Zugangsdaten von gesperrtem PC in 20 Sekunden geklaut (heise.de)

Auf dem letzten Selbstbauabend trafen wir uns eher zum gemütlichen Beisammensein, das erste Mal wieder nach der langen Sommerpause.

Da SWL Nils und ich (DL1HX) auch in Sachen IT-Sicherheit unterwegs sind, hatten wir brandaktuelle und beunruhigende Informationen dabei. Nicht nur das, Nils brachte den Inhalt seiner gerade erhaltenen Paket-Sendung mit. Das war ein kleiner USB-Stick mit dem lustigen Namen “USB Rubber Ducky Deluxe“. Dies sind zwar aus, wie ein normaler USB-Speicherstick und besitzt einen hübschen Quietsche-Enten-Aufkleber. Aber das kleine Gerät hat es durchaus in sich.

 

Für 44 EUR kann man sich ein USB-Gerät kaufen, mit dessen Hilfe man Befehle auf fremden Rechnern ausführen kann. Dies geschieht kinderleicht mittels eines Skriptes in der “Sprache” ‘Ducky Script’. Man kann sich seine Angriffe auch zusammenklicken. Das Skript wird dann mittels der angepassten Firmware auf den Stick geladen und man ist bereit zum Angriff.

Voraussetzung für den Angriff ist nur, dass man den USB-Stick in den auszuspähenden Rechner gesteckt bekommt. Den Rest erledigt der USB-Host-Chip und das Betriebssystem. Dieses erkennt brav ein neues USB-Gerät z. B. eine Tastatur und schon werden die Befehle ausgeführt.

Wer also mal wieder einen USB-Stick findet, geschenkt bekommt oder auf einer Messe vom Grabbeltisch als vermeintliches Werbegeschenk mitnimmt, der sei gewarnt, was er sich freiwillig in den Rechner steckt. Dem Nächsten, der sein Mobil-Gerät zum Laden mit meinem Rechner verbinden will, werde ich gehörig die Ohren langziehen.

 

Aber es geht noch besser, wie im folgenden Artikel beschrieben ist: http://www.heise.de/newsticker/meldung/Zugangsdaten-von-gesperrtem-PC-in-20-Sekunden-geklaut-3316752.html. Egal ob Windows/Mac/Linux/Smartphone, alles was eine Tastatur erkennt, ist prinzipiell angreifbar.

Ich kann nur jedem empfehlen, sich öfter mal z. B. den Heise-Security-Ticker anzusehen und sich zu informieren, was wieder an aktuellen Angriffen läuft, bzw. welcher Anbieter aktuell wieder seine Passwort-Dateien oder Kunden-Kreditkarten-Informationen “verloren” hat.