12. November 2019 - Sebastian Evers
Dass Anhänge und Links in E-Mails eine nicht zu unterschätzende Gefahr darstellen können, ist heutzutage einem Großteil aller Anwender bekannt. Doch nicht jeder Cyber-Angriff erfolgt auf digitalem Wege. Nicht jedes angegriffene Netzwerk ist zwangsläufig mit dem Internet verbunden.
Doch wie verschafft man sich Zugang zu einem Netzwerk, dass nicht mit dem Internet verbunden ist? Gängige Einfallswege, wie präparierte E-Mail-Anhänge oder Malvertising sind ausgeschlossen. Der Angriff muss also direkt über im Netzwerk befindliche Hardware erfolgen. Eine Möglichkeit wäre sich Zugang zu den Räumlichkeiten zu verschaffen. Aber bei vom Internet autarken Netzwerken ist davon auszugehen, dass auch eine entsprechende Zugangskontrolle zu den damit verbundenen Lokalitäten einher geht. Und je nach Branche erweckt ein unbekanntes Gesicht auch schnell Aufmerksamkeit.
Die Komponente Mensch bleibt dennoch entscheidend für den Zugang. Aber warum selber Zutritt verschaffen, wenn tagein tagaus unzählige Mitarbeiter das Gebäude unbehelligt betreten können? Durch Social Engineering weiß man in der Regel wie Menschen so ticken. Welche instinktiven Verhaltensweisen man für sich nutzen kann, um einen Cyber-Angriff erfolgreich umzusetzen. Was beim Klick auf einen schadhaften Link oder Anhang funktioniert, funktioniert ebenso mit präparierter Hardware.
Das Vorgehen beim HID Spoofing ist denkbar einfach: Ein mit schadhaftem Code ausgestatteter USB-Stick wird in unmittelbarer Umgebung platziert. Beispielsweise auf Fluren innerhalb des Gebäudes oder dem Firmenparkplatz. Der Datenträger soll den Eindruck erwecken, dass er verloren wurde. Dabei kann es sich um einen normalen USB-Stick handeln, welcher schadhafte Dateien enthält, deren Benennung zum Anklicken einladen soll. Bestensfalls wird die Ausführung in dem Fall durch installierte aktuelle Anti-Viren-Software schnell unterbunden.
Handelt sich jedoch um als USB-Sticks getarnte Eingabegeräte (Key Stroke Injection), dann schafft auch dies keine Abhilfe. Diese speziellen "Hacking Tools" (z.B. Rubber Ducky oder Dash Bunny) geben sich dem Computer gegenüber als Tastatur aus und werden von Anti-Viren-Programmen somit nicht berücksichtigt. Auf dem internen Speicher lassen sich beliebige Eingaben vorab speichern. Diese werden zum Zeitpunkt des Einsteckens im System eingegeben - selbst im Sperrmodus. Das Eingabefenster wird dabei meist im Hintergrund versteckt, sodass der Anwender davon nichts mitbekommt. Das System ist ab diesem Zeitpunkt infiziert und der Angreifer kann beliebiges Chaos anrichten.
Es mag vielleicht abwegig klingen, doch leider neigen sehr viele Menschen dazu gefundene USB-Sticks unbedacht anzuschließen. Laut einer amerikanischen Studie neigen etwa 48% der Finder dazu, gefundene USB-Sticks am PC einzustecken. Bei einem Experiment an der University of Illionois wurden ca. 300 USB-Sticks auf dem Campus ausgelegt. Das darauf befindliche Skript teilte den Forschern mit, wenn der Datenträger angeschlossen wurde. Etwa 45% der Finder haben die manipulierten Datenträger eingesteckt und die darauf befindlichen Dateien geöffnet.
Bei der Befragung gaben 68% der Personen, die einen Stick gefunden hatten, an, dass sie die Datenträger angeschlossen hätten, um ihn dem Besitzer zurückgeben zu können. Frei nach dem irischen Schriftsteller George Bernhard Shaw: „Der Weg zur Hölle ist mit guten Absichten gepflastert.“ Etwa 18 % der Befragten gaben an, die Sticks aus reiner Neugier angeschlossen zu haben.
Bei einer nicht repräsentativen Umfrage innerhalb unserer Facebook-Community zeichnet sich ein vollkommen anderes Bild ab: Grade einmal 8 % haben angegeben, schon einmal einen gefunden Datenträger angeschlossen zu haben. Berücksichtigen muss man bei diesem abweichenden Ergebnis allerdings, dass sich unsere Follower überwiegend aus Bestandskunden und IT-Partnern zusammen setzen, die allesamt mit dem Thema Datenverlust und Datenrettung vertraut sind. Demnach ist wohl davon auszugehen, dass bereits gemachte Erfahrungen den Großteil für potenzielle Risikofaktoren sensibilisiert haben.
Betrachtet man diese immens hohe Zahl an Menschen, welche bedenkenlos gefundene USB-Sticks anschließen, dann findet sich schnell die mutmaßliche Antwort auf die Frage, wie der Computerwurm Stuxnet 2010 in das abgeriegelte Netzwerk des iranischen Atomkraftwerks in Buschehr gelangen konnte?
Fazit: Gefundene USB-Sticks oder andere Datenträger sollten behandelt werden wie gefundene Spritzen. Niemand würde sich eine auf der Straße liegende Spritze in den Arm stechen und sich den Inhalt injizieren.