BadUSB-Angriffe verhindern

BadUSB-Angriffe sind mit dem Bash Bunny oder dem Malduino einfach umzusetzen, das macht sie besonders perfide. Einen Schutz sehen die meisten Betriebssysteme von Hause aus nicht vor, doch es gibt verschiedene Tools, die die Angriffe zu unterbinden versuchen.

Die Idee ist dabei meist die gleiche: Wird eine neue USB-Tastatur oder ein neues USB-Gerät angeschlossen, wird es blockiert, bis der Nutzer das Gerät erlaubt. Dabei besteht allerdings die Gefahr, dass sich der Nutzer selbst aussperrt, wenn er seine Tastatur beschädigt oder verbietet.

Nur das Google-Betriebssystem Chrome OS hat bereits einen BadUSB-Schutz integriert, der über die Systemeinstellungen aktiviert werden kann. Für die Schutzfunktion setzt Google auf das bereits seit einigen Jahren in allen gängigen Linux-Distributionen verfügbare Tool USBGuard und unterstützt seit kurzem gemeinsam mit dem Linux-Distributor Red Hat dessen Entwicklung.

Gnome entwickelt USB-Schutz

Auch die Desktop-Umgebung Gnome, die von den Linux-Distributionen Ubuntu und Fedora standardmäßig eingesetzt wird, arbeitet an einem Schutz vor bösartigen USB-Geräten. Dieser soll in der kommenden Gnome-Version 3.38 verfügbar sein, kann aber bereits jetzt getestet werden. Auch die Gnome-Implementierung greift auf die Software USBGuard zurück, die entsprechend installiert sein muss. Das erledigen wir in der aktuellen Ubuntu-Version 20.04 und aktivieren Gnomes USB-Schutz mit folgendem Kommandozeilenbefehl:

  1. gsettings set org.gnome.desktop.privacy usb-protection true

Mit "false" statt "true" lässt sich der Schutz wieder deaktivieren. In Zukunft soll die Option in den Systemeinstellungen zu finden sein.

Den Schutz gibt es in zwei Modi: Im "On Lockscreen"-Modus werden neue USB-Geräte grundsätzlich erlaubt, nur wenn der Rechner gesperrt ist, werden sie blockiert. Das gilt jedoch nicht für Tastaturen, die auch im Sperrbildschirm nicht blockiert werden. Stecken wir Malduino oder Bash Bunny in den gesperrten Rechner und lassen ihn unseren Angriff alle paar Minuten ausführen, hacken wir den Rechner, wenn der Nutzer ihn wieder entsperrt hat. Ist der Rechner nicht gesperrt, können wir ihn ohnehin angreifen.

"On Lockscreen" ist die Standardeinstellung. Alternativ können die Nutzer "Always" aktivieren. Wie der Name nahelegt, werden alle neuen USB-Geräte blockiert, ob der Rechner gesperrt ist oder nicht. Wird eine Tastatur angeschlossen, soll der Rechner automatisch gesperrt werden und der Nutzer muss sich neu anmelden, um das neue Gerät zu autorisieren. Diesen Modus sehen die Gnome-Entwickler derzeit noch als experimentell an; ein Bug verhindert, dass wir ihn unter Ubuntu 20.04 testen können. Allerdings sollen auch in diesem Modus Tastaturen im Sperrbildschirm erlaubt werden, damit sich der Nutzer nicht aussperren kann – entsprechend funktioniert unser Angriff von oben weiterhin. Hier sollte Gnome nachbessern und den Nutzer erlaubte Tastaturen speichern oder mit einem Code autorisieren lassen.

Gnomes USB-Schutz hilft bisher weniger gegen Tastaturen als gegen gefälschte Netzwerkkarten oder USB-Sticks mit Schadcode. Ziel ist es, den Nutzer möglichst wenig mit der Sicherheitsfunktion zu belästigen, aber dennoch einen Basisschutz zu bieten. Ein Problem dabei ist jedoch, dass USBGuard alle bei der Installation angeschlossenen Geräte erlaubt, später hinzugekommene Geräte beim Start des Betriebssystems jedoch verbietet. Ein neuer USB-Stick oder eine neue Tastatur, die bereits beim Bootvorgang eingesteckt war, kann dann auch von Gnome nicht mehr verwendet werden. Der Gnome-Entwickler Tobias Mueller empfiehlt daher, mit einer USBGuard-Option alle bereits beim Start des Rechners eingesteckten USB-Geräte standardmäßig zu erlauben. Dafür muss die Option PresentDevicePolicy von apply-policy auf allow abgeändert werden.

  1. sudo nano /etc/usbguard/usbguard-daemon.conf
  2. [...]
  3. PresentDevicePolicy=allow
  4. [...]

Mit USBGuard die USB-Geräte verwalten

Alternativ zu der Gnome-Implementierung kann auch das Kommandozeilentool USBGuard selbst verwendet werden. Das Tool ist nicht besonders kompliziert zu bedienen, birgt aber die Gefahr, einen Rechner komplett unbenutzbar zu machen, wenn man beim Einrichten nicht aufpasst.

Unter Ubuntu 20.04 ist der USBGuard direkt nach der Installation aktiv und hat bereits alle während der Installation angeschlossenen USB-Geräte erlaubt. Die angeschlossenen Geräte und ihren Status (erlaubt/blockiert) kann sich der Nutzer mit folgendem Befehl anzeigen lassen. Mit der Option -b lassen sich nur die blockierten Geräte anzeigen.

  1. sudo usbguard list-devices

Den angezeigten Gerätesignaturen wird eine Nummer vorangestellt. Über diese können sie identifiziert und erlaubt werden:

  1. sudo usbguard allow-device [nummer]

Mit der Option --permanent oder alternativ -p kann ein Gerät nicht nur für die Session, sondern dauerhaft erlaubt werden.

Mit diesen beiden Basisbefehlen lässt sich die Software schon weitestgehend steuern. Es empfiehlt sich, bereits zu Beginn eine weitere Tastatur zu erlauben, damit der Nutzer nicht auf Gedeih und Verderb seiner Tastatur ausgeliefert ist. Detailliertere Anleitungen zu USBGuard gibt es im Privacy Handbuch und bei Red Hat.

USBGuard – gewöhnungsbedürftig, aber sicher!

Mit USBGuard lassen sich zuverlässig alle BadUSB-Angriffe blockieren, da die Geräte erst einzeln erlaubt werden müssen. So werden nicht nur unsere Testgeräte oder Tastaturen blockiert, sondern auch alle anderen schädlichen Geräte. Denn das Bash Bunny kann sich zum Beispiel auch als Netzwerkkarte ausgeben. Auch ein erlaubter USB-Stick, der per BadUSB zur Tastatur wird, ändert dadurch seine Signatur und wird blockiert.

Einen Hinweis auf die blockierten Geräte bekommen wir jedoch nur nach einer Abfrage per Kommandozeile – im Alltag vergessen wir anfangs immer wieder, dass der Schutz aktiv ist und wundern uns, warum die neu eingesteckten USB-Geräte nicht funktionieren. Das vergeht aber mit der Zeit. Sind die häufig genutzten Geräte permanent erlaubt, muss kaum noch mit der Software interagiert werden.

Einen anderen Ansatz verfolgt ein kürzlich von Google veröffentlichtes Tool, das Tastaturen ab einer bestimmten Tippgeschwindigkeit blockiert. So lassen sich die meisten automatisierten BadUSB-Angriffe blockieren. Da sich jedoch problemlos auch Scripte oder Programme schreiben lassen, die langsam tippen, bietet der Ansatz keinen hundertprozentigen Schutz.

Alle oben vorgestellten Programme haben übrigens eine Gemeinsamkeit: Sie funktionieren nicht unter Windows. Wir haben uns deswegen zudem kostenlose und teure BadUSB-Schutzprogramme unter Windows angesehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 BadUSB-Angriffe auf Windows, Linux und MacOSBadbUSB-Schutz für Windows von G Data und Kaspersky 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  
Verwandte Artikel
artikel-bild
Hacker-Tamagotchi
Paypal sperrt Konto von Flipper Zero
artikel-bild
Hackertool
Brasilien beschlagnahmt Flipper Zero
artikel-bild
Hyundai
Update soll Kia-Challenge-Diebstähle verhindern
Meistgelesen
artikel-bild
Sci-Fi der 60er und 70er
Die großen fünf Visionäre
artikel-bild
Forschung
Erstes Röntgenbild von einem einzelnen Atom
artikel-bild
Arturia Microfreak 5.0
Mehr Synthesizer fürs Geld geht kaum
Kommentarübersicht
Re: Nicht ganz praxisnah der Artikel, wenn man...
BlindSeer 08. Mai 2020

Wenn unser IT Manager mit der Idee käme wäre meine Frage "Wir sollen nicht mehr...

wie identifizieren sich denn erlaubte Geräte?
Berlinlowa 07. Mai 2020

soweit ich das verstehe, berechnen die verschiedenen Lösungen alle auf Basis...

Re: Warum so viel Geld ausgeben?
Berlinlowa 07. Mai 2020

Das siehst Du genau richtig. Mit etwas KnowHow kann man das für wenige Cent nachbauen...

Re: Tastatur durch Eingabe von Code authentifizieren?
robinx999 07. Mai 2020

die nächste Stufe ist dann ein Gerät das sich als USB Hub mit Tastatur und USB...

Aktuell auf der Startseite von Golem.de
Arturia Microfreak 5.0
Mehr Synthesizer fürs Geld geht kaum

Eines der besten Hardware-Musikinstrumente wird dank Firmware-Update noch besser. Das sind die größten Neuerungen beim Arturia Microfreak.
Ein Hands-on von Daniel Ziegener

Arturia Microfreak 5.0: Mehr Synthesizer fürs Geld geht kaum
Artikel
  1. Microsoft Azure Cognitive Services: Kognitive Dienste in der Cloud ohne KI-Kenntnisse nutzen
    Microsoft Azure Cognitive Services
    Kognitive Dienste in der Cloud ohne KI-Kenntnisse nutzen

    Für maschinelles Sehen, Hören, Sprechen und Verstehen gibt es viele Einsatzmöglichkeiten. Wir erklären die Dienste von Microsoft und schauen dabei auch auf die Datensicherheit.
    Ein Deep Dive von Michael Bröde

  2. VW ID.Buzz XL: Längerer Elektrobus mit mehr PS und Reichweite
    VW ID.Buzz XL
    Längerer Elektrobus mit mehr PS und Reichweite

    Der ID.Buzz von VW kommt in einer XL-Version auf den Markt. Viele Neuerungen werden vom ID.7 übernommen.

  3. Forschung: Erstes Röntgenbild von einem einzelnen Atom
    Forschung
    Erstes Röntgenbild von einem einzelnen Atom

    Bisher war die Röntgenemission eines einzelnen Atoms zu schwach, um es auf einer Röntgenaufnahme abzulichten. Mit einer neuen Technik geht das jetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Corsair Vengeance LPX DDR4-3600 16 GB 39,90€ und RGB PRO 49,90€ • Roccat Magma 33€ • MindStar: be quiet! Pure Base 500 FX 99,90€, ADATA LEGEND 710 2 TB 79€ • Alan Wake Remastered PS4 12,99€ • KFA2 RTX 3060 Ti 329,99€ • Kingston Fury SSD 2 TB (PS5) 129,91€ • Sony Deals Week [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /