USB-Viren: USB-Geräte können unerkannt Rechner manipulieren – und wie man sich dagegen schützen kann

Die schöne USB-Welt ist dahin. Jahrelang hat man sich daran gewöhnt, dass man USB-Geräte wie Kameras, Tastaturen, Festplatten und Sticks nur an den Rechner stöpseln und sofort damit arbeiten kann. Der Virenscanner kümmert sich ja darum, dass sich keine Schadsoftware einnistet. Die Zeiten sind vorbei. Forscher haben herausgefunden, dass sich USB-Sticks und andere USB-Geräte so manipulieren lassen, dass das bloße Anstöpseln bereits den Rechner infiziert. Aktuelle Virenscanner und Schutzprogramme haben gegen die USB-Angriffe keine Chance.

Schwachstelle USB-Firmware

Virenscanner gehen so vor: Wird ein neuer USB-Stick angeschlossen, untersuchen sie den Speicher des Sticks. Die neue Angriffsmethode basiert allerdings nicht auf der Manipulation des USB-Speichers, sondern geht eine Etage tiefer. Die Berliner Sicherheitsforscher Karsten Nohl, Jakob Lell und Sascha Krißler von der Berliner Security Research Labs GmbH manipulierten mit ihrer Malware „BadUSB“ nicht den Arbeitsspeicher des USB-Sticks, sondern die Firmware auf dem Prozessor. Jedes USB-Gerät ist im Grunde ein kleiner Computer mit Prozessor und Arbeitsspeicher. Und dieser Prozessor bzw. Controller-Chip auf dem USB-Stick bzw. dessen Firmware lässt sich so manipulieren, dass er von Antiviren- und Schutzprogrammen nicht erkannt wird, da diese nur Zugriff auf den Speicher, nicht aber den USB-Controller-Chip haben.

usb-controller-chip-manipuliert

Das Perfide: Der manipulierte USB-Stick gaukelt dem Rechner vor, eine Tastatur zu sein. Angreifer können darüber dann den Rechner fernsteuern und Menüs öffnen, Befehle ausführen, Dateien öffnen, Kennwörter ausspähen und vieles mehr. Betroffen sind nicht nicht Windows-Rechner, sondern auch Macs und Linux.

Die Gefahr geht nicht nur von USB-Sticks aus. Generell könnte jedes USB-Gerät betroffen sein, da auch Kameras, Smartphones usw. über einen USB-Controller verfügen. So könnte eine manipulierte angeschlossene USB-Kamera eine Netzwerkkarte simulieren und Daten abzapfen oder ein USB-Lautsprecher eine Webcam vortäuschen und heimlich Ton- und Bildaufnahmen machen. Und das alles, ohne dass Antiviren- und Schutzprogramme auch nur den Hauch einer Chance hätten, da sie die manipulierten USB-Controller nicht aufspüren können.

Gegenmaßnahmen per Software

Was kann man gegen BadUSB und andere Angriffe per manipuliertem USB-Controller-Chip machen? Es existieren nur wenige Sicherheitsmaßnahmen, die zudem einen tiefen Eingriff ins System erfordern. So könnte man dem Rechner vorschreiben, immer nur eine Tastatur, nur eine Netzwerkkarte, nur eine Webcam usw. zuzulassen. Allerdings bekämpft man damit nur die Symptome der Angreifer, nicht die Angriffe selbst.

Eine gute Nachricht gibt es zumindest: Damit Angreifer erfolgreich sind, müssen sie direkten Zugang zum Rechner haben und ein manipuliertes USB-Gerät anschließen. Bei Privatrechnern ist das meist kein Problem; hier weiß man wer mit den Rechnern arbeitet. Auf Firmen-PCs oder in Restaurants und Internetcafes sieht das anders aus. Um sich hier gegen manipulierte USB-Geräte zu schützten, gibt es eigentlich nur eines: der Verzicht auf USB.

Dazu könnte man den Zugriff auf USB-Geräte verhindern, indem softwareseitig die USB-Schnittstellen einfach abgeschaltet werden. Wie so etwas funktioniert, haben wir in den Tipps Windows USB-Ports sperren oder Fremde USB-Sticks am eigenen Computer nicht zulassen beschrieben. Allerdings beziehen sich dieses Schutzmaßnahmen nur auf auf USB-Sticks und -Festplatten.

Eine andere Möglichkeit: Im Geräte-Manager die USB-Schnittstellen deaktivieren. Allerdings stellt sich dann die Frage, wie man Tastatur und Maus anschließt. Schließlich gibt es fast nur noch USB-Tastaturen und -Mäuse und kaum noch Rechner mit dem alten PS/2-Anschlüssen.

Gegenmaßnahmen auf die harte Tour: Heißkleber

Um ganz auf Nummer sicher zu gehen, greifen einige Firmen zu drastischen Methoden, die aber Wirkung zeigen. Damit Mitarbeiter nicht einfach USB-Geräte mitbringen und an Firmen-Rechner anschließen, werden die USB-Ports einfach mit einer Heißklebepistole und einer Portion Heißkleber zugeklebt. Das ist problemlos möglich, da die Klebemasse nicht leitet (und somit keinen Kurzschluss verursachen kann) und erfolgreich verhindert, dass ein USB-Stecker in den USB-Port passt. Wer zu solchen Mitteln greift, sollte sich aber im Klaren sein, dass man damit seine USB-Ports unwiederbringlich zerstört. Zudem bleibt noch immer ein Schlupfloch, da Maus und Tastatur ja weiterhin per USB angeschlossen bleiben – Angreifer könnten einfach die Maus abstöpseln und an den dann freien USB-Port den verseuchten Stick anstöpseln. Keine guten Aussichten und viel Arbeit für die Sicherheitsexperten.

Die mobile Version verlassen