrammierung haben. Die einfachste Lösung wäre, dass der Bootlader des Controllers keine neue Firmware annimmt, wenn er schon eine im Flash hat.
#24
customavatars/avatar189556_1.gif
Registriert seit: 08.03.2013
Kernelbasis
Oberbootsmann
Beiträge: 894
Zitat Morrich;22732414
"Klassische Antiviren Software" ist eh fürn Eimer. Bis die Signaturen ein Update erfahren, sind neue Viren schon lange auf dem System und treiben ihr Unwesen.
Solcherlei Software nützt also nur etwas gegen bereits verbreitete und bekannte Viren, Malware usw.

Es nützt also nur wenig, sich solche Software zu installieren und sie ständig laufen zu haben.


ja und nein.

je nachdem von welcher software wir hier sprechen, kann auch ein "standart-av" mit neuen erregern etwas anfangen, solange die injection als solche im speicher nachweisbar ist. viele av's nutzen mittlerweile sandboxies und nicht mehr nur den reinen offset-scan. sollte ein "profi-programmierer" sich vornehmen etwas "neues" oder "innovatives" bezüglich des systemhooks zu entwickeln, dann sehen nicht nur normale AVs wenig sonne.

ich habe keine zahlen, aber ich schätze mehr als 90% der dinger die zu malware-zwecken im umlauf sind, sind nur mutierte bzw. mutwillig veränderte bekannte exploits bzw. verfahrensweisen.

das hier geschilderte usb-hacking ist zumindest in dieser ausführung noch recht neu. die betrugsvarianten dahinter, sind ja nicht "so neu". manipulierte netzwerkdevices die dich auf scamseiten routen etc. sind leider auch schon ein alter hut. neu ist nur, das man mit jedem usb-gerät alles anstellen kann - und das ist das eigentlich gruselige hier.
#25
Registriert seit: 26.05.2006
Bern (CH)
Oberbootsmann
Beiträge: 988
Zitat Segelflugpilot;22732417
tja aber lade mal 10GB hoch. Bei Dropbox sind das ein paar Stunden. Egal ob du DSL 50000 oder mehr.


Wer Dropbox braucht ist selber schuld, da gehören auch keine Daten hin.
In Zeiten wo man für umgerechnet 50-60€ eine synchrone Gigabit Leitung bekommt auch total unnötig.
#26
Registriert seit: 04.03.2007

Matrose
Beiträge: 8
Ich fühle mich an den Bundestrojaner zurückerinnert...Wenn unsere Volksvertreter, für die Internet Neuland ist, das lesen, ist es eine Frage der Zeit, bis die Hardwarehersteller per Gesetz, das bei einem Sportgroßereignis oder anderweitig im Geheimen verabschiedet wird, gezwungen werden, diese Sicherheitslücke konsequent zu nutzen, um Software auf nahezu jeden PC Deutschlands zu installieren, um damit im Geheimen nicht nur nach lustigen Urlaubsfotos zu suchen.

Wohl dem der eine 56k Modem-Verbindung hat...
#27
Registriert seit: 13.03.2015

Leutnant zur See
Beiträge: 1218
Ich weiss schon, wieso ich mir keinen Facefook (vormals "Oculus Rift") Dongle in den PC stecken will. So lange sie Softwareinstallationen benötigen um zu Schnüffeln hatte man ja immerhin die Chance, das zu blocken, aber wenn sie erstmal einen Hardwarezugang haben dann ist jeder PC offen wie ein Scheunentor.
"By using our Services (auch Oculus Treiber genannt) you agree that ..."
#28
customavatars/avatar217306_1.gif
Registriert seit: 18.02.2015

Obergefreiter
Beiträge: 87
Zitat Hiradur;22732662
EDIT: Noch ein Denkanstoß: Einige integrierte Hardware ist auch teilweise über den USB Port angebunden. Mögliche Beispiele wären Laptoptastaturen, Ethernet Controller und Sound Chips. Selbst wenn man also alle äußerlichen USB Geräte abziehen würde, wäre man eventuell immer noch verwundbar.

und wie soll das dann praktisch von statten gehen ?
#29
customavatars/avatar217306_1.gif
Registriert seit: 18.02.2015

Obergefreiter
Beiträge: 87
Zitat Shiga;23064519

In Zeiten wo man für umgerechnet 50-60€ eine synchrone Gigabit Leitung bekommt auch total unnötig.

Aber nicht in de.... Japan/Korea/Schweiz vielleicht.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Kommentar: Nein, liebe Telekom - Vectoring ist keine Glasfaser!

Logo von IMAGES/STORIES/LOGOS-2015/TELEKOM2

In der vergangenen Woche kündigte die Deutsche Telekom an, dass der Ausbau von VDSL-Vectoring mit 100 MBit/s im Herbst starten soll. Die Anschlüsse sollen dann eine Geschwindigkeit von bis zu 100 Mbit/s im Down- und 40 Mbit/s im Upload bieten. Der Nachteil der Technik ist allerdings, dass durch... [mehr]

Tesla Model 3: 320 Kilometer und ein neues Cockpit für 31.000 US-Dollar

Logo von IMAGES/STORIES/LOGOS-2015/TESLA_MOTORS

Welch hohes Vertrauen Tesla genießt, zeigt heute keine andere Zahl so deutlich wie die der Vorbestellungen für das in der vergangenen Nacht vorgestellte Model 3. Rund 115.000 Exemplare wurden bereits geordert, ohne dass auch nur einer der Besteller wusste, was genau er der eigentlich kauft -... [mehr]

Intel bestätigt trotz Milliardengewinn Wegfall von 12.000 Arbeitsplätzen

Logo von IMAGES/STORIES/LOGOS-2015/INTEL3

Vor einigen Tagen wurden Gerüchte laut, dass Intel einen massiven Stellenabbau planen würde. Dieses Gerücht hat der Chipriese nun im Rahmen seiner aktuellen Quartalszahlen bestätigt. Demnach werden bis zum Jahr 2017 rund 12.000 der insgesamt 107.000 Stellen wegfallen. Die betroffenen... [mehr]

Vorinstallierte Google-Apps: EU-Kommission prüft mögliche...

Logo von IMAGES/STORIES/LOGOS-2015/GOOGLE_2015

Bereits seit 2013 prüft die EU-Kommission, ob Google mit seiner Mobil-Plattform Android gegen geltendes Kartellrecht verstößt. Zum Stand der Ermittlungen hatte man sich seitdem nur vage und selten geäußert, Stillstand hat es aber nicht gegeben. Denn wie die zuständige Wettbewerbskommissarin... [mehr]

Ford baut Googles selbstfahrende Autos (Update)

Logo von IMAGES/STORIES/LOGOS-2015/GOOGLE_ROBOCAR

Google ist auf der Suche nach einem Partner für seine selbstfahrenden Autos fündig geworden. Dabei soll es sich um den US-Hersteller Ford handeln. Dies zumindest berichtet das Portal Automotiv News und verweist auf gut informierte Kreise. Zwar wollten beide Unternehmen keinen Kommentar abgeben,... [mehr]

Netflix wächst weiter auf 81,5 Millionen Nutzer

Logo von IMAGES/STORIES/LOGOS-2013/NETFLIX

Netflix hat zusammen mit den jüngsten Quartalszahlen auch einen deutlichen Mitgliederzuwachs bekanntgegeben. Demnach nutzen derzeit weltweit rund 81,5 Millionen Nutzer den Streamingdienst. Während in den ersten drei Monaten des Jahres 2016 in den USA 2,23 Millionen Neukunden gewonnen werden... [mehr]