Angriffe via USB und wie man sich davor schützt
Vorgegaukelt
Sie sind klein, leicht, günstig und mit fast jedem System kompatibel – USB-Geräte sind in unserem beruflichen und privaten Alltag unverzichtbar. Die Technik birgt jedoch zahlreiche Risiken und ist für Angreifer eine beliebte Eingangstür. Datenverlust und Malware-Infektionen sind die Folge.
USB-Endgeräte und externe Speichermedien wie USB-Sticks gehören heute zu alltäglichen Werkzeugen unserer Arbeit. Ihr Einsatz bringt im Unternehmensumfeld allerdings einige Sicherheitsrisiken mit sich. So können Mitarbeiter auf USB-Sticks Firmendaten außerhalb des Betriebsumfeldes transportieren.
Sicherheitsmechanismen, die erkennen, ob Daten über das Netzwerk entwendet werden, zum Beispiel per E-Mail oder über Cloud-Dienste, sind an dieser Stelle unwirksam. Dem „Verizon 2016 Data Breach Investigations Report“ zufolge gehört nicht genehmigte externe Hardware, in den meisten Fällen mit USB-Anschluss, zu den Top-3-Ursachen von Datenlecks (dieser sowie alle weiteren Links sind über „Alle Links“ im blauen Kästchen zu finden). Der Verlust solcher Datenträger ist aufgrund der geringen physischen Größe wahrscheinlicher als der von Laptops. Zudem sind mobile Datenträger in der Regel schlechter abgesichert und unverschlüsselt.
In der Vergangenheit wurden Angriffe über USB in verschiedensten Formen durchgeführt und konnten teilweise komplette Computer lahmlegen. Die Angriffe benötigen für gewöhnlich physischen Zugang zum Zielsystem oder erfordern die Arglosigkeit der Zielperson, ein solches Gerät einzustecken. Der Zugang über die Mitarbeiter ist bewiesenermaßen am einfachsten und effektivsten. Auch heutige Angriffe nutzen diese Zugangspunkte zu den Zielsystemen und setzen dabei auf Techniken, die schwer zu verhindern und zu erkennen sind.
Angriffe über USB ermöglichen es, Systeme zu attackieren, die nicht über ein Netzwerk erreichbar sind (Airgapped Systems). Dabei handelt es sich oft um Steueranlagen von Industrie- oder anderen ICS/SCADA-Systemen (Industrial Control Systems/Supervisory Control and Data Acquisition). Ein Angriff auf sie erfordert in der Regel ein hohes Maß an Vorkenntnissen, da Steuerbefehle nicht mehr nachträglich übermittelt werden können. Antivirensysteme bieten je nach Typ des Angriffs nur bedingten Schutz.
Angriffe via USB-Schnittstelle
Einzelne Schutzmaßnahmen wirken gegen aktuelle Angriffe nur in gewissem Umfang oder schränken die Benutzerfreundlichkeit des Endanwenders ein. Es erfordert ein ausgearbeitetes Sicherheitskonzept, um die Risiken kontrollieren zu können. Im Folgenden werden zwei aktuelle Angriffsszenarien im Detail beschrieben sowie mögliche Schutzmaßnahmen vorgestellt.
Angriffe über USB starteten einst in ähnlicher Form wie über CD-/DVD-Medien, bei denen die Angreifer die Autostart-Eigenschaften des Datenträgers änderten. Durch das Anpassen der Datei Autorun.inf konnte man unter Windows eine eigene, auf dem Datenträger gespeicherte ausführbare Datei starten. Sie enthielt entweder direkt den Schadcode oder lud ihn aus dem Internet. Im August 2009 deaktivierte Microsoft den Autostart mit dem Windows-Update KB971029 und verhinderte somit Angriffe dieser Art. Manche Angriffe wurden auch durch Antivirensysteme erkannt und ließen sich über das Deaktivieren des Autostarts verhindern. Neuere Angriffstechniken versuchen, andere native Systemfunktionen zu nutzen, um ihre Spuren zu verstecken.
Da es sich bei USB um ein Bussystem handelt (Universal Serial Bus), ist es theoretisch möglich, bis zu 127 Systeme über einen Port zu betreiben. Alle USB-Geräte lassen sich über einen einzigen USB-Port des Hostsystems ansprechen, solange dieser eine ausreichende Stromversorgung sicherstellt. Somit ist es auch möglich, kleinere USB-Geräte in anderen Geräten, zum Beispiel Tastaturen oder Computermäusen, zu verstecken. Rein äußerlich kann man solch ein präpariertes Gerät nicht als Angreifersystem erkennen. Bei der Benutzung der manipulierten Tastatur werden alle integrierten Komponenten mit am System angemeldet und installiert.
Mit „Poisontap“ in das System eindringen
Host-Systeme erkennen beim Einstecken eines USB-Gerätes anhand der Device-ID, um welche Art von Gerät es sich handelt, und aktivieren anschließend die entsprechenden Treiber. Das Ändern dieser ID ermöglicht es Angreifern unter anderem, verschiedene USB-Geräte zu simulieren. Abhängig von der Art des USB-Gerätes geschieht der automatische Installationsprozess selbst dann, wenn der Computer gesperrt ist. Der von Sicherheitsforscher Samy Kamakar als „Poisontap“ bezeichnete Angriff nutzt dieses Verhalten aus.