Die Nutzung von USB-Geräten lässt sich aus dem heutigen Alltag nicht mehr wegdenken. Mit großer Selbstverständlichkeit werden sie genutzt. Kaum einer macht sich Gedanken, dass diese Geräte auf dem eigenen Computer großen Schaden anrichten können.
Vielleicht kennt jemand den USB-Stick „Rubber Ducky“ aus dem Hak5-Shop. Dahinter verbirgt sich kein echter USB-Stick sondern ein programmierbarer Computer, der sich gegenüber dem PC als Tastatur ausgibt. Mittels eines speziellen Toolkits lassen sich Skripte und Payloads erstellen, mit denen man z.B. administrativen Zugriff auf einen PC erhält oder andere Manipulationen an der installierten Software und dem Betriebssystem vornehmen kann.
Der Ansatz von Karsten Nohl und Jakob Lell (präsentiert auf der Blackhat 2014) ist etwas anders. Sie manipulieren die Firmware von regulären USB-Sticks, um sie dann als „Milicious USB-Device“ auf PC einzusetzen. Das eingesetzte Betriebssystem spielt dabei keine Rolle.
Beide haben mittels Reverse Engineering eine Möglichkeit gefunden, die vom Hersteller auf USB-Geräten eingesetzte Firmware auszulesen, nach ihren Bedürfnissen zu verändern und sie dann wieder auf die Geräte zurückzuschreiben. Da bei USB-Speichersticks nur Controller von drei Herstellern zum Einsatz kommen, hatten sich schon andere Forscher mit dem Thema beschäftigt. Dies erleichterte natürlich die Arbeit ein wenig.
Während der Präsentation zeigen sie, wie ein USB-Stick durch einstecken in einem Windows-PC infiziert wird. Danach wird der gleiche USB-Sticks in einem Linux-PC genutzt der somit dieses Betriebssystem infiziert. Der neue „USB-Virus“ ist geboren.
Zukünftig könnten auch andere USB-Geräte (z.B. Webcams und externe Festplatten) zum Angriffsziel werden.
Zum Schluss ihres Vortrages versuchen die Forscher zu erklären, wie man sich vor solchen Manipulationen schützen kann. Dies erweist sich tatsächlich als schwierig. Die manipulierte Firmware kann durch Antiviren-Software nicht erkannt werden. Ein effektiver Schutz könnte darin bestehen, die Firmware von USB-Geräten „einzufrieren“ um sie so vor dem Überschreiben zu schützen. Einige Hersteller hatten dies bereits erwogen, aber möglicherweise aus Kostengründen nicht umgesetzt.
[youtube nuruzFqMgIw 548 365]