Karsten Nohl: USB-Geräte aller Typen lassen sich für BadUSB nutzen

In einem Vortrag auf der Konferenz Pacsec in Tokio hat Karsten Nohl seine andauernde Arbeit an der Sicherheit von USB-Geräten vorgestellt. Bereits im August 2014 stellte er das Prinzip namens BadUSB auf der Black Hat vor, inzwischen haben andere Sicherheitsforscher dazu auch Code veröffentlicht.

Drehte sich bisher die Betrachtung vor allem um USB-Speichersticks, die sich vom Anwender ungewollt wie Tastaturen verhalten, so hat Nohl nun etliche andere Geräte untersucht. Dabei fand er, wie eine Wiki-Seite von Nohl zeigt, bei USB-Produkten aller Typen die Möglichkeit, BadUSB einzusetzen. Das reicht von Webcams über Hubs bis zu SD-Card-Readern, Sata-Adaptern und Mäusen.

• 

Weil die Firmware für das OS nicht sichtbar ist, ... (Folie: Karten Nohl/Screenshot: Golem.de)

In all diesen Geräten können USB-Controller sitzen, die selbst oder über einen Zusatzchip Flash-Speicher besitzen. Sind die Controller auch noch programmierbar, so ist ein Angriff über BadUSB möglich. Die Geräte können mit einer neuen Firmware im Betrieb ihre USB-Klasse wechseln. Wie in einem Video des Black-Hat-Vortrags zu sehen ist, verhält sich ein USB-Stick zunächst wie erwartet. Nach einigen Sekunden werden aber Tastaturbefehle ausgeführt, weil sich der Stick nun als Tastatur angemeldet hat. Für das Betriebssystem sieht das wie ein normaler Vorgang aus, ganz so, als ob der Stick abgesteckt und eine Tastatur angeschlossen worden wäre.

Damit ist dann jegliche Steuerung oder Infektion mit Malware möglich, weil die USB-Tastatur wie ein Anwender agiert. Nohl führte bereits auf der Black Hat vor, wie sich mit blitzschnell ausgeführten Shell-Befehlen Code aus dem Internet nachladen lässt. Nun hat er auch gezeigt, wie sich ein Linux-Image in einem geschützten Teil eines USB-Sticks verstecken lässt. Ist der Stick beim Booten angeschlossen, kann darüber eine Infektion des PCs geschehen, noch bevor das Betriebssystem oder ein Virenscanner laufen. Ein solcher Scanner, so Nohl, würde das Linux ohnehin nicht vorher erkennen, denn der Stick erscheint leer. Schon beim ersten Angriff über einen Stick, der sich in eine Tastatur verwandelt, hatte der Sicherheitsforscher den Speicher vorher mit Windows formatiert.

Solche Angriffe sind auch mit allen anderen Geräten, nicht nur USB-Sticks, möglich, wenn diese programmierbare Controller und Flash-Speicher enthalten. Selbst die Suche nach vermeintlich unverwundbaren Controllern hilft dabei nicht weiter: Nohl zeigte in seinem Vortrag zwei Modelle eines USB-Hubs, die den gleichen Chip verwendeten. Dieser besitzt keinen eigenen Speicher. In einem der Hubs war aber ein externer Flash-Baustein eingebaut, der vom Controller genutzt werden konnte. Rund die Hälfte aller USB-Controller, so schätzt Nohl, ist verwundbar. Das betrifft auch Geräte, die zunächst völlig unverdächtig erscheinen.