Abo
  • Services:

Behörden wie die NSA nutzen die Technik womöglich längst

Wer möchte, kann den dort veröffentlichten Code nutzen, um bestimmte USB-Geräte zu manipulieren oder um den BadUSB-Angriff weiter zu verfeinern. Caudill und Wilson wollten den Druck auf die Industrie erhöhen, damit die Abwehrmaßnahmen entwickele, sagten sie im Gespräch mit Wired. Die Angriffsmethode sei wahrscheinlich schon lange von hochgerüsteten Behörden wie der NSA entdeckt und eingesetzt worden, argumentieren sie. Die Industrie habe aber erst dann einen Grund zu handeln, wenn jeder sie einsetzen kann. Dass Nohl von Anfang an gewarnt hatte, dass es keine schnelle Lösung für so ein strukturelles Problem geben könne, ignorieren sie.

Stellenmarkt
  1. Drachen-Propangas GmbH, Frankfurt am Main
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach

Noch mal zusammengefasst: Die Anleitung für einen kaum zu entdeckenden und schwer zu verhindernden Angriff auf fremde Computer ist jetzt öffentlich. Es dürfte nur noch eine Frage der Zeit sein, bis das jemand ausnutzt.

Nohl rechnet mit dem ersten BadUSB-Wurm noch in diesem Jahr

Bisher funktioniert der Code von Caudill und Wilson nur auf bestimmten Controller-Chips, und ihre Malware verbreitet sich auch nicht vom erstinfizierten USB-Gerät über einen angeschlossenen Rechner auf jedes weitere USB-Gerät. Die beiden arbeiten auch daran, sind sich aber laut Wired noch nicht einig, ob sie auch diese Version dann veröffentlichen werden.

Früher oder später wird es die Selbstverbreitungsfunktion in jedem Fall geben. "Noch innerhalb des Kalenderjahres ist es gut vorstellbar, dass es einen ersten BadUSB-Wurm gibt", sagt Karsten Nohl im Gespräch mit ZEIT ONLINE. Damit wäre BadUSB unkontrollierbar in freier Wildbahn unterwegs. "Und dann wird es keine Lösung geben", sagt Nohl. Das wäre der Zeitpunkt, an dem die Kacke den Ventilator erreicht.

Die Version der US-Forscher hält Nohl für vergleichsweise simpel, eben weil sie nur auf einem bestimmten Chip-Modell funktioniert und weil sie aus einem USB-Stick eine reine virtuelle Tastatur mache, während ein von Jakob Lell präparierter Stick weiterhin auch als Speichermedium funktioniert und damit unauffälliger ist. "Aber wenn die noch ein paar Wochen weiterarbeiten, haben sie alles, was wir auch haben", sagt Nohl.

Zwar existieren allgemeine und spezielle Abwehrmaßnahmen gegen BadUSB, angefangen bei strengen Vorgaben zum Einsatz von USB-Geräten in Unternehmen und Behörden. Das deutsche IT-Sicherheitsunternehmen G Data hat mit dem USB Keyboard Guard auch schon eine erste Software gegen BadUSB entwickelt. Erkennt sie eine neue Tastatur am Rechner, sperrt sie diese zunächst und bittet den Nutzer um die Bestätigung, dass es sich wirklich um eine Tastatur handelt. Ist es ein USB-Stick, der sich dem System gegenüber als Tastatur ausgibt, um heimlich Kommandos zu tippen, fällt das auf. Aber die versteckte Tastatur ist nur eine von vielen denkbaren Angriffswegen, gegen andere hilft die Software von G Data nicht.

Am strukturellen Problem ändern solche Maßnahmen ohnehin nichts: Eigentlich müssten die Hersteller der Controller Chips dafür sorgen, dass sich deren Firmware nicht mehr so leicht überschreiben lässt. Sie könnten dafür sorgen, indem sie Firmware-Updates an ihre eigene, kryptographische Signatur knüpfen. Solche Chips gibt es schon, auch vom Marktführer Phison aus Taiwan. Nur kaufen die Hersteller von USB-Geräten sie bislang nicht, weil sie mehr kosten als normale Chips. Aber selbst wenn hier ein Umdenken stattfinden würde, blieben alle bisher verkauften USB-Geräte ein Sicherheitsrisiko. Anders gesagt: Es ist schwierig, die Kacke wieder einzufangen, wenn sie erst einmal fliegt.

 Computersicherheit: Anleitung für perfide Angriffe über USB ist öffentlich
  1.  
  2. 1
  3. 2


Anzeige
Blu-ray-Angebote
  1. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)
  2. (u. a. Deadpool, Alien Covenant, Assassins Creed)
  3. (u. a. The Hateful 8 Blu-ray, Hacksaw Ridge Blu-ray, Unlocked Blu-ray, Ziemlich beste Freunde Blu...
  4. 4,99€

a user 14. Okt 2014

wieso denn? 1. gibt es bei keinem anderen hersteller so konsitente auflösungen wie bei...

a user 14. Okt 2014

ALLES. er kann dein "ls" durch ein nifiziertes program mit gesetztem superuserbit...

Sarkastius 14. Okt 2014

versteh ich das richtig, einfach nur usb bootmode deaktivieren?

GodsBoss 12. Okt 2014

Wieso beschränkst du dich auf USB-Sticks, die auf der Straße gefunden wurden? Laut...

jurtsche 11. Okt 2014

hmmm... jetzt weiß ich endlich warum man bei so manchen z.B. 4 GB Sticks statt den 4.294...


Folgen Sie uns
       


HP Z2 Mini Workstation - Test

Die Z2 Mini Workstation G3 kann uns im Test überzeugen - und das nicht als sehr schnelle Maschine, sondern als gut durchdachtes Gesamtkonzept.

HP Z2 Mini Workstation - Test Video aufrufen
Razer Nommo Chroma im Test: Blinkt viel, klingt weniger
Razer Nommo Chroma im Test
Blinkt viel, klingt weniger

Wenn die Razer Nommo Chroma eines sind, dann auffällig. Dafür sorgen die ungewöhnliche Form und die LED-Ringe, die sich beliebig konfigurieren lassen. Die Lautsprecher sind aber eher ein Hingucker als ein Hinhörer.
Ein Test von Oliver Nickel

  1. Razer Kiyo und Seiren X im Test Nicht professionell, aber schnell im Einsatz
  2. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  3. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

    •  /