BadUSB ist Realität: Spionage und Trojaner via USB Stick

Gefahren über der USB Port: Noch im Juli diesen Jahres wurden die Warnungen zu modifizierten Controllern in USB Sticks als “rein theoretische Gefahr” abgetan und vielerorts belächelt, aber nun der der sogenannte BadUSB Stick Realität geworden und als Anleitung auch im Netz veröffentlicht worden. Die Gefahren eines BadUSB Sticks wurden im Juli 2014 auf der BlackHat Konferenz in Las Vegas vom Sicherheitsforscher Karsten Nohl erstmals erläutert, jedoch nicht veröffentlicht, aber nun haben Adam Caudill und Brandon Wilson einige wirklich garstige Tools entwickelt, welche die Firmware des Phison 2251-03 Controllers auf vielen handelsüblichen USB Sticks, wie z.B. dem recht günstigen Patriot PSF8GXPUSB Supersonic Xpress mit wenig Aufwand modifiziert und somit einen ganz normalen USB Stick zu einem echten Sicherheitsrisiko machen können.

BadUSB Anleitungen und Video für BadUSB Sticks im Internet

BadUSB Stick Anleitung und Video onlineMit Hilfe der jetzt veröffentlichten Anleitungen inklusive der benötigten Software können nicht nur Viren und Trojaner problemlos auf fremden Rechnern installiert, sondern auch der infizierte Rechner als Spamschleuder oder Botnetzwerke missbraucht werden. Von heimlich installierten Programmen wie Keyloggern  oder den Möglichkeiten diverser Backdoor Tools mal ganz abgesehen. In einschlägigen Hacker Shops kann man zwar seit geraumer Zeit schon modifizierte Hardware für allerlei Unfug bestellen, aber die jetzt veröffentlichten BadUSB Anleitungen öffnen leider Tür und Tor für aller erdenklichen (und natürlich illegalen) Aktionen.

Hierbei sollte auch der § 202c StGB beachtet werden, denn wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft…


Mit der Veröffentlichung der BadUSB Anleitungen inklusive der benötigten Software auf Github.com, wollen Adam Caudill und Brandon Wilson nach eigenen Angaben auf diese gravierende Sicherheitslücke hinweisen und die Industrie zu einer Änderung bewegen, aber diese Veröffentlichung wird leider auch dazu beitragen, dass sich jetzt auch verstärkt Kriminelle und die die üblichen Scriptkiddies mit dem Thema BadUSB auseinandersetzen werden. Sicherheitsforscher gehen davon aus, dass eine derartige Manipulation von Speichermedien bereits seit geraumer Zeit von Diensten wie der NSA und anderen staatlichen Stellen zur heimlichen Überwachung der eigenen Bevölkerung verwendet wird, da durch das bloße Einstecken eines modifizierten USB Sticks am Zielrechner auch problemlos Spionjagesoftware (Staatstrojaner / Bundestrojaner) installiert werden  kann…

Es sollte jedem klar sein, dass fremde Personen nichts am eigenen Rechner verloren haben und auch in den eigenen vier Wänden eine Verschlüsselung der eigenen Daten durchaus empfehlenswert ist. Bei mir zu Hause würde niemand auf die Idee kommen, einfach einen USB Stick in einen der vorhandenen Rechner zu stöpseln, aber wie sieht es bei Euch am Arbeitsplatz aus? Einige Firmen denken inzwischen mit, verbieten die Installation externer Software und sperren die USB Ports der Rechner, was natürlich nicht gegen jeden Angriff hilft, aber immerhin schon sicherer ist, als sich auf die Ehrlichkeit aller Mitarbeiter zu verlassen.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.