BadUSB: So groß ist die Gefahr wirklich

So nutzen Sie den USB weiter "sicher"

Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.

Otfried Köllhofer, Produktmanager bei CenterTools Software, sieht speziell die von seiner Firma angebotene Lösung DriveLock Device Control als eine Möglichkeit für Unternehmen, sich vor derartigen Angriffen zu schützen. Auch bei dieser Software können beliebige USB-Geräte sowie Geräteklassen mittels White- und Blacklisting gesperrt werden. Er hebt dabei hervor, dass eine derartige Sperrung weitaus feingranularer vorgenommen werden kann, wenn sich die entsprechenden Geräte genauer identifizieren lassen. Weiterhin ermöglicht es diese Software, das Netzwerk-Bridgeing zu unterbinden, so dass ein Angriff mittels eines "Bad DNS Stick", wie er ebenfalls von den Mitarbeitern von Security Research Labs demonstriert wurde, keinen Erfolg mehr hätte. Bei dieser Attacke "spooft" das manipulierte USB-Gerät den Ethernet Adapter, so dass DNS-Anfragen auf einen ServerServer des Angreifers umgeleitet werden, während der restliche Internet-Verkehr weiter über die normale Netzwerkverbindung geleitet wird. Alles zu Server auf CIO.de

Wie soll das System auf die Verbindung mit externen Datenspeichern reagieren? Viele Sicherheitslösung stellen dazu – wie hier die Software von Eset – einen Regel-Editor bereit
Wie soll das System auf die Verbindung mit externen Datenspeichern reagieren? Viele Sicherheitslösung stellen dazu – wie hier die Software von Eset – einen Regel-Editor bereit
Foto: Eset

Anbieter Lumension hat nach Aussagen von Andreas Müller, Regional Sales Director D/A/CH, in die eigene Lösung "Lumension Device Control" eine automatische Key-Logger-Erkennung integriert, die bereits einen gewissen Grundschutz ermöglicht. Speziell für Angriffe mit solchen Geräten, die dem Betriebssystem ein Eingabegerät wie eine Tastatur vorspiegeln, wurde mit dem Release LDC 4.5 SR3 vom 7.8.2014 eine spezielle Abwehrfunktion für Keyboard Emulatoren wie "Rubber Ducky" implementiert. Hierbei wird der Nutzer dann unter anderem explizit auf das "Anstecken einer zweiten Tastatur" hingewiesen.

Ernsthaftes Problem für die nahe Zukunft

Die Sicherheitsspezialisten der Firma Sophos haben uns ebenfalls ein Statement zu der Gefährdung durch BadUSB zugeschickt: Darin heben sie hervor, dass derartige Angriffe im Moment noch nicht "in the wild" gesichtet wurden, dass sie diese Form der Attacke aber trotzdem als ernsthaftes Problem für die nahe Zukunft betrachten. Außerdem schließen sie sich der Meinung der anderen von uns befragten Anbieter an, dass die augenblicklichen Lösungen zum Blocken von USB-Geräten nur einen unzureichenden bis keinen Schutz vor dieser Art von Angriffen bieten können.

Kontrolle der externen Geräte mittels Software: Wie hier, bei der Lösung von Trend Micro müssen Administratoren sicherstellen, dass diese Kontrollfunktion für alle Geräte eingeschaltet ist.
Kontrolle der externen Geräte mittels Software: Wie hier, bei der Lösung von Trend Micro müssen Administratoren sicherstellen, dass diese Kontrollfunktion für alle Geräte eingeschaltet ist.
Foto: Trend Micro

Die Firma ProSoft bietet mit der Konfigurations- und Managementlösung SafeConsole und der Funktion Device LockOut ebenfalls eine einfache Endpoint-Security-Lösung an, die verhindert, dass nicht autorisierte Geräte benutzt werden können. Die White-beziehungsweise Blacklists basieren dabei auf der Abfrage von PID (Product ID), VID (VendorID), USB-Klasse und/oder Seriennummern. Allerdings gibt Robert Korherr, CEO von ProSoft, in seinem Statement zu bedenken, dass diese Verfahren eben nicht mehr ausreichen, seit es mit BadUSB gelungen ist, die USB-Klasse zu verändern: "Normalerweise wird die USB-Klasse HID (Human Interface Devices) in Data Leakage Prevention (DLP) Software erlaubt. Wahrscheinlich können mit etwas Aufwand auch die Werte PID, VID und die Unique ID verändert werden und dann greifen diese Verfahren eben nicht mehr zu 100 Prozent", weiß er zu berichten.

Als eine Alternative stellt dieser Anbieter seine Lösung SafeToGo in den Mittelpunkt: Dabei handelt es sich um einen 256-Bit AES per Hardware verschlüsselten USB-Stick. Dieser kann nur über digital signierte Firmware-Updates und die entsprechende Firmware-Updater Software aktualisiert werden. Dabei wird laut Hersteller die Überprüfung der Signierung ausschließlich über den manipulationssicheren On-Board-Controller auf dem USB-Stick vorgenommen. Da die Sticks in Schweden entwickelt werden, brauchen Nutzer auch kaum Angst vor NSA-Backdoors haben.

Zur Startseite