Vorsicht vor Bösen und „Killer“ USB Stick(s)

Von USB Geräten (wie USB Sticks und anderer USB Peripherie) geht – zumindest theoretisch – eine nicht durch Virenscanner oder andere Software erkenn- oder behebbare Gefahr aus. Die Informationen darüber, wie man mit USB Geräten Schaden anrichten kann verbreiten sich derzeit rasant im Internet. Es ist also davon auszugehen, dass es in absehbarer Zeit einige Versuche geben wird, diese Ideen in die Praxis umzusetzen.

Daher sollte man – gerade bei fremden USB Geräten kurz nachdenken, bevor diese an den eigenen Rechner angesteckt werden. Das galt früher schon für Disketten, seit jeher für Emails mit merkwürdigen Anhängen und nun auch für alles, mit einem USB Anschluss.

Im folgenden sollen zwei konkrete Beispiele gezeigt werden, welchen Schaden man mit einem USB Stick – ganz abseits normaler Viren – anrichten kann.

1. USB-Killer

Der erste Fall ist technisch gesehen weniger aufwändig und richtet im eigentlichen Sinne „nur“ einen wirtschaftlichen Schaden an: Mithilfe eines speziell präparierten USB Sticks kann man einen Rechner komplett zerstören oder zumindest so stark beschädigen, dass er nicht mehr normal benutzt werden kann. Die auf dem Gerät gespeicherten Daten gehen unter Umständen verloren.

Das folgenden Video zeigt einen solchen USB Stick in Aktion:

Wie funktioniert es?

Einfach gesagt, wird durch den USB Stick ein viel zu starker Strom über den USB Anschluss abgegeben, was die Technik des Rechners zerstört. (Ähnlich wie bei einem Blitzeinschlag, nur schwächer.)

Konkreter: Im USB Stick sind mehrere Kondensatoren verbaut, die sich nach dem Anschließen aufladen. Haben Sie die Maximalkapazität erreicht, werden die Kondensatoren schlagartig über die Daten- und Versorgungsleitungen des USB Anschlusses entladen. (Der Hersteller des USB Sticks im Video spricht von einer Spannung von -220V; Stromstäke nicht bekannt.)

Das Ergebnis dürfte in allen Fällen ein zerstörter USB Controller sein, was bei vielen PCs, allen Notebooks / Laptops oder Tablett-PC schon nicht mehr einfach zu reparieren ist, da der USB Controller direkt auf der Hauptplatine verbaut ist und nicht getauscht werden kann. Schlägt die Überlastung weiter durch kann die gesamte Hauptplatine des Rechners (das Mainboard) irreparable Schäden davon tragen. Dann startet der Rechner, wie im Video zu sehen nicht mehr.

Weitere interne und externe Peripheriegeräte (Andere USB Geräte, Festplatten, SSDs usw.) können ebenfalls in Mitleidenschaft gezogen werden, was im schlimmsten Fall nicht nur zum Verlust der eigentlichen Hardware sondern auch den darauf gespeicherten Daten führt.

2. BadUSB

Der 2. Fall ist technisch aufwändiger und hat idR. nicht die Zerstörung des Rechners sondern Datendiebstahl oder das „kapern“ des Rechners zum Ziel. Der Angriff der 2014 vorgestellt wurde, wird als „BadUSB“ bezeichnet und nutzt die Tatsache, dass an einem USB Anschluss verschiedene Gerätetypen von Virenscannern und anderen Programmen unerkannt betrieben werden können.

USB Geräte umfassen neben Speichersticks, Kameras und Festplatten auch Drucker, Netzwerkgeräte, Soundkarten, Tastaturen, Mäuse, Chipkartenleser und zahlreiche weitere Geräte. Immer beliebter werden auch sog. „USB Toys“ wie Spielzeug-Raketenwerfer, Kaffee-Warmhalter, Lampen und Ventilatoren. Zu Weihnachten gibt es dann auch den passenden USB-Weihnachtsbaum. Problematisch ist, dass in jedem der genannten Geräte theoretisch „mehr“ stecken könnte, als sich von außen erkennen lässt.

So kann zB. ein WLAN-USB-Stick gleichzeitig ein USB-Speicher-Stick sein, auf dem die Treiber für das Gerät gleich mit geliefert werden. Nach dem Anstecken eines USB Gerätes aktiviert und untersucht das Betriebssystem dieses Gerät und versucht, die nötigen Treiber dafür automatisch – meist ungefragt und für den Benutzer unbemerkt – zu laden. – Und genau da setzt der Angriff an.

Die Firmware (also die Steuersoftware) zahlreicher bereits existierender USB Geräte ist nicht gegen Manipulationen geschützt. Mit etwas technischem Know-How und den nötigen Werkzeugen kann man einen USB Stick also so umprogrammieren, dass er nicht nur einen Massenspeicher – sondern auch noch ein anderes Gerät simuliert oder sich in bestimmten Situationen anders verhält, als er das normalerweise machen würde.

Ein paar Beispiele für denkbare Manipulationen:

  • Ein normaler USB Speicherstick simuliert gleichzeitig eine USB Tastatur. Diese kann nach einem gewissen Leerlauf völlig autonom Eingaben am Rechner simulieren und auf diese Weise beliebige Befehle ausführen. Das ganze geht so schnell, dass der Anwender dies nicht einmal zwingend bemerkt. (Das Aufzeichnen von Tastatureingaben ist – zumindest derzeit – technisch noch nicht ohne weitere Anstrengungen, zB. einen manipulierten Treiber, möglich.)
  • Ein Speicherstick reagiert beim Startvorgang eines Rechners anders, als beim Einstecken während des Betriebs.
    Auf diese Weise kann unter Umständen Schadsoftware vor dem Start des Betriebssystems oder einer Anti-Virensoftware geladen werden.
  • Der Speicherstick schläußt während des Lesens von Daten zusätzlichen Code ein.
  • Ein normaler USB Speicherstick simuliert zusätzlich eine USB Netzwerkkarte,
    • die genutzt wird, um die Namensauflösung zu beeinflussen. So könnten zB. Webseiten URLs (amazon.de / ebay.de) auf andere Seiten umgeleitet werden. (Phishing)
    • die genutzt wird, um den Datenverkehr im Hintergrund mit zu schneiden. Die Daten werden auf dem Stick abgelegt und gelangen so irgendwann zum Angreifer zurück. (Setzt derzeit einen manipulierten Treiber voraus.)

Einige der og. Beispiele laufen ausschließlich im Microcontroller des USB Sticks ab. Dieser bzw. dessen Firmware ist für den USB-Host-Rechner und die darauf evtl. laufende Sicherheitssoftware nicht zugreifbar. Daher kann zB. ein handelsüblicher Virenscanner den Schadcode derzeit nicht erkennen. Nur dann, wenn zB. zusätzlich Software auf dem Host-Rechner nötig ist (Bei den og. Beispielen die Treiber-Software) kann ein Virenscanner tätig werden.

Als effektivster Schutz bleibt derzeit also: Vorsicht walten lassen.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s