BadUSB – Böse Tastaturen erkennen!

Seit wenigen Tagen eilt die Nachricht durch die Medien und erschreckt weltweit Computernutzer: Die Berliner Firma SRLabs hat eine neuartige Angriffstechnologie entwickelt, die es erlaubt jedes USB-Gerät als Waffe zu missbrauchen und wird diese Methode am 7.8.2014 im Rahmen der BlackHat Konferenz in Las Vegas vorstellen. [1]

Die Reaktionen auf diese Ankündigung sind sehr verschieden. Von manchen Seiten wird die Chance auf Sicherheit von Computern zu Grabe getragen und der Kampf gegen Cyber-Kriminalität wird endgültig als verloren gemeldet. [2] Von anderen Seiten wird wiederum darauf hingewiesen, dass diese Angriffe bereits seit mindestens 2011 bekannt und durchführbar sind. [3] Wenn man das Internet nach dem Produkt „Rubber Ducky“ durchsucht, findet man sogar kommerzielle Werkzeuge um solche Angriffe durchzuführen. [4]

Bei der Methode von SRLabs werden USB-Geräte durch eine neue Software (Firmware) innerlich in andere Geräte umgewandelt. Ein Speicherstick oder eine Digitalkamera kann durch die aufgespielte Software so modifiziert werden, dass daraus ein WLAN-Adapter oder eine Tastatur wird. Zumindest denkt das der Rechner, an den das Gerät angesteckt wird. Hierbei spielt es keine Rolle, ob der Rechner ein Windows, MAC OS X oder Linux Betriebssystem besitzt. Besonders gefährlich sind Geräte, die zu einer USB-Tastatur umfunktioniert wurden. Über diese lassen sich in Bruchteilen einer Sekunde und ohne Benutzerinteraktion beliebige Befehle „eintippen“. Der Rechner des Opfers kann somit beispielsweise mit Schadsoftware infiziert und im Anschluss über das Internet ferngesteuert werden. Zusätzlich umgeht diese Version gängige Sicherheitsmechanismen in Hochsicherheitsumgebungen. Sogenannte USB-Blocking-Software blockiert meist nur unbekannte USB-Speichermedien, nicht jedoch USB-Tastaturen oder Mäuse, da sonst ja die Bedienung eines Rechners erheblich erschwert werden würde.

So gefährlich und aussichtslos das klingen mag, es gibt einen Lichtblick: Fast alle Angriffsszenarien, außer der „bösen Tastatur“, lassen sich durch USB-Blocking-Software eindämmen oder durch fehlende Administratorrechte der Benutzer verhindern. Angriffe mit vorgetäuschten Tastaturen können nur schwer verhindert werden, sind aber auf dem Monitor des Opfers sichtbar. Schließlich muss diese Tastatur die gefährlichen Befehle auf der grafischen Oberfläche des Rechners erst einmal tippen. Dieses Tippen kann vom Opfer auf dem Bildschirm erkannt werden, wie in dem folgenden Video zu sehen ist:

Im Video sehen Sie, wie unser manipulierter USB-Raketenwerfer (besonders bei IT affinen Menschen, wie Systemadministratoren beliebt) nach dem Einstecken rechts das Menü öffnet. Dort wird, kurz erkennbar, ein Befehlt ausgeführt. Das alles dauert nur wenige Augenblicke. Wie Sie sich nach unserer kurzen Einführung nun sicher denken können, handelt es sich in Wirklichkeit nicht mehr nur um einen Spielzeugraketenwerfer mit USB-Anschluss, sondern zudem um eine eingebaute Tastatur, die beim Einstecken Tastaturbefehle absetzt.

Dem Angreifer wird kurz nach Ausführung unserer Malware auf dem USB-Gerät die entfernte Steuerung des Opfersystems online übertragen, ohne dass das Opfer etwas davon merkt, die Firewall etwas blockiert oder das Antivirensystem etwas erkennt. Der Rechner steht vollständig unter fremder Kontrolle:

Das große Problem im Unternehmensumfeld:

Wenn der Benutzer etwas bemerkt, ist es zu spät. Dann hilft nur noch schnelles Handeln! Das Opfer sollte den Vorfall umgehend einem Sicherheitsbeauftragten melden, damit dieser Gegenmaßnahmen einleiten kann.

• Prägen Sie sich den Vorgang ein und zeigen Sie das Video Ihren Kollegen und Mitarbeitern, damit diese den Angriff erkennen können.
• Kennen in Ihrem Unternehmen alle Benutzer die Ansprechpartner und Prozesse bei Sicherheitsvorfällen? Nein? Nicht sicher? Dann ist jetzt der perfekte Zeitpunkt, diese wesentliche Information aufzufrischen.

Nur wenn Mitarbeiter einen solchen Angriff erkennen können, den zuständigen Ansprechpartner kennen und dadurch Sicherheitsvorfälle rasch und zuverlässig melden, lässt sich der Schaden eindämmen, der durch einen trojanisierten Rechner unter der Kontrolle Krimineller entsteht.

Wenn Sie Fragen haben, wie man sich auch technisch davor schützen kann oder Hilfe benötigen: Sprechen Sie uns einfach an!

Ihr NSIDE Team.

W www.nsideattacklogic.de
T +49 (0) 89 89 082 110
E nfo@nsideattacklogic.de

[1] https://srlabs.de/badusb/ (aufgerufen: 5.8.2014 18:00)

[2] http://www.zeit.de/digital/datenschutz/2014-07/usb-controller-chip-angriff-srlabs (aufgerufen: 5.8.2014 18:00)

[3] http://www.heise.de/security/meldung/BadUSB-Wenn-USB-Geraete-boese-werden-2281098.html (aufgerufen: 5.8.2014 18:00)

[4] https://hakshop.myshopify.com/products/usb-rubber-ducky-deluxe (aufgerufen: 5.8.2014 18:00)

Innen ist das neue Außen

Wir alle kennen diese Szenen aus dem Kino oder Fernsehen: Ein "Hacker" soll in ein System eindringen, um Daten zu beschaffen. Er scannt das System, findet in Sekundenschnelle eine Schwachstelle, probiert automatisch einige Passwörter und ist in wenigen Augenblicken am Ziel. Heutzutage dürfte so ein Szenario nicht einmal mehr im Film vorkommen, denn die Angriffstaktiken haben sich drastisch verändert und stellen den Verteidiger erneut vor einen Haufen Arbeit.

Aus filmischer Sicht würde sich das Publikum wahrscheinlich langweilen, wenn der Protagonist stundenlang an einem Exploit bastelt oder mehrere Tage Passwörter durchprobiert. Trotzdem sind die Grundzüge dieser Szenen richtig und hatten starken Einfluss darauf, wie wir Bedrohungen wahrnehmen und vor was wir uns schützen möchten: Der Angreifer kommt aus dem Internet und greift direkt von außen auf verwundbare Systeme zu. Das ist zweifellos ein valides Angriffsszenario und war früher die Regel.

Aufgrund der vielfachen Angriffe von außen wurden von den Verteidigern entsprechende Gegenmaßnahmen entworfen, z. B. neben einem guten Patch-Management und Viren-Scanner, eine Firewall zu installieren. Die Firewall hat durch das Abtrennen der Netze und durch das Einschränken der Verbindungen die Angriffsfläche im besten Fall auf das Nötigste verringert. Manche normalisieren sogar die Datenströme und analysieren bis tief in die einzelnen Protokolle, um auch unbekannte Angriffe abzuwehren. Jedoch werden Angriffe auf Passwörter durch Zwei-Faktor-Authentisierung aus unserer Sicht leider noch zu selten abgesichert.

Zielscheibe Mensch

Für einen Angreifer sind die direkten und altbewährten Pfade inzwischen sehr beschwerlich. Für einen vom Forschergeist getriebenen Hacker kann das Austricksen dieser Schutzmechanismen zwar eine sportliche Herausforderung mit Sex-Appeal sein. Aber von Individuen dieser Art geht immer seltener eine Bedrohung aus.

Durch die Professionalisierung der Internetkriminalität und Betriebsspionage rücken betriebswirtschaftliche Überlegungen immer mehr in den Vordergrund: Einfach und schnell muss es gehen! Der Weg ist nicht das Ziel, der Return On Investment (ROI) ist das Einzige was zählt.

Würde ein Hacker-Film aus den 80ern heute gedreht werden, sähe der Plot hoffentlich folgendermaßen aus: Der Angreifer startet einen kurzen Scan, wendet sich aber schnell ab – zu  kompliziert. Er besorgt sich über ein soziales Netzwerk eine Liste der Mitarbeiter und hält nach einem erfahrungsgemäß "leichten" Opfer Ausschau. Das sind meist kontaktfreudige, offene Menschen, mit wenig IT-Erfahrung und einem unbedarften Umgang mit IKT-Systemen. Die anschließende Suche nach der ausgewählten Person in einem vornehmlich privat genutzten sozialen Netzwerk fördert dann eine Vorliebe für niedliche Katzen oder tiefergelegte Autos zu Tage. Der Angreifer sammelt alle Informationen, mit deren Hilfe er vertrauenswürdige oder für den Empfänger zumindest begehrenswerte E-Mails konstruiert. Eine E-Mail mit augenscheinlich Hobby-relevantem Inhalt wird von der Zielperson angeklickt und der Angreifer hat Zugriff auf den Rechner des Opfers und somit meist auch auf die relevanten Daten im internen Netzwerk. Ziel erreicht.

Der indirekte Angriff

Ein weiteres Szenario erscheint auf den ersten Blick schwieriger, kommt aber in der Realität häufig vor: Es werden von Mitarbeitern der Zielfirma regelmäßig besuchte Webseiten ermittelt, die ein niedrigeres Schutzniveau aufweisen. Diese Webseiten werden mit einem Trojaner versehen und infizieren ausschließlich Besucher der Zielfirma, bis das gewünschte Ziel infiltriert ist. Diese Taktik ist als "Waterhole-Angriff" bekannt, denn das Wasserloch ist der beste Ort, um regelmäßig wiederkehrendem, durstigem Vieh aufzulauern. So unwahrscheinlich dieses Szenario klingen mag, der Firma Apple und einigen anderen ist genau das passiert.

Angriffe dieser Art sind zur heutigen Zeit Standard. Virenscanner helfen hierbei wenig, denn die die Trojaner sind meist selbst geschrieben, ohne den Hersteller von Anti-Viren-Software davon in Kenntnis zu setzen. Auch klassische Firewalls helfen nicht, denn die Opfer wurden nicht direkt von außen angegriffen, sondern sie haben die Schadsoftware selbst (unbewusst) auf ihren Arbeitsplatz geschleust.

Es gibt natürlich auch intelligente Firewall-Produkte, die JavaScript und Applets von vornherein herausfiltern. Doch diese Techniken werden selten aktiviert, denn sonst wäre ein Großteil der Webseiten nicht mehr benutzbar und ein hundertprozentiger Schutz kann selbst dadurch nicht gewährleistet werden.

Umdenken ist angesagt

Angenommen, eine intelligente Firewall ist im Unternehmen installiert und alle aktuellen Schutzmechanismen sind aktiviert. Weiß ein Angreifer davon, verschickt er USB-Sticks. Benutzen Sie USB-Blocking-Software, verschickt der Angreifer Teensy-Devices, die Eingabegeräte, wie Maus und Tastatur imitieren oder bittet die Reinigungskraft (oft auch gegen Bezahlung) ein Gerät einzustecken. Wir können die Angriffsliste fast endlos weiterführen. Es gibt immer einen Weg, auch wenn es recht aufwändig wird. Diese relativ hohe Hürde zu setzen, ist der aktuelle Verdienst der Sicherheitsindustrie.

Was aber tun, wenn es stets einen Weg in Ihr internes Netz gibt und sich nicht alle Einfallstore schließen lassen?

Die logische Konsequenz aus der Veränderung der Angriffstaktiken der Cyber-Kriminellen ist aus unserer Sicht, den eigenen Blickwinkel ebenfalls anzupassen. Die hohen Hürden haben Kriminelle zum Umdenken bewogen und das sollten Verteidiger ebenfalls tun. Das würde bedeuten, die internen Netze als genauso unsicher wie die externen zu betrachten. Nur wenn wir die Arbeitsplätze als kompromittiert betrachten und den Schutzbedarf interner Systeme mit dem externer Systeme gleichsetzen, können wir den aktuellen Angriffstaktiken etwas entgegensetzen. Ein infizierter Arbeitsplatz kehrt das Innere Ihres Netzwerks nach außen und ermöglicht dem Angreifer in gewohnter Manier zu handeln.

Nicht vergessen: Die Kommunikation nach außen

Neben einer strikten Trennung der internen Netzsegmente nach Schutzbedarf, Funktion und organisatorischen Einheiten muss die Kommunikation nach außen ebenfalls erschwert werden. Ohne diesen Kommunikationskanal wird es für den Angreifer schwierig, die eingeschleuste Schadsoftware aus der Ferne zu steuern. Und ganz platt gesagt: Gefühlsmäßig ist mir wichtiger, dass niemand etwas aus der Firma herausträgt, als herein.

Ich bin erleichtert, dass sich die Schutzmechanismen in dieser Richtung heutzutage rasch weiterentwickeln. Wenn die internen Hürden in Zukunft tatsächlich so groß sind wie die externen, bin ich sehr gespannt, wie sich die Angriffsszenarien der Zukunft verändern.

Eigentlich müssten wir noch über User-Awareness und die Webanwendungen als ewiges Sicherheitsrisiko sprechen, aber über diese Themen diskutieren wir ein Andermal.

Blog-Autor Rainer Giedat ist Geschäftsführer und Mitbegründer der NISDE ATTACK LOGIC GmbH. Er arbeitet seit über 14 Jahren in der IT-Security, davon mehrere Jahre als Software-Entwickler von Sicherheitssystemen, als Systemadministrator und IT-Sicherheitsverantwortlicher. Als Penetration-Tester führte er in Deutschland und der Schweiz zahlreiche Penetration-Tests und Sicherheitsberatungen bei namhaften Unternehmen durch.

Die NSIDE ATTACK LOGIC GmbH ist spezialisiert auf hochwertige technische Penetration-Tests und realitätsnahe Simulationen von IT-gestützter Betriebsspionage.