Security Research Labs GmbH: USB ist ein Sicherheitsrisiko / IT-Konferenz Black Hat, Las Vegas

Die Techniker von Security Research empfehlen deshalb, nicht blind davon auszugehen, wonach beispielsweise Computer-Mäuse, Tastaturen, USB-Sticks oder externe Festplatten sicher seien:

Die Black Hat Konferenz findet weltweit in diversen Regionen, auch in Europa, jährlich statt.

USB-Sticks können ein Sicherheitsrisiko darstellen. Zu diesem Thema will die Berliner Security Research Labs GmbH auf einer IT-Konferenz in den USA nun sprechen. Ihr Vortrag läuft unter dem Motto: "BadUSB — On accessories that turn evil" (at Black Hat, Las Vegas, Aug 6-7 2014). Als Grund wird angegeben, USB hätte einen grundlegenden Fehler in der Konstruktion der USB-Spezifikation.

Konkret sagten die beiden Mitarbeiter Karsten Nohl und Jakob Lell von der Security Research Labs zu der Black Hat USA 2014 in Las Vegas, wonach es mehre Sicherheitsprobleme gebe. Als Beispiele nennen sie auch auf ihrer Homepage:

USB-Peripheriegeräte könnten sich gegen ihre Nutzer wenden. Fingerabdrücke seien nicht fit für ein sicheres Geräte-Entsperren, SIM-Karten seien anfällig für remote hacking, Mobilfunknetze würden sehr unterschiedliche Sicherheit bieten.
Unsicher seien selbst Zahlterminals, da es dort möglich sei, dass ein "remote Capture der PIN" - also ein heimlicher Mitschnitt der Pin-Nummer - erfolge, was zur Folge haben könne, dass die eigene Kreditkarte oder EC-Karte geklont werde.

Weitere Sicherheitsprobleme könnten sein: Die GSM-Handy-Telefonaten würden teils veraltete Verschlüsselungen bieten, was zur Folge habe, dass diese geknackt werden könnten. Zudem: EGIC Prime-RFID-Karten basierten auf Verschleierungen, was zur Folge habe, dass diese einer Prüfung nicht standhalten würden.

Unterm Strich lässt sich also sagen, wonach der Kern des Problems sei, dass USB Hersteller nicht ihre Geräte ausreichend schützen würden. So sei es möglich, dass Malware beispielsweise über USB-Ports auf die Computer geschleust werden könnten, ohne dass man dieses kontrollieren könne. Vor allem die Alltagsgeräte seien dabei ein hohes potentielles Einfallstor. Das ist einer der Gründe, weshalb zum Beispiel viele Firmen die USB-Ports an den Computern zumindest für die Masse an Mitarbeitern teils mittlerweile sperren lässt.

Nohl und Lell umreißen mindestens drei Möglichkeiten, was "schlechte" USB-Geräte in böser Absicht mit sich bringen könnten:
So könne ein Gerät eine Tastatur oder einen Ausgabe-Befehle ihrer eigenen Befehle emulieren, um Malware zu installieren oder Dateien zu stehlen. Eine weitere Option sei, dass ein Gerät so tun könne, als sei es eine Netzwerkkarte. So könne unbemerkt das DNS-System des Computers ("Domain Name System") geändert werden. Dabei sei es beispielsweise möglich, dass der Nutzer eine URL eingebe auf der Tastatur, um auf eine Website zu gehen, wobei er aber heimlich auf eine andere Webseite umgeleitet werde. Dort könnten dann heimlich Daten ausspioniert und geklaut werden.

Seit Jahren bekannt ist, dass ein USB-Stick oder eine externe Festplatte einen Computer an ein Boot-Netzwerk heimlich anschließen kann und zwar bevor Antivirus-Tools eine Chance haben einzugreifen. Besonders warnen Nohl und Lell davor, dass all diese Schädlings-Einfälle auf den Computern und sonstigen IT-Geräten kaum zu bemerken seien und deshalb auch kaum nachweisbar seien.

Problematisch seien aber auch beispielsweise die ständigen Updates, wo kaum mehr jemand den Überblick behalten könne, was nun legal sei und was eine illegale Infizierung mit Malware sei. Die Authentizität der Firmware eines Geräts sei beispielsweise auch bei einem Flash-Upgrade schwierig. Diese führe wiederum dazu, dass Updates an der Firmware-Ebene möglicherweise ebenfalls ein Einfallstor für Malware sei, ohne dass Malware- oder Antivirus-Tests dies nachweisen könnten.

Derzeit sind sich Experten einig, wonach es schwierig ist, sich gegen solch kriminellen Versuche der Spionage zu wehren. Sicher ist sich die Szene: Sowohl ausländische Hersteller, als auch die amerikanische staatliche Stasi- und Hackerbehörde NSA, könnten relativ einfach einen Schadcode in USB-Firmware injizieren.

Deshalb, das empfiehlt auch netz-trends.de, ist die beste Sicherheit das eigene Verhalten: So sollte man nicht ohne weiteres einem USB-Gerät vertrauen (das man beispielsweise auf einer Messe von einer Firma geschenkt bekommt). Ein Risiko ist natürlich immer auch das Andocken an öffentliche Computer und die dortige Verbindung des vorhandenen Computers mit einem USB-Stick. Webseite: Security Research Labs GmbH