CIRCLean USB-Stick-Checker

Was machen Sie mit einem USB-Stick, den Sie auf der Straße finden? Wenn Ihnen die Grundregeln der IT-Sicherheit bekannt sind, dann stecken Sie den USB-Stick natürlich nicht in die Buchse Ihres Notebooks. Da könnte nämlich einiges schief gehen:

  • Vielleicht handelt es sich nicht um einen USB-Stick sondern um ein Gerät, das sich zuerst auflädt und dann über einen Stromstoß Ihren Computer zerstört (siehe https://usbkill.com).
  • Oder, nicht ganz so schlimm, das Gerät ist ein Hacking-Device, das zwar wie ein USB-Stick aussieht, sich in Wirklichkeit aber als Tastatur ausgibt und sofort beim Anstecken Schad- oder Überwachungs-Software installiert. Es gibt ine ganze Palette derartiger Geräte, z.B. Rubber Ducky oder Digispark.
  • Wenn Sie richtiggehend Glück haben, ist Ihr Fund wirklich ein gewöhnlicher USB-Stick. Es könnte aber sein, dass die darauf enthaltenen Dateien Viren oder andere Schad-Software enthalten …

Am sichersten ist es also, das Fundstück — so es keinem Besitzer zuzuordnen ist — zum Elektroschrott zu bringen.

Update 6.9.2019: Text aktualisiert im Hinblick auf die neue, Raspberry-Pi-4-kompatible Version.

CIRCLean

Wenn die Neugier doch siegt, kommt das Projekt CIRCLean des Computer Incident Response Center Luxembourg ins Spiel. Das ist eine winzige Raspberry-Pi-Distribution, die eine simple Aufgabe erfüllt: Nach dem Start des Raspberry Pi werden die Dateien des ersten USB-Sticks (obere Buchse) auf die eines zweiten USB-Sticks (untere Buchse) kopiert. Bei verdächtigen Dateien (Office-Dateien mit Makros, EXE- und BAT-Dateien) wird dabei der Dateiname in DANGEROUS_<ursprünglicher-name>_DANGEROUS geändert. ZIP-Dateien werden ausgepackt, ihr Inhalt wird natürlich ebenfalls überprüft.

Zur Inbetriebnahme laden Sie das CIRCLean-Image von der folgenden Webseite herunter und übertragen es auf eine SD-Karte:

https://www.circl.lu/projects/CIRCLean

Jetzt brauchen Sie nur noch einen alten Raspberry Pi. (Die Modelle 3B+ und 4B werden leider noch nicht unterstützt.)

Seit Ende August 2019 ist Circlean zu allen aktuellenRaspberry-Pi-B-Modellen kompatibel: Die Anwendung von CIRCLean sieht so aus:

  • Sie stecken die SD-Karte in den Raspberry Pi, schalten den Rechner aber vorerst noch nicht ein.
  • Sie stecken den Quell-USB-Stick in eine der oberen USB-Buchsen.
  • Sie stecken den Ziel-USB-Stick in eine der unteren USB-Buchsen. Dieser USB-Stick sollte ein leeres VFAT-Dateisystem enthalten. Das Dateisystem muss genug Platz für alle Dateien der Quelle bieten, wobei Sie berücksichtigen müssen, dass ZIP-Dateien ausgepackt werden.
  • Der Raspberry Pi muss weder mit einem Netzwerk noch mit einem Monitor verbunden werden.
  • Nun verbinden Sie den Raspberry Pi mit der Stromversorgung.
  • CIRCLean bootet, kopiert die Dateien vom Quell- zum Ziel-USB-Stick und fährt den Mini-Computer danach automatisch wieder herunter.
Links das Inhaltsverzeichnis eines USB-Sticks vor der Behandlung durch CIRCLean,
rechts das Inhaltsverzeichnis eines zweiten USB-Sticks mit den von CIRCLean überprüften Dateien

Ohne Monitor ist das Ende des Kopierprozesses schwer zu erkennen. Deswegen werden während des Kopiervorgangs diverse Musikstücke abgespielt. Über einen Lautsprecher oder Kopfhörer mit 3,5mm-Klinkenbuchse können Sie eindeutig feststellen, ob CIRCLean noch arbeitet.

Einschränkungen

Die Grundidee von CIRCLean ist gut, die Implementierung wirkt aber etwas halbherzig.

  • Es gibt keine Benutzeroberfläche. Natürlich ist es toll, dass CIRCLean geringe Hardware-Anforderungen stellt. Ordentliche Status-Ausgaben auf einem angeschlossenen Monitor würden aber wesentlich mehr Sicherheit vermitteln.
  • CIRCLean läuft aktuell nur mit alten Raspberry-Pi-Modellen.
  • Die Überprüfung, ob die Dateien frei von Schad-Software sind, ist rudimentär. Es wird dabei kein Viren-Scanner verwendet. Eine absolute Sicherheit, dass die kopierten Dateien auf dem Ziel-USB-Stick frei von Sicherheitsrisken sind, kann CIRCLean daher nicht geben.
  • Bei USB-Sticks mit vielen Dateien ist CIRCLean langsam.

Quellen

3 Gedanken zu „CIRCLean USB-Stick-Checker“

  1. Zusammenfassung des Beitrags:
    1. Unbekannte USB-Sticks können
    a) physische Schäden auslösen (z. B. Killer-Sticks mit großen Kondensatoren),
    b) ein Hacking-Device sein oder
    c) Schadsoftware beinhalten
    2. CIRCLEAN soll hier helfen, allerdings:
    a) kann es Killer-Sticks nicht vorher erkennen und opfert so den Test-RasPi,
    b) wird es Hacking-Devices nicht unbedingt erkennen, sofern (wie meist) eine Dummy-Datenpartition auch enthalten ist. Es werden die Daten möglicherweise kopiert, der Stick selbst sollte weiterhin nicht in „echte“ Geräte gestekct werden,
    c) ist die Schadsoftware-Erkennung wie oben beschrieben relativ schwachbrüstig – also unzuverlässig.

    Was soll dann das Ganze?
    Scheinlösung für Scheinexperten?

    1. Klar — Circlean ist weder perfekt noch allumfassend — darauf habe ich ja hingewiesen. Aber wenn ein USB-Stick aus unklarer Quelle verwendet werden muss (warum auch immer), dass bietet Circlean zumindest einen Basisschutz. Und ein ggf. defekter Raspberry Pi ist immer noch leichter verschmerzbar als ein kaputter ‚richtiger‘ Rechner.

Kommentare sind geschlossen.