2017 zeichnete das BKA 86.000 Fälle von Cyberkriminalität auf. 2015 belief sich diese Zahl mit 45.000 auf fast die Hälfte. Ein großer Teil dieser Vorfälle läuft auf Computerbetrug zurück. Nichtsdestotrotz sind besonders größere Unternehmen ein beliebtes Ziel für Hackerangriffe. Sogenannte Ransomware, die das Opfer mittels eines Trojaners auf seinem PC erpresst, kostete Unternehmen weltweit alleine im Jahr 2017 mehr als 8 Milliarden US-Dollar. Zu nennen ist hier insbesondere der “WannaCry”-Virus, der weltweit Unternehmen wie Renault, Nissan, die deutsche Bahn oder auch Behörden wie das rumänische Außenministerium betraf. Warum Hackerangriffe dermaßen gefährlich sind, zeigt der Fall Logitech.
Das Problem
Die Pentesting-Firma SySS (Partner in der Allianz Cybersicherheit des Bundes) fand heraus, dass die Powerpoint Presenter “R400”, “R700” und “R800” von Logitech angreifbar sind und einen direkten Zugriff auf den mit ihm verbundenen Rechner erlauben.
Pentesting (kurz für Penetrationstesting) beschreibt eine Praxis in der IT-Sicherheitsbranche, bei der gezielt versucht wird mit Mitteln und Methoden, die ein Hacker verwenden würde, in bestimmte Rechner und Netzwerke einzudringen.
SySS stellt dar, wie man in wenigen Sekunden mit nur 35€ und wenig Kenntnissen auf dem Gebiet IT den Rechner einer den Presenter verwendenden Person übernehmen kann.
Der Presenter ist üblicherweise durch einen USB-Funkempfänger (Dongle) mit dem entsprechenden Rechner auf einer 2,4 GHz-Funkfrequenz verbunden. Ist die Verbindung einmal hergestellt, kann man per Knopfdruck dem Rechner unverschlüsselt den Befehl “Folie auf” und “Folie ab” erteilen, um die Powerpoint-Präsentation zu steuern. Diese Kommunikationsform wird erlaubt durch einen beliebten Kommunikations-Chip, auch Chip Transceiver, (nRF24LU1+) der in beiden Geräten verbaut ist.
Der nRF24-Chip von der Firma Nordic Semiconductor findet sich in vielen Geräten wieder. Zum Beispiel auch in dem Funkstick “Crazyradio PA” von Bitcraze, der für 35€ frei erhältlich ist und ursprünglich für die Fernsteuerung eines Oktokopters konzipiert wurde. Der Crazyradio PA sollte eigentlich mittels eines integrierten Verstärkers eine sichere Kommunikation zwischen Bodensteuerung und Flugobjekt gewährleisten.
Nun kann man den Crazyradio aber auch mit einer alternativen Firmware (ein Beispiel wäre das eigens von SySS entwickelte Python-Skript) bespielen, um auf eine andere Kommunikation zwischen zwei nRF24-Chips zuzugreifen. Dies gelingt bei dem Logitech Presenter leicht, da hier die Befehle unverschlüsselt übermittelt werden. Mit einer Replay Funktion kann ein übermittelter Befehl erkannt und von dem Crazyradio PA wiederholt und an den USB-Empfänger am Rechner (erneut) erteilt werden.
Auswirkungen des Problems
Jetzt kann der Hacker (oder Pentester) durch die Wiederholung des Befehls “Folie auf” die Präsentation effektiv sabotieren. Hier beginnt das Potenzial des Angriffs aber erst.
Logitech installierte nicht nur die Software für die Befehle der Tasten, die tatsächlich auf dem Presenter vorhanden sind, sondern auch die gesamte Tastatursoftware des Rechners auf den USB-Empfänger. Der USB-Empfänger mimt sozusagen eine Tastatur auf der sämtliche mögliche Eingaben vorgenommen werden können. Für den Presenter an sich ist diese Funktion erstmal egal, denn er hat nur die Möglichkeit der beiden Pfeiltasten. Gibt man sich aber als Presenter aus (mithilfe des umprogrammierten Crazyradio PA), kann man dem USB-Empfänger einen Eingabebefehl erteilen, wie zum Beispiel “Drücke die Windowstaste”. Dann würde sich in der Präsentation das Windowsmenü öffnen.
Besonders relevant ist dieses Problem, weil man mittels der Tastatur die Powershell öffnen kann. Sie ist das Systemverwaltungs- und Konfigurationstool von Microsoft.
Hier wird der Rechner über die Eingabe von verschiedenen Programmcodes gesteuert. Einen solchen Code, der den Rechner mit einem Trojaner übernehmen kann, kann man nach kurzer Recherche zum Kopieren im Internet finden.
Ab hier stehen dem Hacker alle Möglichkeiten offen; er kann eine schon erwähnte Ransomware hochladen, um den Nutzer zu erpressen. Er kann Spyware installieren, die ohne das Wissen des Nutzers vertrauliche Daten aufzeichnet, DDoS (Distributed Denial of Service) Angriffe starten, um den Rechner lahmzulegen oder die Rechner illegal zum Cryptominen nutzen.
Je nach dem Präsentierenden kann man so also auf große Unternehmen, Behörden oder auch nur auf die privaten Daten Einzelner zugreifen.
Wie geht es weiter?
Gegenüber dem Computermagazin c’t äußerte sich Logitech nun zu der Sicherheitslücke und räumte ein, dass auch das Modell R800 betroffen ist. Das Unternehmen rät sicherheitsbedachten Nutzern, den USB-Empfänger nur während einer andauernden Präsentation mit dem Presenter verbunden zu lassen.
Zur Sicherheit während der Präsentation, trägt dieser Hinweis allerdings nicht bei.
Logitech bietet Kunden aber an, beim Kundenservice den angreifbaren USB-Empfänger gegen einen wohl sicheren Empfänger auszutauschen.
Verwunderlich an dem ganzen Problem ist, dass es bereits länger bekannt war. SySS kannte die Unsicherheit des Modells R400 schon seit 2016.
Der IT-Sicherheitsexperte Niels Teusink aus den Niederlanden erkannte das Problem sogar schon 2010 und veröffentlichte seine Ergebnisse sowohl in seinem Blog als auch auf einer Sicherheitskonferenz (Hack in the Box). Die oben genannte Reaktion von Logitech erfolgte erst am 17.06.2019.
Ein Grund dafür ist sicherlich, dass der nRF24-Chip, der das Ganze erst ermöglicht, einen sehr beliebten Kommunikations-Chip darstellt. Er ist in vielen alltäglichen Geräten wie zum Beispiel Funkmäusen, Fernbedienungen oder Barcode-Scannern eingebaut und genau wie der Crazyradio PA völlig legal. Es ist aber nun mal so, dass Legalität nicht vor Missbrauch schützt.
Fazit
Das Problem zeigt uns, wie leicht es für Hacker teilweise ist, mit verhältnismäßig wenig Aufwand viel Schaden anzurichten.
Es fällt auch auf welche Fehler Logitech machte. Auf dem Presenter wurde einfach eine komplette Tastatursoftware installiert, die Verbindung zwischen Presenter und USB-Empfänger wurde nicht ausreichend geschützt und auf die Aufdeckung dieses Problems wurde lange nicht reagiert.
Jeder dieser Fehler lässt sich am Ende auf wirtschaftliche Erwägungen zurückführen. So hätte man eigens für den Presenter ein aufwendiges neues Programm schreiben müssen, anstatt das schon existierende Programm für Tastaturen zu benutzen.
Es bleibt weiterhin der Zukunft überlassen, ob das von Logitech angebotene Austauschen der USB-Empfänger das Problem beseitigt oder ob es Hackern gelingt eine neue Schwachstelle in einer digitalisierten Welt zu finden.
Quellen:
https://www.heise.de/security/meldung/Logitech-Wireless-Presenter-ueber-Funk-angreifbar-4370489.html?hg=1&hgi=2&hgf=false (zuletzt abgerufen am 01.07.2019)
https://www.heise.de/ct/artikel/Hacking-Gadgets-c-t-testet-die-Tools-der-Hacker-4349612.html (zuletzt abgerufen am 01.07.2019)
http://blog.teusink.net/2010/07/hacking-wireless-presenters-with.html (zuletzt abgerufen am 01.07.2019)
https://www.manager-magazin.de/digitales/it/bka-stellt-bundeslagebild-cybercrime-vor-a-1230442.html (zuletzt abgerufen am 01.07.2019)
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2018.pdf;jsessionid=056D2B64D5739CF79C1E2FA9A32C05CB.1_cid369?__blob=publicationFile&v=6 (zuletzt abgerufen am 01.07.2019)
https://github.com/BastilleResearch/nrf-research-firmware (zuletzt abgerufen am 01.07.2019)
https://www.heise.de/security/meldung/Angreifbare-Logitech-Presenter-Hersteller-tauscht-gefaehrliche-USB-Empfaenger-aus-4423627.html?wt_mc=rss.security.beitrag.atom (zuletzt abgerufen am 01.07.2019)