Sie gehen über einen Parkplatz, als Ihnen in einer Parklücke ein USB-Stick auffällt, der auf dem Boden liegt. Sie heben ihn auf. Auf ihm klebt ein kleines Etikett mit der Aufschrift „VERTRAULICH“. Was tun Sie?
Was viele Finder eines solchen Datenträgers tun, haben Sicherheitsforscher der Universitäten Illinois und Michigan in einer Peer-Review-Studie ermittelt: Ihn in den Computer stecken.
USB-Köder
Die Sicherheitsforscher um Zakir Durumeric haben für ihre Studie, die im Mai 2016 auf der IEEE Security&Privacy Konferenz im Mai 2016 vorgestellt wird, 297 USB-Sticks an unterschiedlichen möglichen Fundorten rund um eine Universität deponiert, darunter Parkplätze, Cafeterien, Flure und Fußgängerwege. Von außen waren die USB-Sticks u.a. als „VERTRAULICH“ oder „KLAUSURLÖSUNGEN“ etikettiert. Zusätzlich gab es noch Sticks mit Schlüsselbund, teilweise sogar mit Adressetikett.
Auf den Sticks befanden sich HTML-Dateien, die beim Öffnen über das Forschungsprojekt aufklärten und die Möglichkeit gaben, noch einen Fragebogen zur Studie auszufüllen (für 10$ Aufwandsentschädigung). Die eingesetzten Ordnerstrukturen auf den Sticks sollten entweder einen privaten USB-Stick mit Photos, Lebenslauf und Dokumenten, einen Firmenstick mit Meetingprotokollen und Projektplanung oder einen Stick mit Klausurlösungen imitieren. Über ein in den HTML-Dateien platziertes Bild, das auf einem von den Wissenschaftlern überwachten Webserver lag, konnte der Aufruf der Datei festgestellt werden. In der Studie wird darauf hingewiesen, dass die USB-Sticks keine automatischen Aktionen durchführten. Daher konnten nur Sticks als verwendet gezählt werden, auf denen eine Datei vom Benutzer geöffnet wurde.
Ergebnisse
98% Prozent aller verstreuten USB-Sticks wurden gefunden und mitgenommen. Von 45% der mitgenommenen USB-Sticks wurde mind. eine der Dateien aufgerufen, also etwas weniger als die Hälfte. Das Aussehen der Sticks hatte offenbar wenig Einfluss auf dieses Verhalten. Abgesehen von den Sticks, die an einem Schlüsselbund mit Namensschild hingen: hier wurden nur bei 29% aller Sticks Dateien geöffnet. Interessanterweise öffneten 45% der Finder eines privaten Sticks erstmal eine Datei aus dem Ordner mit den Urlaubsfotos, statt den wesentlich sichtbareren Lebenslauf (29%). Dieser hätte mit Sicherheit eher Aufschluss über den Besitzer des Sticks gegeben als ein paar Skiaufnahmen.
In der Befragung, die in den Dateien steckte, gaben 68% der Benutzer an, dass sie keine Vorsichtsmaßnahmen getroffen und den Stick bedenkenlos verwendet haben. Von den vorsichtigen Nutzern hatten einige den Stick mit Anti-Viren-Software gescannt, wieder andere vertrauten dem Betriebssystem. Besonders pikant sind die Aussagen einiger Benutzer, dass sie absichtlich einen Universitätsrechner verwendet haben, um ihren eigenen Rechner nicht zu gefährden. Dies wird sicherlich auch auf Firmenrechner übertragbar sein.
Gefahren mobiler Datenträger
Welchen Schaden kann ein USB-Stick denn anrichten? Großen! Mit der Bad-USB Attacke kann ein Angreifer durch Umprogrammieren der Firmware eines USB-Geräts dieses dazu bringen, sich als jedes beliebige USB-Gerät auszugeben. So kann z.B. ein manipulierter USB-Stick betriebssystemunabhängig als USB-Tastatur fungieren und Tastatureingaben an den Computer schicken. Mit diesen Eingaben könnte dann ein Skript gestartet werden, das weitere Schadsoftware aus dem Internet nachlädt und ausführt. Das kann so schnell gehen, dass ein Benutzer es leicht übersehen kann. Auch denkbar ist die Simulation eines USB-Netzwerkgeräts, das den Netzwerkverkehr des Rechners umleiten kann. Kompliziertere Attacken kombinieren mehrere simulierte Geräte auf einem Stick. So wäre es sogar möglich, zur Tarnung nach dem Kompromittieren des Systems als vermeintlich harmloser USB-Stick zu agieren.
Gegenmaßnahmen
Die Studie hat gezeigt, dass fremde USB-Sticks nach wie vor bedenkenlos in den eigenen oder in fremde Computer gesteckt werden. Mitarbeiter sollten über die Risiken dieses Verhaltens aufgeklärt werden. Die USB-Ports an Rechnern generell zu deaktivieren ist meist nicht praktikabel. Unter Windows können Administratoren Gruppenrichtlinien einrichten, die das Verwenden bestimmter USB-Geräte wie z.B. Massenspeicher einschränken. Kommerzielle Data-Loss-Prevention Produkte liefern weitergehende Optionen, z.B. das Erlauben bestimmter (z.B. firmeneigener) USB-Sticks. Diese Funktionen bieten allerdings auch nur einen begrenzten Schutz gegen unvertraute Geräte, denn sie verlassen sich auf die USB-ID des jeweiligen Geräts. Mit der Bad-USB Attacke kann man jedoch die USB-ID auch beliebig setzen. Schutz auf Hardware-Ebene, z.B. in Form eines Zwischensteckers, gibt es bisher nicht. Dementsprechend sollte man die Verwendung von unbekannten USB-Sticks so weit wie möglich vermeiden.