Kommentar zu »BadUSB« »Zweifel an der USB-Sicherheit sind unbegründet«

Die Forschungsergebnisse von SRLabs zu BadUSB seien nur ein Publicity-Stunt, meint Fred Dart, CEO von FTDI Chip
Die Forschungsergebnisse von SRLabs zu BadUSB seien nur ein Publicity-Stunt, meint Fred Dart, CEO von FTDI Chip

Vor kurzem schreckte ein Bericht der SRLabs die Computerwelt auf. Selbst mit frisch formatierten USB-Sticks ließen sich Rechner mit Malware infizieren. Bedeutet »BadUSB« nun das Ende dieser Schnittstelle? »Überhaupt nicht«, meint Fred Dart, CEO bei FTDI Chip. Wo sieht er die Fehler der Forscher?

Forschungsergebnisse von Karsten Nohl und Jakob Lell von SRLabs auf der Black-Hat-Konferenz Anfang August 2014 haben eine Menge Aufmerksamkeit in den Fachmedien erlangt. Die Ergebnisse sollen zeigen, wie USB-Einheiten möglicherweise zur Einführung von Schadsoftware (Malware) in Rechenplattformen und tragbare Elektronikgeräte missbraucht werden. In der Folge wird davon ausgegangen, dass es keine effektive Methode gäbe, um sich gegen diese Anfälligkeit zu schützen. Diese provokativen, wenn nicht sogar aufwieglerischen Kommentare, dass USB »eindeutig fehlerhaft« sei und Anwender von Computern beziehungsweise tragbaren Elektronikgeräten »nichts mehr trauen sollten, nachdem ein USB-Stick angeschlossen wurde«, sind in keinster Weise realistisch. Hier muss einiges klargestellt werden.

Die beiden Berliner Forscher demonstrierten, dass anscheinend leere USB-Sticks formatiert und auf Viren überprüft wurden, immer noch böswilligen Code enthalten können. Dieser würde sich in der Firmware der Schnittstellen-ICs verstecken.

Auf der Grundlage ihrer Erkenntnisse gehen die Forscher davon aus, dass dies das Ende für USB-Sticks und anderen USB-Zubehörs sein werde. Es wird sogar gefordert, dass Unternehmen überhaupt keine USB-Sticks mehr verwenden sollten. Trotz ihrer weiten Verbreitung (ca. 6 Mrd. USB-Ports weltweit sind im Einsatz) wird anhand dieser Untersuchung vorgeschlagen, das Ende von USB als Datentransfermedium zu forcieren. Das ist eine gewagte Aussage, die zudem völlig ungerechtfertigt ist. In Wahrheit ist USB gegen Attacken genauso wenig gefeit wie andere Datenübertragungsarten wie zum Beispiel Funkverbindungen (Bluetooth/Wi-Fi) oder Internet-Verbindungen.

Probleme haben nur MCU-basierte USB-Lösungen

Obwohl die Forschung bei SRLabs die zunehmende Gefahr durch verschiedenste Arten von Cyberattacken unterstreicht, heißt das noch lange nicht, dass die Tage von USB gezählt seien. Es wird darauf hingewiesen, dass Anfälligkeit von Firmware gegen Manipulationen meist auf mikrocontrollerbasierte Produkte zutreffe. Hier wäre eine Umprogrammierung der MCU im laufenden Betrieb möglich, die dann bestimmte unerwünschte Funktionen verursacht. Dies kann zwar auf einige USB-Schnittstellen-ICs auch zutreffen, aber solange OEMs für USB-Peripherie hochqualitative Designs verwenden, kann diese Bedrohung vernachlässigt werden.

Die SRLabs-Forscher behaupten, dass es »keine wirksame Abwehr von USB-Angriffen« gäbe. Dies ist nicht richtig. Etablierte Halbleiterhersteller im USB-Markt bieten bereits bewährte Technologie, um dieses Problem zu lösen.

Die USB-Bridge-ICs von FTDI Chip zählen zur Herstellerklasse anstatt zur USB-Stick-/ Massenspeicher-Klasse. Diese Device-Klasse lässt sich nicht kundenspezifisch anpassen, um als alternativer Device-Typ zu fungieren. Da diese ICs festverdrahtet sind (mit Festfunktions-ASIC-Implementierungen), weisen sie auch keine Firmware auf. Somit ist auch kein Platz für bösartigen Code vorhanden. Die gesamte Kommunikationssteuerung erfolgt in Hardware. Einige ICs dieser Baureihe nutzen einen kleinen EEPROM-Speicher – meist nur zum Speichern von Einstellungen. Der Speicher ist nicht groß genug, um irgendeine Form von Schadsoftware aufzunehmen. FTDIs USB-Bridge-ICs lassen sich daher nicht umprogrammieren. Sie führen nur die Funktionen aus, für die sie ursprünglich ausgelegt wurden. Die Möglichkeit einer Manipulation ist daher ausgeschlossen. Da die Bausteine zur Herstellerklasse zählen, erfordern sie eine spezielle FTDI-Treiber/API wenn auf sie zugegriffen werden soll.

Es stehen also USB-ICs zur Verfügung, die auf Hardware-Zustandsmaschinen basieren, anstatt auf Mikrocontrollern. Ein Umprogrammieren ist daher unmöglich. Der Grund, warum die oben genannten Forschungsergebnisse Details auslassen, wie der Markt dieses Problem überwinden kann – nämlich durch spezielle USB-ICs – lässt vermuten, dass hier mehr Eigenwerbung im Spiel ist, als im Sinne des öffentlichen Interesses zu handeln.

Im Bereich der IT-Sicherheit kommen solche Publicity-Stunts öfters vor – meist mit der Absicht, die eigene Agenda auf die Tagesordnung zu stellen. Es gab schon immer die Tendenz, übertriebene (und in der Regel schlecht recherchierte) Behauptungen aufzustellen, um Anwendern die Investition in neue Softwarepakete oder ähnlichem schmackhaft zu machen. Das Problem dabei ist, dass diese Art der Panikmache in vielen Fällen zu einer Überreaktion führt.