USB-Geräte sind anscheinend gefährlicher als wir es uns jemals vorgestellt haben. Hier geht es nicht darum Malware, die den AutoPlay-Mechanismus in Windows verwendet - Diesmal handelt es sich um einen grundlegenden Konstruktionsfehler bei USB.
VERBUNDEN: Wie AutoRun-Malware unter Windows zu einem Problem wurde und wie es (meistens) behoben wurde
Jetzt sollten Sie verdächtige USB-Sticks, die Sie herumliegen, wirklich nicht mehr aufheben und verwenden. Selbst wenn Sie sicherstellen würden, dass sie frei von schädlicher Software sind, könnten sie bösartig sein firmware .
Es ist alles in der Firmware
USB steht für "Universal Serial Bus". Es soll sich um ein universelles Port- und Kommunikationsprotokoll handeln, mit dem Sie viele verschiedene Geräte an Ihren Computer anschließen können. Speichergeräte wie Flash-Laufwerke und externe Festplatten, Mäuse, Tastaturen, Gamecontroller, Audio-Headsets, Netzwerkadapter und viele andere Gerätetypen verwenden USB über denselben Porttyp.
Auf diesen USB-Geräten und anderen Komponenten Ihres Computers wird eine Software ausgeführt, die als "Firmware" bezeichnet wird. Wenn Sie ein Gerät an Ihren Computer anschließen, ermöglicht die Firmware auf dem Gerät im Wesentlichen, dass das Gerät tatsächlich funktioniert. Beispielsweise würde eine typische Firmware eines USB-Flash-Laufwerks die Übertragung der Dateien hin und her verwalten. Die Firmware einer USB-Tastatur wandelt physische Tastendrücke auf einer Tastatur in digitale Tastendruckdaten um, die über die USB-Verbindung zum Computer gesendet werden.
Diese Firmware selbst ist keine normale Software, auf die Ihr Computer Zugriff hat. Es ist der Code, mit dem das Gerät selbst ausgeführt wird, und es gibt keine echte Möglichkeit, die Firmware eines USB-Geräts zu überprüfen und zu überprüfen, ob sie sicher ist.
Was bösartige Firmware tun könnte
Der Schlüssel zu diesem Problem ist das Entwurfsziel, dass USB-Geräte viele verschiedene Dinge tun können. Beispielsweise könnte ein USB-Flash-Laufwerk mit schädlicher Firmware als USB-Tastatur fungieren. Wenn Sie es an Ihren Computer anschließen, werden möglicherweise Tastendruckaktionen an den Computer gesendet, als würde jemand, der am Computer sitzt, die Tasten eingeben. Dank Tastaturkürzeln kann eine böswillige Firmware, die als Tastatur fungiert, beispielsweise ein Eingabeaufforderungsfenster öffnen, ein Programm von einem Remote-Server herunterladen, ausführen und einem zustimmen UAC-Eingabeaufforderung .
Schleichender könnte ein USB-Flash-Laufwerk normal funktionieren, aber die Firmware könnte Dateien ändern, wenn sie das Gerät verlassen und sie infizieren. Ein angeschlossenes Gerät kann als USB-Ethernet-Adapter fungieren und den Datenverkehr über schädliche Server weiterleiten. Ein Telefon oder ein USB-Gerät jeglicher Art mit eigener Internetverbindung kann diese Verbindung verwenden, um Informationen von Ihrem Computer weiterzuleiten.
VERBUNDEN: Nicht alle "Viren" sind Viren: 10 Malware-Begriffe erklärt
Ein modifiziertes Speichergerät kann als Startgerät fungieren, wenn es erkennt, dass der Computer startet, und der Computer dann beim Laden von USB startet ein Stück Malware (bekannt als Rootkit) das würde dann das reale Betriebssystem booten, das darunter läuft.
Wichtig ist, dass USB-Geräten mehrere Profile zugeordnet sein können. Ein USB-Flash-Laufwerk kann beim Einstecken ein Flash-Laufwerk, eine Tastatur und ein USB-Ethernet-Netzwerkadapter sein. Es könnte wie ein normales Flash-Laufwerk funktionieren und behält sich das Recht vor, andere Dinge zu tun.
Dies ist nur ein grundlegendes Problem mit USB selbst. Es ermöglicht die Erstellung bösartiger Geräte, die nur einen Gerätetyp, aber auch andere Gerätetypen darstellen können.
Computer können die Firmware eines USB-Geräts infizieren
Das ist bisher ziemlich erschreckend, aber nicht vollständig. Ja, jemand könnte ein modifiziertes Gerät mit einer schädlichen Firmware erstellen, aber Sie werden wahrscheinlich nicht auf diese stoßen. Wie hoch ist die Wahrscheinlichkeit, dass Sie ein speziell hergestelltes bösartiges USB-Gerät erhalten?
Das " BadUSB „Proof-of-Concept-Malware bringt dies auf ein neues, beängstigenderes Niveau. Forscher von SR Labs haben zwei Monate damit verbracht, den grundlegenden USB-Firmware-Code auf vielen Geräten zurückzuentwickeln, und festgestellt, dass er tatsächlich neu programmiert und geändert werden kann. Mit anderen Worten, ein infizierter Computer könnte die Firmware eines angeschlossenen USB-Geräts neu programmieren und dieses USB-Gerät in ein bösartiges Gerät verwandeln. Dieses Gerät könnte dann andere Computer infizieren, mit denen es verbunden war, und das Gerät könnte sich von Computer zu USB-Gerät zu Computer zu USB-Gerät und so weiter ausbreiten.
VERBUNDEN: Was ist "Juice Jacking" und sollte ich öffentliche Telefonladegeräte vermeiden?
Dies war in der Vergangenheit bei USB-Laufwerken der Fall, die Malware enthielten, die von der Windows AutoPlay-Funktion abhing, um Malware automatisch auf Computern auszuführen, mit denen sie verbunden waren. Jetzt können Antiviren-Dienstprogramme diese neue Art von Infektion, die sich von Gerät zu Gerät ausbreiten könnte, nicht erkennen oder blockieren.
Dies könnte möglicherweise mit kombiniert werden "Saft-Jacking" -Angriffe um ein Gerät zu infizieren, während es über USB von einem schädlichen USB-Anschluss aufgeladen wird.
Die gute Nachricht ist, dass dies nur mit möglich ist etwa 50% der USB-Geräte Die schlechte Nachricht ist, dass Sie nicht erkennen können, welche Geräte anfällig sind und welche nicht, ohne sie aufzubrechen und die internen Schaltkreise zu untersuchen. Die Hersteller werden USB-Geräte hoffentlich sicherer entwickeln, um ihre Firmware in Zukunft vor Änderungen zu schützen. In der Zwischenzeit kann jedoch eine große Anzahl von USB-Geräten in freier Wildbahn neu programmiert werden.
Ist das ein echtes Problem?
Bisher hat sich dies als theoretische Sicherheitslücke erwiesen. Es wurden echte Angriffe demonstriert, es handelt sich also um eine echte Sicherheitslücke - aber wir haben noch nicht gesehen, dass sie von wirklicher Malware in freier Wildbahn ausgenutzt wird. Einige Leute haben theoretisiert, dass die NSA dieses Problem schon eine Weile kennt und es benutzt hat. Die NSA BAUMWOLLE Bei einem Exploit werden anscheinend modifizierte USB-Geräte verwendet, um Ziele anzugreifen, obwohl der NSA anscheinend auch spezielle Hardware in diese USB-Geräte implantiert hat.
Trotzdem wird dieses Problem wahrscheinlich nicht in Kürze auftreten. Im alltäglichen Sinne müssen Sie den Xbox-Controller Ihres Freundes oder andere gängige Geräte wahrscheinlich nicht mit viel Misstrauen anzeigen. Dies ist jedoch ein Kernfehler in USB selbst, der behoben werden sollte.
Wie Sie sich schützen können
Sie sollten beim Umgang mit verdächtigen Geräten Vorsicht walten lassen. In den Tagen der Windows AutoPlay-Malware hörten wir gelegentlich von USB-Sticks, die auf Firmenparkplätzen zurückgelassen wurden. Die Hoffnung war, dass ein Mitarbeiter das Flash-Laufwerk aufheben und an einen Firmencomputer anschließen würde und dann die Malware des Laufwerks automatisch ausgeführt und den Computer infiziert würde. Es gab Kampagnen, um das Bewusstsein dafür zu schärfen und die Menschen zu ermutigen, keine USB-Geräte von den Parkplätzen abzuholen und sie an ihre Computer anzuschließen.
Da AutoPlay jetzt standardmäßig deaktiviert ist, glauben wir, dass das Problem gelöst ist. Diese USB-Firmware-Probleme zeigen jedoch, dass verdächtige Geräte immer noch gefährlich sein können. Nehmen Sie keine USB-Geräte von Parkplätzen oder der Straße und schließen Sie sie an.
Wie viel Sie sich Sorgen machen sollten, hängt natürlich davon ab, wer Sie sind und was Sie tun. Unternehmen mit kritischen Geschäftsgeheimnissen oder Finanzdaten sollten besonders darauf achten, welche USB-Geräte an welche Computer angeschlossen werden können, um die Ausbreitung von Infektionen zu verhindern.
Obwohl dieses Problem bisher nur bei Proof-of-Concept-Angriffen aufgetreten ist, weist es bei den Geräten, die wir täglich verwenden, eine große Sicherheitslücke auf. Dies ist zu beachten und sollte im Idealfall gelöst werden, um die Sicherheit von USB selbst zu verbessern.
Bildnachweis: Harco Rutgers auf Flickr
