Von USB-Sticks geht seit je her eine Gefahr aus. Bisher konnte man sich mit einem einfachen Virencheck schützen. Jetzt haben Berliner Forscher eine Technik entwickelt, gegen die man offenbar nichts tun kann.
Eigentlich hatte man mit der USB-Schnittstelle alles bestens im Griff. Smartphones, Kameras, Sticks oder Tastaturen kommunizieren auf einfache Weise mit dem Computer, werden meist schnell erkannt, ohne zusätzliche Treiber. Dank USB 3.0 lassen sich Daten schnell transferieren. Damit sich keine bösartigen Schadprogramme über den Rechner her machen, scannt man etwa USB-Sticks mit einen aktuellen Anti-Viren-Programm. Alles prima soweit.
Nun lässt die Berliner Sicherheitsfirma Security Research Labs (SRLabs) unter den Computernutzern Unruhe aufkommen. „Zeit Online“ befürchtet, dass „jedes USB-Gerät zur Waffe“ werden könne und „Wired“ erklärt, „warum es mit USB grundsätzliche Sicherheitsprobleme“ gibt. Der Auslöser ist die Malware „BadUSB“, die die Sicherheitsforscher Karsten Nohl, Jakob Lell und Sascha Krißler geschrieben haben. Ist sie etwa auf einem USB-Stick installiert, der in einen Computer gesteckt wird, kann sie auf diesem unerkannt Befehle ausführen. Das wäre zunächst nichts Neues, denn auf diese Weise legte vermutlich der Computerwurm Stuxnet große Teile iranischer Urananreicherungsanlagen lahm. Gegen solche Angriffe hilft in der Regel ein aktuelles Anti-Viren-Programm, das die meisten Nutzer auf dem Computer installiert haben – oder zumindest installiert haben sollten. Das Programm würde beim Lesen des externen Speichers die Schadware finden und melden.
Formatieren hilft nicht viel
Und genau diese Schutzmaßnahme greife bei BadUSB nicht, sagte Karsten Nohl FAZ.NET. Der Chef der Berliner Sicherheitsfirma weitet das Szenario noch aus. Selbst wenn man alle Dateien auf dem USB-Stick löschen oder ihn gar formatieren würde, bliebe er verseucht. Und noch eine Stufe weiter: Ist der Computer mit dieser Technik infiziert worden, kann man ihn durch Formatieren der Festplatte und Neuinstallation des Betriebssystems nicht bereinigen. Wie kann das geschehen?
Der Schlüssel für diese neue Technik ist der Controller-Chip auf USB-Geräten, der für die Kommunikation mit dem Computer zuständig ist und die Firmware ausführt. Das ist eigentliche eine feine Sache, weil dadurch Nutzer sehr einfach per Plug&-Play ihre USB-Geräte verwenden können. Nohl und seine Kollegen haben nun aber die Firmware selbst angefasst und manipuliert. Da nahezu jedes USB-Gerät eine Firmware ausführt, sind nicht nur Sticks, sondern auch Smartphones, Kameras und einige andere Geräte manipulierbar. Selbst wenn jemand auf die Idee käme, diese Geräte nach einer verdächtigen Firmware zu untersuchen, würde er BadUSB nicht finden, weil sie sich hinter der Original-Firmware verstecke, so Nohl.
Die Tastatur schreibt, was sie will
Ein auf den ersten Blick gruseliges Szenario ist ein USB-Stick, der dem Rechner vorgaukelt, eine Tastatur zu sein. Der Angreifer kann in diesem Fall in Sekundenbruchteilen Menüs öffnen, Befehle schreiben oder Dateien öffnen. Allerdings würde dies ein aufmerksamer Nutzer bemerken, weil sich für kurze Zeit ein Fenster öffnen würde und die Aktivitäten irgendwo zu sehen wären. Es gibt aber andere Beispiele, die subtiler sind. Eine Kamera könnte eine Netzwerkkarte emulieren. Diese kann einen DNS-Server bestimmen und somit den Internetverkehr umleiten. Interessant für Geheimdienste dürfte sein, dass man auch Meta-Daten mitlesen könnte.
Es gibt nur wenige Sicherheitsmaßnahmen – sie erfordern allerdings einen tiefen Eingriff ins System. Man könnte etwa dem Computer vorschreiben, dass er nur eine Netzwerkkarte verwenden darf oder sich beim schreibenden Zugriff eines Sticks meldet. Letztlich seien diese Angriffe aber wie eine „Krankheit, die man nur an den Symptomen feststellen kann“, erklärt Sicherheitsexperte Nohl. Wenn solche Sicherheitsmaßnahmen greifen und der Nutzer erkennt, dass mit seinem USB-Gerät etwas nicht stimmt, hat er laut Nohl dennoch ein Problem.
Der Virus kann sich in manchen Fällen im Computer festsetzen, das angeschlossene Gerät braucht er dann nicht mehr. Passieren kann das beim Booten des Rechners. Der Stick wird in der Regel im aktiven Zustand des Rechners eingestöpselt. BadUSB hat es somit wahrscheinlich zunächst mit Windows zu tun. (Linux und MacOS X sind aber auch kein Hindernis.) Startet der Nutzer seinen Computer neu, erkennt die Schadware, dass er es nun mit BIOS zu tun hat. Da auf dieser Ebene schon mit USB-Geräten kommuniziert wird, nutzt BadUSB das aus und zeigt dem Computer zwei USB-Sticks und eine Tastatur an. Ist das geschehen, hat der Virus alle Möglichkeiten, andere andere USB-Gerät oder die Festplatte zu infizieren.
- Die Polizei will vor dem Täter am Tatort sein
- Cyberangriffe: Digitaler Häuserkampf um das smarte Heim
Paranoia sollte sich unter Nutzern nun aber dennoch nicht breit machen. Im Vergleich zu Attacken aus dem Internet muss sich bei BadUSB jemand aktiv am Computer zu schaffen machen, indem er ein manipuliertes Gerät mit ihm verbindet. Denkbar ist zwar auch, dass ein manipulierter Stick per Post verschickt wird. Doch hier gilt nach wie vor, vorsichtig zu sein und zu überprüfen, ob man dem Absender trauen kann. Sind Geräte schon vom Hersteller manipuliert, sodass sie schon den Virus enthalten, bevor man sie aus der Verpackung nimmt, wird es allerdings wirklich ernst.