USB Hacks

Am Freitag auf dem FFG der GUUG ging es in einem Vortrag von Ralf Spenneberg um USB Devices, die einen Microcontroller enthalten, sich beim Anschließen an den Rechner als Tastatur (oder Maus) melden und dann Kommandos ausführen, die per Tastatur/Maus möglich sind. Damit umgeht man vermutlich die meisten Endpoint Security Systeme, da Maus/Tastatur in der Regel nicht gesperrt sind. Außerdem kann man so einen Autostart durchführen, auch wenn das vom Betriebssystem gesperrt ist. Nach dem Vortrag sind natürlich interessante Ideen aufgekommen, die so ein Device ermöglicht.

Wie der Zufall es nun will, bekam ich heute einen Werbeflyer in die Hand, mit einem kleinen USB Device aus Papier, etwa in der Größe einer EC Karte. Die Aufschrift leitet dazu an, das Teil in den heimischen PC zu stecken und man wird sofort auf eine Webseite geleitet. Das ist natürlich Grund genug das Teil mal in einer sicheren Umgebung zu testen.

Die erste Analyse zeigt, das es sich um eine Tastatur handelt, na sowas.

Bus 004 Device 003: ID 05ac:020b Apple, Inc. Pro Keyboard [Mitsumi, A1048/US layout]

Gut, testen wir das ganze in einer virtuellen Umgebung und schauen mal, was passiert. Wie erwartet werden Tastatureingaben gemacht. Es geht der “Ausführen” Dialog auf und wie von Geisterhand wird eine URL eingetippt. Anschließend startet der Standardbrowser. Die URL selbst zeigt auf einen URL Dienst, der von Marketingfirmen benutzt wird. Dabei wird aber neben der ID zur Seite auch eine ID an die Zielseite übertragen. Im Klartext: es ist möglich, dass der Anbieter so feststellen kann, welche der Karten benutzt werden und somit in der Lage ist, den Besucher eindeutig zu identifizieren. Damit wirbt der Anbieter sogar. Das sowas in Deutschland rechtlich überhaupt zulässig ist, halte ich für fragwürdig.

Die zweite Gefahr ist, dass diese Devices anscheinend bereits so billig sind, dass man damit auch einen groß angelegten Angriff fahren kann. Statt der URL zu einer Werbeseite könnte man auch Software nachladen und installieren. Ich denke, dass uns diese Teile in der Zukunft noch viel “Freude” bereiten werden. Nur das die Gefahr so nahe ist, damit hatte ich nicht gerechnet.