Bad-USB-Angriff und die Analyse von Sicherheitsmaßnahmen

Bachelor Studiengang IT Security

Michael Eichinger, BSc

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage

Die Tonfolge, die erklingt, nachdem der USB-Stick an den Computer angesteckt wurde, liegt noch in den Ohren. Es scheint so, als würde alles so wie immer funktionieren. Doch plötzlich entwickelt der Computer ein Eigenleben: Ein schwarzes Fenster öffnet sich und wie von Geisterhand werden Befehle eingegeben. Bevor man noch realisiert, was passiert, schließt sich das Fenster wieder und alles scheint in Ordnung zu sein. Was war das? Der Virenscanner hat nicht reagiert. Auch die Dateien auf dem USB-Stick scheinen in Ordnung zu sein. Alle Dokumente der letzten Besprechung sind wie gewünscht vorhanden.

So oder so ähnlich könnte ein Bad-USB-Angriff aussehen. Ein Stick mit vermeintlich wichtigen Dokumenten wird im Zuge einer Besprechung übergeben und ohne vorhergehende Überprüfung am Firmencomputer angesteckt. Der vermeintliche USB-Stick entpuppt sich allerdings als Angriffswerkzeug. Über automatische Tastaturbefehle wird dem/der AngreiferIn in wenigen Sekunden eine Hintertür am Computer geöffnet, und vertrauliche Informationen sind für die Konkurrenz zugängig. Man ist Opfer krimineller HackerInnen geworden.

Ziel

In dieser Arbeit werden mögliche Angriffe über die USB-Schnittstelle betrachtet und allfällige Sicherheitsmaßnahmen analysiert. Das Ziel ist, den aktuellen Stand derzeitiger Angriffsszenarien, die von USB-Geräten ausgehen, zusammenzufassen und einen Überblick über mögliche Sicherheitsmaßnahmen zu geben. Im Mittelpunkt steht die Frage, ob und wie weit ein Bad-USB-Angriff mit heutigen Mitteln reproduzierbar ist. Der Schwerpunkt der Arbeit liegt in der Untersuchung möglicher Gegenmaßnahmen, deren Vor- und Nachteile und ihrer Wirksamkeit bei unterschiedlichen Betriebssystemen.

Ergebnis

Als Ergebnis kann festgehalten werden, dass es in der Zwischenzeit eine große Anzahl an Sicherheitsmaßnahmen gibt. Dennoch verbleibt trotz deren Implementierung immer noch die Komponente „Mensch“: Durch soziale Techniken wird es auch zukünftig immer wieder möglich sein, mithilfe zwischenmenschlicher Beeinflussung bestimmte Verhaltensweisen hervorzurufen, um einen erfolgreichen Bad-USB-Angriff zu verüben. Daraus resultiert die wachsende Bedeutsamkeit, durch regelmäßige Awareness-Schulungen und damit verbundene bewusstseinsbildende Maßnahmen die notwendige Aufmerksamkeit bei EndanwenderInnen zu schaffen. NutzerInnen sollen so im Umgang mit Computersystemen und der damit verbundenen Peripherie Angriffe erkennen und diese auch durch entsprechende Handlungen verhindern können.