News 03.10.2014, 11:49 Uhr

BadUSB: Riesenlücke ist öffentlich

BadUSB macht sämtliche Systeme über USB angreifbar. Die Lücke ist so schwerwiegend, dass wir wohl einige Jahre damit leben müssen.
Die Sicherheitslücke BadUSB wurde bereits im Juli bekannt gemacht. Die damaligen Entdecker verzichteten jedoch darauf, den Quellcode ihrer Entdeckung öffentlich zu machen. Die Hacker Adam Caudill und Brandon Wilson haben genau dies getan. Caudill und Wilson demonstrieren auf GitHub, wie die Lücke funktioniert und wie Systeme damit angegriffen werden können. Somit ist BadUSB öffentlich und kann von praktisch jedem verwendet werden. Angreifer können via BadUSB alle möglichen Schädlinge auf einen Computer einschleusen, ohne dass das Opfer etwas davon bemerkt.
Gegenüber Wired nennt Caudill sein Motiv für die Veröffentlichung: «Wenn nur einige wenige Leute die Lücke ausnutzen können, tut niemand etwas dagegen», so Caudill. «Man muss der Welt beweisen, dass praktisch jeder das tun kann.» Für den USB-Standard verheisst die Veröffentlichung von BadUSB nichts Gutes. Die Lücke dringt so tief in das System ein, dass praktisch der gesamte USB-Standard neu geschrieben werden müsste, um sie zu schliessen.

Nur schwer schliessbar

Der Grund dafür ist einfach: Durch BadUSB können Angreifer die USB-Firmware verändern. Es bräuchte also eine zweite Sicherheitsschicht um die Firmware herum, um BadUSB-Angriffe zu verhindern. Dafür müsste der USB-Standard komplett überarbeitet werden. Bis das geschieht, kann es Jahre dauern. Jahre, in denen USB ein gigantisches Sicherheitsrisiko darstellt. Jedes Mal, wenn Sie ein USB-Gerät anschliessen, von dem Sie die genaue Herkunft nicht zweifelsfrei kennen, öffnen Sie Tür und Tor für Angriffe aller Art.
Einen Schutz gegen BadUSB gibt es derzeit nicht. Die einzige Methode, zu 100 Prozent vor BadUSB sicher zu sein, ist, keine USB-Geräte zu verwenden. Da dies jedoch kaum praktikabel ist, heisst es: Augen auf beim Gebrauch von USB-Geräten und -Datenträgern.



Kommentare
Avatar
Pagnol
04.10.2014
Genauso ist es: die Firmware kann durch die Lücke "verbogen" werden. Anschliessend musst du den Stick nur noch unter die Leute bringen. Dur brauchst das Ding nur z.B. auf dem Tisch einer Firmenkantine liegen zu lassen. Du würdest staunen, wie schnell der irgendwo in einen PC gestöpselt wird!

Avatar
multi-os
04.10.2014
Ja, so ist es. Bekannt ist es ja schon länger, nur konnte es (vermutlich weil solche Firmware proprietär) bisher nicht vollständig bewiesen werden. Anders als "erst" auf dem eigentlichem Speicher befindet sich der Schadcode im Controller. Es würde also auch nicht's nützen, einen solchen Stick vor erstem Gebrauch in einer "virtuellen Maschine" oder in einem abgeschotteten Live-OS neu zu formatieren oder gar (noch efizienter) "auszunullen". Denn bisher befand sich Schadcode auf dem eigentlichen Speicher. Oft in getäuschten Hersteller-Programmen. Was mich selber wunder nähmte, aber offenbar noch nicht zu erfahren ist, wie "system-tief" solcher Schadcode aus dem Controller werkelt. Anders gesagt : ob solcher Schadcode OS-bedingt ist. Ich gehe mal davon aus, schon alleine weil GeräteTreiber ja OS-speziefisch sind und Schadcode ja wenig Sinn macht, wenn er nicht vom OS gelesen&ausgeführt werden kann. Klar dürfte aber sein : auf neuer solcher Geräte ist solcher Firmware Schadcode nicht zu finden. Beinhaltet solche Schadware keinen Virus (also automatische Verbreitung) lässt sich die Gefahr damit eingenzen, indem man mehrere PC's/OS nutzt und die von geschäftlich & privat erhaltenen Sticks in einem "getrennten" System steckt. Und wieder einmal sollte erwähnt werden : fremde Geräte haben an PC's mit denen OnlineBanking & OnlineKäufe getätigt werden, nichts zu suchen.

Avatar
kut
06.10.2014
Ich finde, dass die Veröffentlichung für "jedermann/jedefrau" nicht sehr geschickt war.

Avatar
PC-John
06.10.2014
Ich finde, dass die Veröffentlichung für "jedermann/jedefrau" nicht sehr geschickt war. Sicher nicht. Andererseits interessiert solches Wissen die Hersteller nur, wenn wirklich Schaden im Anzug ist. In der Vergangenheit haben wir unzählige Beispiele davon erleb, dass sich die betreffenden Firmen erst hinter die Arbeit machen, wenn wirtschaftlicher Verlust befürchtet wird. Ob das jetzt eine Auto- oder Software-Firma betrifft, spielt dabei keine Rolle. PC-John

Avatar
Telaran
06.10.2014
Ich finde, dass die Veröffentlichung für "jedermann/jedefrau" nicht sehr geschickt war.Prinzipiell gebe ich dir recht, aber ich verstehe auch die Ansicht der Initiatoren. Bisher hat sich die USB-IF drum herum geredet (der Markt wird es richten, August 2014). Mal sehen ob durch diese Veröffentlichung die Meinung ändert. Diverse andere Anbieter/Hersteller haben bereits bewiesen, dass sie gerne auf der faulen Haut liegen. Erst wenn es kracht und wirklich ein Schaden entsteht, haben sie bisher reagiert (aktuellste Parade-Beispiel -> Die Bruteforce Attacke auf Apple-Dienste, welche schon länger bekannt war). Diese Veröffentlichung hat gezeigt, dass es fast schon zu leicht ist und man sich fragen kann: Warum ist das erst jetzt aufgefallen (also analog wie bei "ShellLock"-Bash). Vielleicht werden sich auch manche Programmierer nun hinsetzen und überlegen, welche Gegenmassnahmen man umsetzen kann. Vielleicht finden die Anti-Virenhersteller ne Möglichkeit.