© HLPhoto, fotolia

Analyse
08/01/2014

Cert.at: "Ein USB-Anschluss birgt immer Gefahr"

Dass USB-Geräte einem PC vorspielen, ein anderes Gerät zu sein und so Zugriff auf kritische Anwendungen bekommen, ist nur ein Angriffsszenario, warnt Otmar Lendl von Cert.at.

von Martin Stepanek

Die angeblich neue USB-Angriffsmethode, mit der Geräte durch Manipulation des Controllerchips gekapert werden können, sorgt zwar in einigen deutschen Medien für Aufregung. Sicherheitsexperten weisen aber darauf hin, dass derartige Methoden in Fachkreisen längst diskutiert werden. Dass etwa ein manipulierter USB-Stick sich am Computer als ein gänzlich anderes Gerät ausgibt und so etwa Zugriff auf Keyboardfunktionen erlangt, war etwa auf dem Chaos Computer Congress Ende 2012 bereits Thema.

"Man kann wenig machen"

"Unabhängig davon, wie neu das Ganze jetzt wirklich ist, birgt ein USB-Anschluss immer Gefahren", sagt Sicherheitsexperte Otmar Lendl von Cert.at zur futurezone. Wenn ein USB-Gerät wie ein Speicherstick vorgebe, etwas anderes zu sein, könne man tatsächlich nicht viel machen. "Man muss sich nur vorstellen, dass der Stick suggeriert er ist ein Keyboard und jede beliebige Eingabe vornehmen kann. In Kombination mit einer Internetverbindung kann so jede beliebige Webseite aufgerufen und Befehle, wie etwa das Herunterladen und die Installation von Schadprogrammmen durchgeführt werden", sagt Lendl.

Antiviren-Software, aber auch interne Sicherheitsmaßnahmen seien diesbezüglich machtlos, da das Drücken von Tasten im Normalfall von diesen nicht als potenzielle Bedrohung wahrgenommen werde. Auch wenn aktuelle Antivirensoftware im zitierten Fall kaum Schutz bietet, kann sie allerdings zusätzlichen Schaden verhindern, ebenso wie die Verwendung eines aktuellen Betriebssystems. „Bei Windows XP werden Inhalte von USB-Sticks automatisch gestartet, was ein zusätzliches Risiko darstellt. Hier kann man nur jedem raten, auf ein neueres Windows umzusteigen“, so Lendl.

Täuschen und tarnen

Ein besonders gefinkeltes Vorgehen sei, wenn der USB-Stick sich eine bekannte Firmware-Schwäche eines Geräts zunutze mache und über eine derartige Lücke Schaden im Computersystem anrichte. "Wenn ich als Angreifer weiß, dass die Firmware eines bestimmten DVBT-Empfängers anfällig ist, kann ich den USB-Stick so programmieren, dass er sich als diese DVBT-Hardware ausgibt. Windows lädt dann bekannterweise den Treiber auf dem Computer nach und in Kombination mit Malware hat der Angreifer leichtes Spiel", erklärt Lendl.

Um sich vor unliebsamen Überraschungen zu schützen, müsse man schlichtweg aufpassen, was man an den USB-Ports des eigenen Computers anschließe. "Firmen, die Sicherheit ernst nehmen, beschränken oder sperren deswegen ihre USB-Ports so gut es geht bzw. schalten diese nur für firmenintern geprüfte Geräte frei. In manchen Fällen könne man auch zu drastischeren Mitteln greifen und den USB-Anschluss am Computer einfach verkleben, so Lendl. Auf keinen Fall sollten Mitarbeiter jedenfalls gratis verteilte oder auch gefundene USB-Sticks an ihre Firmenrechner anstecken.

Für Privatuser gilt, dass sie besonders vorsichtig sein sollen, wenn ein fremdes USB-Gerät am eigenen Computer angeschlossen wird. Verdächtige Fenster, die ohne Zutuns des Nutzers auf dem Bildschirm auftauchen, können darauf hinweisen, dass Schadsoftware im Hintergrund aktiv ist. Meist tarnen sich Angreifer allerdings, indem sie solche Aktionen zeitversetzt vom tatsächlichen Anstecken des Sticks durchführen. Glaubt man Ziel eines Angriffs zu sein, kann man als erste Maßnahme den Internetzugang trennen. Theoretisch kann die USB-Schnittstelle auch auf Privat-PCs gesperrt werden, dies ist allerdings ein kompliziertes Unterfangen.

USB-Ladeports gefährlich

Neben dem skizzierten Angriffsszenario sei aber auch bei öffentlich bereit gestellten USB-Ladestationen Vorsicht geboten, weist Lendl auf ein weiteres heiß diskutiertes Thema unter Sicherheitsexperten hin. "Sind solche USB-Ports manipuliert, können damit nicht nur Strom, sondern auch sämtliche andere Inhalte übertragen werden", erklärt Lendl. Gerade Geschäftsreisende, die mit sensiblen Firmendaten unterwegs seien, sollten in Hotels lieber auf solche Ladestationen verzichten und auf eigene Ladegeräte zurückgreifen, rät Lendl im Gespräch mit der futurezone.