Der BadUSB-Exploit ist tödlich, aber nur wenige können getroffen werden

Vor neun Jahren habe ich den meiner Meinung nach ersten USB-Wurm der Welt entwickelt. Durch Herumspielen mit einem USB-Stick und Platzieren einer versteckten Datei konnte ich jeden Computer, an den das „infizierte“ USB-Laufwerk angeschlossen war, dazu bringen, die Datei automatisch auf dem Host-Computer zu verbreiten und bei einem neuen USB-Stick wieder zurück Gerät wurde angeschlossen.

Es funktionierte in Digitalkameras und Mobiltelefonen. Ich konnte jedes USB-Gerät - tatsächlich jedes Wechselmediengerät - dazu bringen, meine Wurmdatei auszuführen. Ich hatte eine Menge Spaß damit zu spielen.

Ich habe den Befund meinem Arbeitgeber und den beteiligten Anbietern gemeldet. Sie baten ihrerseits für eine beträchtliche Zeitspanne um mein Schweigen, damit sie das Loch schließen konnten. Ich hatte geplant, meine Ergebnisse auf einer großen nationalen Sicherheitskonferenz vorzustellen, und musste mich zwischen verdientem Hacker-Kredit und öffentlicher Sicherheit entscheiden. Ich ging mit letzterem.

Um ehrlich zu sein, ich wollte diesen Verkäufer nicht verärgern, weil er ein möglicher zukünftiger Kunde oder Arbeitgeber war. Das Loch war geflickt, und die Öffentlichkeit war nicht klüger. Viele Jahre später war ich überrascht, eine sehr ähnliche Methode im Stuxnet-Malware-Programm zu sehen.

Aufgrund meiner Erfahrung habe ich jedoch nie wieder einem angeschlossenen Gerät vertraut. Seitdem habe ich noch nie ein USB-Gerät oder eine Wechselmedienkarte an einen Computer angeschlossen, den ich besitze und der nicht von mir stammt und unter meiner Kontrolle bleibt. Manchmal ist Paranoia angebracht.

BadUSB ist eine ernsthafte Bedrohung in freier Wildbahn

Das bringt mich bis heute. Auf GitHub ist jetzt der Quellcode für BadUSB veröffentlicht (nicht zu verwechseln mit dem falschen Malware-Programm BadBIOS), wodurch mein Experiment vor neun Jahren wie ein Kinderspiel aussieht. BadUSB ist eine echte Bedrohung, die schwerwiegende Folgen für Computerhardware-Eingabegeräte hat.

BadUSB schreibt oder überschreibt den Firmware-Code eines USB-Geräts, um böswillige Aktionen auszuführen. BadUSB wurde erstmals im Juli 2014 angekündigt und von zwei Computerforschern der Security Research Labs in Berlin entdeckt, die ihre Entdeckung dann auf der Black Hat Conference vorführten.

Der Angriff wird befürchtet, da alle herkömmlichen Methoden zur Überprüfung auf Böswilligkeit auf einem USB-Speichergerät nicht funktionieren. Der Schadcode wird in die USB-Firmware eingefügt, die ausgeführt wird, wenn das Gerät an einen Host angeschlossen wird. Der Host kann den Firmware-Code nicht erkennen, aber der Firmware-Code kann mit der Software auf dem Host-Computer interagieren und diese ändern.

Der bösartige Firmware-Code kann andere Malware einpflanzen, Informationen stehlen, den Internetverkehr umleiten und vieles mehr - und dabei Antivirenscans umgehen. Der Angriff wurde als so lebensfähig und gefährlich angesehen, dass die Forscher den Exploit nur vorführten. Mit großer Vorsicht haben sie weder den Proof-of-Concept-Code noch infizierte Geräte veröffentlicht. Zwei andere Forscher haben den Exploit rückentwickelt, Demonstrationscode erstellt und ihn auf GitHub für die Welt freigegeben.

Cue das Drama, das bereits auf Nachrichten- und Consumer-Tech-Sites wie CNN, der Atlanta Journal-Constitution, dem Register und dem PC Magazine erschienen ist, und ruft aus: "Die Welt wird voller bösartiger USB-Geräte sein!"

Warum der BadUSB-Exploit weit über USB hinausgeht

Zunächst ist es wichtig zu erkennen, dass die Bedrohung real ist. Die USB-Firmware kann geändert werden, um das zu tun, was die Wissenschaftler behaupten. Hacker auf der ganzen Welt laden wahrscheinlich den Proof-of-Concept-Code herunter, stellen bösartige USB-Geräte her und verwenden den Proof-of-Concept-Code als Ausgangspunkt für Handlungen, die weitaus bösartiger sind als der Test-Exploit der Forscher.

Zweitens ist das Problem nicht auf USB-Geräte beschränkt. In der Tat sind USB-Geräte die Spitze des Eisbergs. Jedes Hardwaregerät, das mit einer Firmware-Komponente an Ihren Computer angeschlossen ist, kann möglicherweise bösartig werden. Ich spreche von FireWire-Geräten, SCSI-Geräten, Festplatten, DMA-Geräten und mehr.

Damit diese Geräte funktionieren, muss ihre Firmware in den Speicher des Hostgeräts eingefügt werden, wo sie dann ausgeführt wird - damit Malware problemlos mitfahren kann. Möglicherweise gibt es Firmware-Geräte, die nicht ausgenutzt werden können, aber ich kenne keinen Grund, warum nicht.

Firmware ist von Natur aus nichts anderes als auf Silizium gespeicherte Softwareanweisungen. Im Grunde ist es nichts anderes als Softwareprogrammierung. Die Firmware ist erforderlich, damit das Hardwaregerät mit dem Host-Computer kommunizieren kann. Die API-Spezifikation des Geräts teilt den Programmierern des Geräts mit, wie Code geschrieben werden soll, mit dem das Gerät ordnungsgemäß funktioniert. Diese Spezifikationen und Anweisungen werden jedoch niemals aus Sicherheitsgründen zusammengestellt. Nein, sie wurden geschrieben, um Gegenstände zum Reden zu bringen (ähnlich wie im Internet).

Es sind nicht viele Programmieranweisungen erforderlich, um böswillige Aktivitäten zu aktivieren. Sie können die meisten Speichergeräte formatieren oder einen Computer mit einer Handvoll Anweisungen „ziegeln“. Der kleinste jemals geschriebene Computervirus war nur 35 Byte groß. Die Nutzlast im GitHub-Proof-of-Concept-Beispiel beträgt nur 14 KB und enthält viele Fehlerprüfungen und Finesse-Codierungen. Glauben Sie mir, 14K ist in der heutigen Welt der Malware winzig. Es ist einfach, Malware in fast jeden Firmware-Controller einzubetten und auszublenden.

Tatsächlich besteht eine sehr gute Chance, dass Hacker und Nationen diese Firmware-Hintertüren seit langem kennen und verwenden. NSA-Beobachter haben ausführlich über solche Geräte spekuliert, und dieser Verdacht wurde durch kürzlich veröffentlichte NSA-Dokumente bestätigt.

Die beängstigende Wahrheit ist, dass Hacker Firmware-Geräte gehackt und zu nicht autorisierten Aktionen gezwungen haben, solange es Firmware gibt.

BadUSB ist die größte Bedrohung, die Sie von Ihrer Panikliste streichen können

Die Realität ist, dass Sie zumindest lange Zeit nervös sein sollten, wenn ein Firmware-Gerät an Ihren Computer angeschlossen ist - USB oder auf andere Weise. Ich bin seit fast einem Jahrzehnt so.

Ihre einzige Verteidigung besteht darin, dass Sie Firmware-Geräte von vertrauenswürdigen Anbietern anschließen und diese unter Ihrer Kontrolle halten. Aber woher wissen Sie, dass die Geräte, die Sie angeschlossen haben, nicht massenhaft kompromittiert oder zwischen dem Anbieter und Ihren Computern manipuliert wurden? Die Lecks von Edward Snowden deuten darauf hin, dass die NSA Computer während des Transports abgefangen hat, um Abhörgeräte zu installieren. Sicherlich haben andere Spione und Hacker die gleiche Taktik versucht, um Komponenten entlang der Lieferkette zu infizieren.

Trotzdem können Sie sich entspannen.

Schädliche Hardware ist möglich und kann in einigen eingeschränkten Szenarien verwendet werden. Aber es ist unwahrscheinlich, dass es weit verbreitet ist. Hardware-Hacking ist nicht einfach. Es ist ressourcenintensiv. Unterschiedliche Befehlssätze werden für unterschiedliche Chipsätze verwendet. Dann gibt es das lästige Problem, die beabsichtigten Opfer dazu zu bringen, die bösartigen Geräte zu akzeptieren und in ihre Computer einzufügen. Für sehr hochwertige Ziele sind solche Angriffe im "Mission Impossible" -Stil plausibel, für den durchschnittlichen Joe jedoch weniger.

Heutige Hacker (einschließlich der Spionageagenturen in den USA, Großbritannien, Israel, China, Russland, Frankreich, Deutschland usw.) sind mit herkömmlichen Software-Infektionsmethoden weitaus erfolgreicher. Als Hacker können Sie beispielsweise ein hochentwickeltes und supersneaky Blue Pill-Hypervisor-Angriffstool erstellen und verwenden oder ein alltägliches Software-Trojaner-Programm verwenden, das seit Jahrzehnten gut funktioniert, um eine viel größere Anzahl von Menschen zu hacken.

Aber nehmen wir an, dass bösartige Firmware oder USB-Geräte allgemein angezeigt werden? Sie können wetten, dass Anbieter reagieren und das Problem lösen würden. BadUSB hat heute keine Verteidigung, könnte aber in Zukunft leicht verteidigt werden. Schließlich ist es einfach Software (in der Firmware gespeichert), und Software kann sie besiegen. Die USB-Standardgremien würden wahrscheinlich die Spezifikation aktualisieren, um solche Angriffe zu verhindern, Mikrocontroller-Anbieter würden die Wahrscheinlichkeit verringern, dass die Firmware böswillig wird, und Betriebssystemanbieter würden wahrscheinlich noch früher reagieren.

Beispielsweise verhindern einige Betriebssystemanbieter jetzt, dass DMA-Geräte auf den Speicher zugreifen, bevor ein Computer vollständig gestartet wird oder bevor sich ein Benutzer anmeldet, um zu verhindern, dass entdeckte Angriffe von angeschlossenen DMA-Geräten ausgehen. Windows 8.1, OS X (über Open Firmware-Kennwörter) und Linux sind gegen DMA-Angriffe geschützt, obwohl Benutzer normalerweise diese Schutzmaßnahmen aktivieren müssen. Die gleichen Arten von Verteidigungen werden implementiert, wenn BadUSB weit verbreitet wird.

Fürchte dich nicht vor BadUSB, auch wenn ein Hacker-Freund beschließt, dir mit seinem böswillig codierten USB-Stick einen Streich zu spielen. Mögen Sie mich - verwenden Sie keine USB-Geräte, die nicht immer unter Ihrer Kontrolle standen.

Denken Sie daran: Wenn Sie sich Sorgen machen, gehackt zu werden, machen Sie sich weitaus mehr Sorgen darüber, was in Ihrem Browser ausgeführt wird als was von Ihrer Firmware ausgeführt wird.