USB-Geräte, beispielsweise die weit verbreiteten USB-Sticks zum Austausch von Daten, können gefährlich sein:
«Wer die Firmware eines USB-Sticks kontrolliert, kann den zu einem perfekten Trojaner umfunktionieren. […]»
Hintergrund:
«USB-Trojaner sind eigentlich ein alter Hut: Sie sehen aus wie Speicher-Sticks, enthalten aber in Wirklichkeit einen kleinen Computer, der sich als Tastatur am System anmeldet und es dann durch passende Eingaben kapert. […] Doch […] Forscher […] präsentieren jetzt etwas ganz anderes: Sie können einen ganz normalen USB-Speicher-Stick in ein Trojanisches Pferd verwandeln – und zwar ganz ohne Lötkolben ganz allein via Software.
Sich gegen solche BadUSB-Geräte zu schützen, dürfte sich als sehr schwer erweisen. Denn das System, das auf den Stick zugreift, bekommt nur noch das zu sehen, was ihm die manipulierte Firmware zeigen will. Antiviren-Software ist damit quasi komplett außen vor. […]»
Passend dazu hat das Handelsgericht des Kantons Zürich kürzlich gegenüber dem Zürcher Anwaltsverband (ZAV) betont, Eingaben unter Beilage von USB-Sticks und anderen Datenträgern seien durchaus erwünscht – sofern reissfeste Versandtaschen verwendet würden:
«Wir wurden seitens des Handelsgerichts darauf aufmerksam gemacht, dass unsere Mitglieder den Eingaben bisweilen Datenträger wie USB-Sticks beilegen. Dies sei durchaus erwünscht und erleichtert gerade in umfangreichen Prozessen die Bewältigung des Stoffes. Problematisch sei aber, dass es bisweilen vorkomme, dass die Sticks mit bzw. in gewöhnlichen Couverts verschickt würden – aber nie beim Gericht ankämen. Der Grund liege vermutungsweise darin, dass die Sortieranlagen der Post die Sticks aus dem Couvert quetschten. […] Deshalb empfiehlt das Handelsgericht, reissfeste Versandtaschen (z.B. Kartoncouverts) zu verwenden und darüber hinaus die Datenträger zu beschriften.»
Zürcher Rechtsanwälte werden selbstverständlich nicht versuchen, das Handelsgericht mittels USB-Stick zu hacken.
Sofern man via USB keine Daten austauschen, sondern lediglich Geräte aufladen möchte, kann übrigens ein «USB Condom» helfen …
Das obige Problem gibt es schon, seit es Floppydisks gibt. Es ist durchaus kein großartiges Problem, Schadsoftware auf ein Speichermedium wie z.B. einem USB-Stick zu packen und ihn durch den User einspielen zu lassen.
Gängige Szenarien gegen so einen Angriff ist ein vernünftiges Betriebssystem mit einer entsprechend restriktiven Rechteverwaltung.
Reißfeste Versandtaschen helfen hierbei nicht wirklich. Denn es ist unwahrscheinlich, dass der Angreifer ein solches Päckchen abfängt. Viel eher wird er selbst eines schicken oder die Infiltration erfolgt über einen Kommunikationspartner des Gerichtes, der einen solchen USB-Stick wiederverwendet, ohne von dessen versteckter Gefahr zu wissen.
@Hellinger Bonn:
BadUSB geht wesentlich darüber hinaus: Es genügt, wenn ein USB-Datenträger mit einem Computer verbunden wird, der Nutzer muss nicht aktiv handeln und kann sich faktisch auch nicht schützen …
… leider nicht, Zitat von https://srlabs.de/badusb/:
Richtig … wobei das Handelsgericht die reissfesten Versandtaschen aber sowieso nicht wegen BadUSB empfiehlt, sondern schlicht deshalb, weil USB-Sticks ansonsten in den Sortieranlagen der Post verlorengehen können.