BadUSB: So groß ist die Gefahr wirklich
So nutzen Sie den USB weiter "sicher"
Gibt es Schutz vor dieser Bedrohung?
In dem von Karsten Nohl gezeigten Szenario simulierte ein modifizierter USB-Stick eine USB-Tastatur und sendet Tastaturbefehle an den Rechner, die im Resultat den Download einer bestimmten MalwareMalware bewirken. Wir wollten von den Experten der Sicherheitsfirmen wissen, ob und wie ihre Sicherheitslösungen einen derartigen Angriff erkennen und verhindern könnten. Stefan Ortloff, Virus Analyst bei Kaspersky Lab führte dazu aus, dass beispielsweise die Unternehmenslösung "Kaspersky Security for Business" eine solche Bedrohung erkennen könne, wenn die dann aktive Malware ein bestimmtes Verhalten aufweist oder bereits eine Signatur in der Datenbank des Anbieter besitzt. Alles zu Malware auf CIO.de
Ein Download beziehungsweise die Installation und Weiterverteilung der Malware wäre so verhindert. Damit schützt eine derartige Lösungen aber nur vor den Gefahren, die von der Software ausgehen, die sich auf dem USB-Gerät befinden. Die Sicherheitsexperten von Eset haben in diesen Zusammenhang darauf hingewiesen, dass ein Workaround darin bestehen kann, Firmware-Updates in der Hardware grundsätzlich zu unterbinden, da diese benötigt werden, um schädliche Aktionen auf den Hostsystemen auszuführen. Allerdings schränken sie auch sogleich ein, dass dieses Vorgehen vom Administrator verlangt, dass er regelmäßig überprüft, ob neue Angriffspunkte in der vorhandenen Firmware entdeckt wurden und diese dann manuell auf den aktuellen Stand bringt.
Was können Anwender und Firmen tun?
Die meisten Lösungen für die Endpoint Security sowohl die Lösung von Kaspersky als auch Lösungen der Firmen Trend Micro, CenterTools, Eset und Lumension beinhalten eine Form der "Device Control", die den Zugriff auf unbekannte externe Datenträger blocken kann. Alle von uns näher betrachteten Softwarelösungen arbeiten mit einem "Whitelisting", so dass auch weiterhin die benötigten USB-Geräte wie Tastatur und Mäuse an den Desktops der Nutzer eingesetzt werden können: Dabei können in der Regel dann nur noch Geräte mit einer bestimmten ID eingesetzt werden. Eine Restriktion, die unter Windows prinzipiell auch mittels Bordmitteln mit Hilfe der Gruppenrichtlinien durchzusetzen ist.
Allerdings besteht hier das grundsätzlich Problem, dass USB insgesamt 21 Geräteklassen (einschließlich einer Basisklasse) kennt, so dass zur Identifikation eines externen Geräts, ganz unterschiedliche Identifizierungsmerkmale herangezogen werden können. Dabei kann es sich dann zum Beispiel um einen der folgenden Identifier handeln:
-
der Class ID,
-
der Hersteller- oder Produkt ID sowie
-
der Seriennummer.
Nach Meinung von Stefan Ortloff von Kaspersky ist das Spoofing einer solche ID auch möglich, jedoch sei beim Whitelisting einer konkreten ID ein entsprechender Treffer durch ein solches Spoofing sehr unwahrscheinlich. Allerdings ist - und darüber sind sich die Experten auch einig - es nicht möglich, festzustellen, ob eine USB-ID nun gefälscht oder wirklich "echt" ist.