So nutzen Sie den USB weiter "sicher"

Otfried Köllhofer, Produktmanager bei CenterTools Software, sieht speziell die von seiner Firma angebotene Lösung DriveLock Device Control als eine Möglichkeit für Unternehmen, sich vor derartigen Angriffen zu schützen. Auch bei dieser Software können beliebige USB-Geräte sowie Geräteklassen mittels White- und Blacklisting gesperrt werden. Er hebt dabei hervor, dass eine derartige Sperrung weitaus feingranularer vorgenommen werden kann, wenn sich die entsprechenden Geräte genauer identifizieren lassen. Weiterhin ermöglicht es diese Software, das Netzwerk-Bridgeing zu unterbinden, so dass ein Angriff mittels eines "Bad DNS Stick", wie er ebenfalls von den Mitarbeitern von Security Research Labs demonstriert wurde, keinen Erfolg mehr hätte. Bei dieser Attacke "spooft" das manipulierte USB-Gerät den Ethernet Adapter, so dass DNS-Anfragen auf einen ServerServer des Angreifers umgeleitet werden, während der restliche Internet-Verkehr weiter über die normale Netzwerkverbindung geleitet wird. Alles zu Server auf CIO.de

Anbieter Lumension hat nach Aussagen von Andreas Müller, Regional Sales Director D/A/CH, in die eigene Lösung "Lumension Device Control" eine automatische Key-Logger-Erkennung integriert, die bereits einen gewissen Grundschutz ermöglicht. Speziell für Angriffe mit solchen Geräten, die dem Betriebssystem ein Eingabegerät wie eine Tastatur vorspiegeln, wurde mit dem Release LDC 4.5 SR3 vom 7.8.2014 eine spezielle Abwehrfunktion für Keyboard Emulatoren wie "Rubber Ducky" implementiert. Hierbei wird der Nutzer dann unter anderem explizit auf das "Anstecken einer zweiten Tastatur" hingewiesen.

Ernsthaftes Problem für die nahe Zukunft

Die Sicherheitsspezialisten der Firma Sophos haben uns ebenfalls ein Statement zu der Gefährdung durch BadUSB zugeschickt: Darin heben sie hervor, dass derartige Angriffe im Moment noch nicht "in the wild" gesichtet wurden, dass sie diese Form der Attacke aber trotzdem als ernsthaftes Problem für die nahe Zukunft betrachten. Außerdem schließen sie sich der Meinung der anderen von uns befragten Anbieter an, dass die augenblicklichen Lösungen zum Blocken von USB-Geräten nur einen unzureichenden bis keinen Schutz vor dieser Art von Angriffen bieten können.

Die Firma ProSoft bietet mit der Konfigurations- und Managementlösung SafeConsole und der Funktion Device LockOut ebenfalls eine einfache Endpoint-Security-Lösung an, die verhindert, dass nicht autorisierte Geräte benutzt werden können. Die White-beziehungsweise Blacklists basieren dabei auf der Abfrage von PID (Product ID), VID (VendorID), USB-Klasse und/oder Seriennummern. Allerdings gibt Robert Korherr, CEO von ProSoft, in seinem Statement zu bedenken, dass diese Verfahren eben nicht mehr ausreichen, seit es mit BadUSB gelungen ist, die USB-Klasse zu verändern: "Normalerweise wird die USB-Klasse HID (Human Interface Devices) in Data Leakage Prevention (DLP) Software erlaubt. Wahrscheinlich können mit etwas Aufwand auch die Werte PID, VID und die Unique ID verändert werden und dann greifen diese Verfahren eben nicht mehr zu 100 Prozent", weiß er zu berichten.

Als eine Alternative stellt dieser Anbieter seine Lösung SafeToGo in den Mittelpunkt: Dabei handelt es sich um einen 256-Bit AES per Hardware verschlüsselten USB-Stick. Dieser kann nur über digital signierte Firmware-Updates und die entsprechende Firmware-Updater Software aktualisiert werden. Dabei wird laut Hersteller die Überprüfung der Signierung ausschließlich über den manipulationssicheren On-Board-Controller auf dem USB-Stick vorgenommen. Da die Sticks in Schweden entwickelt werden, brauchen Nutzer auch kaum Angst vor NSA-Backdoors haben.