USB-Sticks: Schwere Sicherheitslücke entdeckt

    http://www.netzwelt.de/news/14…heitsluecke-entdeckt.html


    Im TV widmet sich die Sendung Monitor der USB-Schwachstelle: Sendetermin ist heute, Donnerstag, um 21:45 Uhr in der ARD.



    "..(dpa) - Experten warnen vor einer grundlegenden Sicherheitslücke in Geräten mit USB-Verbindung. Sie hätten es geschafft, Schadsoftware tief in USB-Sticks zu verankern, berichteten die Berliner Sicherheitsforscher Karsten Nohl, Jakob Lell und Henryk Plötz „Zeit Online“ und dem US-Magazin „Wired“. Dadurch sei der Schadcode selbst für IT-Fachleute kaum zu erkennen.


    Die Sicherheitsforscher hätten es in monatelanger Arbeit geschafft, die Firmware von USB-Sticks nachzubauen. Diese Firmware kommt vom Hersteller und steuert die Funktionen der Geräte. Die Berliner hätten die Firmware umgeschrieben und ihre Schadsoftware darin versteckt. Über einen so veränderten USB-Stick könne ein Angreifer sich weitreichenden Zugriff auf den Computer eines Opfers verschaffen - und zwar, ohne dass die Attacke groß auffallen würde, berichteten die beiden Webseiten. „Diese Lücken können nicht geschlossen werden“, sagte Forscher Nohl zu „Wired“. „Wir nutzen die grundlegene Art aus, wie USB aufgebaut ist.“


    ARD-Sendung „Monitor“ zeigt Angriff


    Der manipulierte USB-Stick kann sich beispielsweise als Tastatur ausgeben oder als Netzwerkkarte, über die Internetverbindungen laufen. Denn auch diese Geräte nutzen USB-Anschlüsse. Dann könne ein Angreifer „alle Tastatureingaben protokollieren, die Webcam aktivieren und Fotos vom Opfer machen oder auch Screenshots vom Bildschirminhalt anlegen“, schreibt „Zeit Online“. Auch Internetaktivitäten könnten überwacht werden. In der ARD-Sendung „Monitor“ soll am 31. Juli ein solcher Angriff gezeigt werden.


    USB-Sticks ohne Sicherheitsschranke


    Weitverbreitete Chips für USB-Sticks hätten keine Sicherheitsschranke, die eine Veränderung der Firmware verhindere, schreiben die Forscher. „USB-Geräte - nicht nur Sticks - sind ein Infektionsrisiko für jeden Nutzer“, erklärte Nohl der dpa. „Da einmal angegriffene Computer wiederum andere USB-Geräte infizieren können, kann sich ein solcher Angriff durchaus schnell verbreiten.“ Es brauche zwar einige Wochen Vorarbeit, um einen USB-Stick zu manipulieren. „Das entsprechende Wissen taucht aber sicher irgendwann im Internet auf“, so Nohl.


    Schlussfolgerung der Forscher ist drastisch


    USB-Sticks seien nicht mehr vertrauenswürdig, wenn sie je mit einem unsicheren Computer in Kontakt gekommen sind. Besonders für Unternehmen könnte das ein Problem sein. Damit wären die Datenträger zum schnellen Dateitausch für sie praktisch ungeeignet. Enthüllungen über die Arbeit des US-Geheimdienstes NSA zeigten bereits einen Angriff über ein modifiziertes USB-Kabel.."
    Quelle

    Au weh. Da hat wohl jemand etwas verspätet verstanden wie USB funktioniert...


    Zitat

    http://www.netzwelt.de/news/14…heitsluecke-entdeckt.html
    Der manipulierte USB-Stick kann sich beispielsweise als Tastatur ausgeben oder als Netzwerkkarte, über die Internetverbindungen laufen. Denn auch diese Geräte nutzen USB-Anschlüsse. Dann könne ein Angreifer „alle Tastatureingaben protokollieren, die Webcam aktivieren und Fotos vom Opfer machen oder auch Screenshots vom Bildschirminhalt anlegen“, schreibt „Zeit Online“. Auch Internetaktivitäten könnten überwacht werden. In der ARD-Sendung „Monitor“ soll am 31. Juli ein solcher Angriff gezeigt werden.


    Man könnte natürlich eine Art "Script" auf den Stick bauen und damit versuchen Code auszuführen. Eben indem man eine Tastatur simuliert. Allerdings würde ich dafür erstmal die komplette Stick-Hardware rauswerfen und einen Microcontroller reinsetzen der programmierbar ist. Das klappt dann je nach verwendetem Betriebssystem unterschiedlich gut.


    Zitat


    Weitverbreitete Chips für USB-Sticks hätten keine Sicherheitsschranke, die eine Veränderung der Firmware verhindere, schreiben die Forscher. „USB-Geräte - nicht nur Sticks - sind ein Infektionsrisiko für jeden Nutzer“, erklärte Nohl der dpa. „Da einmal angegriffene Computer wiederum andere USB-Geräte infizieren können, kann sich ein solcher Angriff durchaus schnell verbreiten.“ Es brauche zwar einige Wochen Vorarbeit, um einen USB-Stick zu manipulieren. „Das entsprechende Wissen taucht aber sicher irgendwann im Internet auf“, so Nohl.


    Jetzt wirds interessant... Bisher kenne ich USB-Sticks nur als relativ doofe Stückchen Hardware mit Chips, die nur einen einzigen Zweck erfüllen können. Sind die wirklich umprogrammierbar? Billige USB-Sticks als Quelle für USB-taugliche Microcontroller inklusive Außenbeschaltung und Gehäuse? Nur den Flash raus und schon hat man reichlich Ein- und Ausgänge? Kann doch garnicht sein, oder?


    Der Angriff via simulierter Tastatur scheint mir aber garnichtmal so abwegig zu sein. Das Prinzip kenne ich schon von woanders: http://eleccelerator.com/usb-business-card/

    Gerade habe ich auch hier (www.heise.de) die Info gefunden... Sehr Interessant...

    Für denn Fall, dass Monitor den Exploit nicht im Detail erklärt und nur ein bisschen Panikmache betreibt, kann man auch bis zum hoffentlich aussagekräftigeren Vortrag am 07.08. warten: https://www.blackhat.com/us-14…ccessories-that-turn-evil

    yaVDR-Dokumentation (Ceterum censeo enchiridia esse lectitanda.)

    Ich finde den Ansatz "Whitelisting" nun nicht so verkehrt. Zum Beispiel wäre es doch denkbar z.B. Tastaturen nur auf bestimmten Ports zu erkennen. Eben solchen die auf der "Whitelist" stehen.


    Meine Frage hat der Artikel aber beantwortet. Es gibt wirklich programmierbare Sticks. Hätte ich nicht gedacht das die Controller im Speicherstick sogar Firmware-Update können...

    Zitat von Argus

    USB-Sticks seien nicht mehr vertrauenswürdig, wenn sie je mit einem unsicheren Computer in Kontakt gekommen sind.


    Fr@nk, oh man! Das ist Shit, trotzdem danke.


    Das kann nur von Pu*in kommen, er ist an Allem Schuld. :)


    Müssen wir jetzt Mauern bauen um uns vor USB-Sticks zu schützen, wie es die Palästinenser tun? :(


    Ist es zu politisch, dann sind die Mods gefordert. ;)


    Albert

    Ich verstehe nicht, weshalb sich Leute noch die mühe mache und Zeit und Geld in die Entwicklung von "Ausspäh Hardware" zu stecken, wo man doch die gewünschten Infos via Gesichtsbuch, Gezwitscher und CO, gratis und freiwillig geliefert bekommt. ;)

    Zitat von 3PO

    Ich verstehe nicht, weshalb sich Leute noch die mühe mache und Zeit und Geld in die Entwicklung von "Ausspäh Hardware" zu stecken


    Das hat auch niemand erwartet. Möglicherweise ist Dein Stick zu klein. ;)


    Albert

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden