Angriffssystem auf Basis von Raspberry Pi Zero

PoisonTap stiehlt Daten von gesperrten Computern

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

PoisonTap attackiert gesperrte Systeme, stiehlt Informationen und richtet eine Backdoor ein - alles für den Preis eines Raspberry Pi Zeros.
PoisonTap attackiert gesperrte Systeme, stiehlt Informationen und richtet eine Backdoor ein - alles für den Preis eines Raspberry Pi Zeros. (Bild: bykst - pixabay / CC0)

Aus einem fünf Euro teurem Raspberry Pi Zero lässt sich mit wenig Aufwand ein Angriffs-Tool erstellen. Die PoisonTap genannte Methode infiziert gesperrte Computer in Windeseile, stiehlt Cookies und erstellt eine Web-Backdoor. Gegenmaßnahmen sind kompliziert.

Allein die Kurzbeschreibung für PoisonTap macht Angst: "Stiehlt Cookies, installiert Web-Backdoors und macht interne Router im Web verfügbar" - alles über einen gesperrten Computer. Das Angriffs-Kit läuft auf einem Raspberry Pi Zero (Kosten etwa 5 Euro) und kommt vom Hacker Samy Kamkar, der etwa durch den MySpace-Wurm Samy und diverse andere interessante Projekte.

Wird ein PoisonTap-System an einem Mac- oder Windows-PC angesteckt, geschehen mehrere Angriffe auf einmal. PoisonTap gibt sich zunächst als USB-Ethernet-Gerät aus. Die Betriebssysteme stufen dieses Gerät zunächst mit einer niedrigen Priorität ein, dennoch führen sie darüber eine DHCP-Anfrage durch. Das klappt automatisch, selbst wenn der PC gesperrt ist. PoisonTap antwortet auf die DHCP-Anfrage und erzählt dem Rechner, dass das komplette Internet Teil von PoisonTaps lokalem Netzwerk ist. Da die Systeme LAN gegenüber Internet priorisieren, werden ab diesem Zeitpunkt alle Web-Anfragen durch PoisonTap geleitet.

Ist ein Browser im Hintergrund geöffnet, greift PoisonTap HTTP-Cookies und Sessions für eine Million Webseiten ab, hinterlegt ist die Top-Liste des Dienstleisters Alexa. Erfolgt eine HTTP-Anfrage während PoisonTap aktiv ist, etwa weil sich eine Webseite oder eine Web-Komponente aktualisiert, spooft das System die DNS-Anfrage und gibt eine eigne Adresse zurück - sprich die Anfrage trifft auf einen zu PoisonTap gehörigen Webserver. Die Antwort vom Server veranlassen versteckte iFrames auf dem System, eins für jeder der hinterlegten Seiten. Da jeder der iFrames vom lokalen System erstellt wird, lassen sich Cookies und Sessions auslesen und auf den Webserver übertragen. Damit werden nicht nur diverse Sicherheitskomponenten ausgehebelt, es geschieht auch innerhalb von Sekunden.

Die iFrames haben noch einen weiteren Zweck. Sie enthalten HTML und JavaScript-Backdoors, die unbegrenzt zwischengelagert werden. Damit erstellt PoisonTap eine Websocket auf dem System, der sich mit dem Kontroll-Server verbindet. Diesen kann der Angreifer auch dann nutzen, wenn PoisonTap nicht mehr an den jeweiligen PC angeschlossen ist.

Damit nicht genug - sogar Router im internen Netzwerk lassen sich mit PoisonTap von außen attackieren. Zwar geht das nicht direkt, aber über eine Backdoor auf einem speziellen Host lassen sich die DNS-Anfragen entsprechend umbiegen. Über einige clevere Tricks verändert Samys Tool die Auflösung der Adresse und erlaubt einen Zugriff von außen - womit Angreifer Router bequem von außen attackieren können.

Abwehrmaßnahmen

Samy liefert in seinem Blog ein paar Gegenmaßnahmen. Wer einen Webserver betreibt, sollte HTTPS exklusiv nutzen, Cookies sollten zusätzlich das Flag “Secure” gesetzt haben. Mit HTTP Strict Transport Security (HSTS) sollte der Server zudem gegen Downgrading-Attacken geschützt werden.

Auf der Client-Seite ist der Schutz deutlich schwerer. USB ist weit verbreitet, kaum jemand sichert die Anschlüsse seiner Geräte. Microsoft zeigt im TechNet, wie sich in Windows-Unternehmensumgebungen USB-Geräte kontrollieren lassen, um etwa die Installation unbekannter Geräte zu unterbinden. Das ist eine gute Maßnahme um beispielsweise öffentlich zugängliche Systeme zu sichern.

Kritiker der Attacke merken an, dass bei einem physikalischen Zugriff auf das Gerät sowieso keine Sicherheitsmaßnahme mehr greift. Das stimmt grundsätzlich, allerdings arbeitet PoisonTap so schnell, dass nur wenige Minuten für eine Infektion reichen - etwa wenn man sein Notebook kurz absperrt und auf die Toilette geht. Gerade mobile Rechner, die meist im Standby und nicht abgeschaltet sind, oder öffentlich zugängliche Systeme sind für PoisonTap extrem anfällig.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44386019 / Malware)