Die 'unstoppbare' USB-Sicherheitslücke und was dahinter steckt

Vor gut zwei Monaten hatten die deutschen Kryptospezialisten Karsten Nohl und Jakob Lell einen USB-Bug vorgestellt, der Betrügern unglaubliche Möglichkeiten bietet auf ein System zuzugreifen. Bei der diesjährigen Black Hat Konferenz hatten Lell und Nohl die Sicherheitslücke demonstriert. Die Firmware von USB-Controllern kann dabei so manipuliert werden, dass ein USB-Stick beim Einstecken zum Beispiel vorgaukelt, er sei eine Tastatur und kann dann Eingaben tätigen. Das Sicherheitsproblem betrifft daher alle Eingabemöglichkeiten durch Peripheriegeräte. Für Hacker ist das ein wahrer Traum. Die Schwachstelle ist nicht Betriebssystem-spezifisch und kann daher rein theoretisch Jeden treffen.

Entdecker gehen vorsichtig mit ihrem Wissen um

Bislang war die Bad-USB getaufte Sicherheitslücke auch nur rein theoretisch, denn Nohl und Lell haben lediglich die Machbarkeit bewiesen, waren aber mit weiteren Details zur Schwachstelle äußerst vorsichtig umgegangen. Bei der Black Hat Konferenz haben sie sich ausführlich zu dem Problem geäußert und mit dem Vortrag "BadUSB - On accessories that turn evil" die Sicherheitslücke genau beleuchtet.


Die Situation hat sich jetzt grundlegend geändert. Zwei Sicherheitsforscher aus den USA haben die USB-Malware über die Softwareplattform GitHub veröffentlicht. Adam Caudill und Brandon Wilson war es gelungen, Teile der von Nohl und Lell gezeigten BadUSB-Tricks nachzuvollziehen. Sie wollen nun mit einem veröffentlichten Expolit die Arbeiten an einer Lösung anstoßen. Denn in den zwei Monaten seit der ersten Vorführung bei Black Hat hat sich nichts weiter getan. Die Veröffentlichung ist ihrer Meinung ein wichtiger Bestandteil, wenn die Lücke nicht großflächig von Betrügern eingesetzt werden soll.

Der Nachbau

"Wir glauben daran, dass dies alles öffentlich sein sollte. Es darf nicht zurückgehalten werden. Also veröffentlichen wir alles, was wir bereits haben", sagte Caudill bei der Derbycon-Konferenz am Freitag. Ihre Lösung, wie ein BadUSB nachgebaut werden kann, haben sie gleich als Video festgehalten:


Wie weit die Meinungen zu BadUSB auseinander gehen, hat Wired in einem Bericht zu der Sicherheitslücke unterstrichen.

Unstoppbar und unpatchbar?

Während Karsten Nohl sagte, er selbst halte den Bug für "unstoppbar und unpatchbar", und für ein Problem für die kommenden zehn Jahre um alle Schwachstellen von USB zu schließen, haben sich andere Experten bereits beschwichtigend zu Wort gemeldet.

Das Problem sei zwar bedenklich, es betrifft aber allem Anschein nach nur USB-Chips der Firma Phison. Phison ist allerdings einer der Marktführer für USB-Chips. Über eine Umprogrammierung kann deren USB-Microcontroller-Firmware genutzt werden, um Malware zu verbreiten.

Zudem könne das Problem auf der anderen Seite, nämlich durch entsprechende Sicherheitssoftware am Rechner, abgefangen werden. Der G Data USB Keyboard Guard ist ein solches Tool, das bereits seit Mitte September angeboten wird.

Download

G Data USB Keyboard Guard Datenschutz, Spracherkennung, USB-Stick Hammacher