Komplette Anleitung zu BadUSB online - USB auf Jahre unsicher

Im August hielten der deutsche Sicherheitsforscher Karsten Nohl, der vielen vor allem für die Entdeckung zahlreicher Sicherheitslücken in GSM-Netzen im Gedächtnis geblieben ist, und Jakob Lell auf der Black-Hat-Konferenz in Las Vegas einen Vortrag über einen Angriffsvektor im USB-Protokoll. Dieser ermöglicht das Einschleusen von Malware über jedes beliebige USB-Gerät, egal ob Maus, Tastatur, USB-Stick, Webcam usw. Letztendlich spielt die Hardware keine Rolle, da der Angriff dem Host jedes beliebige Gerät simuliert.

Die Gefährlichkeit des Angriffs ergibt sich also durch den Weg, über den die Schadsoftware den Weg in das System nimmt aber auch über die Tatsache, dass keinerlei Abwehrsoftware in der Lage ist, diesen Angriff zu erkennen. Die Malware steckt in der Firmware des USB-Controllers und kann dort von klassischer Antivirensoftware nicht erkannt werden. Ein Löschen ist natürlich ebenso wenig möglich. Gut programmierte Malware kann zudem verhindern, dass die Schadsoftware nach dem Ausführen von eventuell vorhandene Antiviren- oder Trojanersoftware erkannt wird. Die Verbreitung kann wiederum über weitere USB-Geräte erfolgen, denn die Malware ist in der Lage auch andere USB-Geräte bzw. deren Firmware zu überschreiben. Die Ausbreitung findet also nicht über den klassischen Weg der Verbreitung einer Datei/Software statt, sondern versteckt in der Firmware einer Hardware, wo sie nur schwer zu detektieren ist.

Karsten Nohl und Jakob Lell entschieden sich ihr Werk zunächst unter Verschluss zu halten, da man der Branche eine Chance geben wollte auf das Risiko zu reagieren. Allerdings war ihnen auch klar, dass eine Lösung nicht einfach bis unmöglich werden würde. Auf Jahre hin ist die Hardware anfällig und könnte nur durch einen kompletten Austausch geschlossen werden. In Anbetracht der weltweit vorhandenen USB-Hardware ein unmögliches Unterfangen.

Adam Caudill und Brandon Wilson wollten nicht so lange warten und haben den von Nohl und Lell  gewählten Angriffsvektor nachgestellt und eine eigene Version von BadUSB entwickelt. Dabei haben sie auch gleich einige konkrete Angriffsszenarien entwickelt, die bis zu einer kompletten Übernahme des Systems reichen. Auf Github ist der Quellcode zu dieser BadUSB-Interpretation zu finden. Damit gehen sie den in diesem Fall umstrittenen Weg des "full disclosure". Laut Caudill und Brandon nutzten Behörden wie die NSA diesen Angriffsweg vermutlich ohnehin schon und mit der Veröffentlichung wolle man den Druck auf die Hersteller erhöhen etwas gegen einen solchen Angriff zu tun.

Die Gefahr ist nun groß, dass sich Hacker und Behörden die bisher keine Kenntnis von diesem Angriff hatten die von Caudill und Brandon zur Verfügung gestellten Code schnappen und diesen erweitern, denn bisher funktioniert dieser nur auf bestimmten USB-Controllers und verbreitet sich auch noch nicht selbständig auf weitere Geräte. Es dürfte aber nur eine Frage der Zeit, bis die dazugehörigen Anpassungen vorgenommen wurden. Die beiden Sicherheitsforscher arbeiten laut eigenen Angaben bereits daran, sind sich aber noch unschlüssig, ob sie diesen Code dann auch veröffentlichen.

Die Gegenmaßnahmen sind bereits angelaufen. In sensiblen Bereich sollte unbekannte USB-Hardware ohnehin nicht eingesetzt werden. G-Data hat bereits eine Software entwickelt, die fremde USB-Hardware erkennt und den Nutzer darum bittet sie entsprechend zu verifizieren. Wird die Hardware aber unentdeckt vom Nutzer ausgetauscht, hilft auch diese Sicherheitsmaßnahme sicherlich wenig.

Effektiver wäre nun ein Umdenken bei den Herstellern von USB-Hardware. Kryptografisch gesicherte USB-Controller gibt es bereits, nur sind diese teurer als die ungesicherten Controller und werden daher von den Herstellern gemieden. Alle bisher verwendete USB-Hardware bleibt natürlich weiterhin anfällig für diesen Angriff, egal ob nun alle Hersteller auf neue Controller setzen oder nicht. Es wird also nicht einfach werden die nun offene Lücke wieder zu stopfen.