Kostenloses G-Data-Tool schützt vor BadUSB-Angriffen

Der G Data USB Keyboard Guard kontrolliert neu an den PC angeschlossene Tastaturen. Der Anwender kann damit entscheiden, ob er die tatsächlich benutzen will oder ob er einen Angriff befürchtet und das Gerät lieber aussperrt.

In Pocket speichern vorlesen Druckansicht 34 Kommentare lesen
Lesezeit: 3 Min.

Wenn ein USB-Speicherstick diese Nachfrage auslöst, handelt es sich vermutlich um einen Angriff.

Mit seinem Vortrag BadUSB: Wenn USB-Geräte böse werden hat Karsten Nohl für einige Verunsicherung gesorgt. Durch eine manipulierte Firmware lassen sich ganz normale USB-Speichersticks in Trojaner verwandeln. Die melden sich dann als Tastatur am System an und kapern dieses durch künstliche erzeugte Tastatureingaben. Mit dem kostenlosen G Data USB Keyboard Guard soll man sich jetzt vor solchen Angriffen schützen können.

Das Tool klinkt sich in die Windows-Mechanismen ein, über die sich im laufenden Betrieb neue Tastaturen einbinden lassen; es überprüft dabei übrigens nicht nur USB- sondern auch PS2-Tastaturen. Bevor eine solche Tastatur aktiv werden kann, fragt der Guard den Anwender, ob er das Gerät tatsächlich verwenden möchte. Hat der nur einen USB-Speicher-Stick angesteckt, der jetzt jedoch als Tastatur agieren will, kann er dessen vermutlich bösartige Aktivitäten blockieren. Akzeptiert der Anwender die Tastatur jedoch, wird sie einer internen Liste akzeptierter Geräte hinzugefügt und kann künftig ohne Nachfragen aktiv werden. Die beim ersten Start nach der Installation vorgefundene Tastatur landet automatisch auf dieser Liste.

Da liegt übrigens ein konzeptionelles Problem des USB Guards: Da in der Kommunikation keine digitalen Signaturen oder sonstige Authentifizierungsmechanismen vorgesehen sind, könnte ein trojanisierter Stick die ID eines bereits freigeschalteten Geräts imitieren, um den Guard zu umgehen. Das erfordert allerdings zusätzlichen Aufwand durch den Angreifer, diese vorab in Erfahrung zu bringen. Darüber hinaus könnte der Stick sich auch als USB-Maus ausgeben, und die Abfrage durch das G-Data-Tool einfach wegklicken. USB-Mäuse überwacht es nämlich nicht. Diesen einfachen Angriff will G Data allerdings in einer zukünftigen Version verhindern, versprach der Leiter G Data SecurityLabs Ralf Benzmüller gegenüber heise Security.

Auch das ebenfalls von Nohl demonstrierte Angriffsszenario, bei dem sich ein trojanisierter USB-Stick als USB-Netzwerkkarte ausgibt, die dann dem System via DHCP einen bösartigen DNS-Server unterjubelt, kann der Keyboard Guard nicht unterbinden. Trotz dieser Einschränkungen legt das G-Data-Tool die Latte für BadUSB-Angriffe deutlich höher. Es schützt im Übrigen auch vor den sehr viel einfacheren Angriffen mit speziellen USB-Geräten wie dem Rubberducky, die sich zwar äußerlich als Speicherstick tarnen, in denen aber ein programmierbarer Mini-Computer steckt. In ersten Tests von heise Security funktionierte der G Data USB Keyboard Guard sowohl unter Windows XP als auch auf einem System mit Windows 8.1 genau wie beschrieben. (ju)