Was machen Sie mit einem USB-Stick, den Sie auf der Straße finden? Wenn Ihnen die Grundregeln der IT-Sicherheit bekannt sind, dann stecken Sie den USB-Stick natürlich nicht in die Buchse Ihres Notebooks. Da könnte nämlich einiges schief gehen:

• Vielleicht handelt es sich nicht um einen USB-Stick sondern um ein Gerät, das sich zuerst auflädt und dann über einen Stromstoß Ihren Computer zerstört (siehe https://usbkill.com).
• Oder, nicht ganz so schlimm, das Gerät ist ein Hacking-Device, das zwar wie ein USB-Stick aussieht, sich in Wirklichkeit aber als Tastatur ausgibt und sofort beim Anstecken Schad- oder Überwachungs-Software installiert. Es gibt ine ganze Palette derartiger Geräte, z.B. Rubber Ducky oder Digispark.
• Wenn Sie richtiggehend Glück haben, ist Ihr Fund wirklich ein gewöhnlicher USB-Stick. Es könnte aber sein, dass die darauf enthaltenen Dateien Viren oder andere Schad-Software enthalten …

Am sichersten ist es also, das Fundstück — so es keinem Besitzer zuzuordnen ist — zum Elektroschrott zu bringen.

Update 6.9.2019: Text aktualisiert im Hinblick auf die neue, Raspberry-Pi-4-kompatible Version.

CIRCLean

Wenn die Neugier doch siegt, kommt das Projekt CIRCLean des Computer Incident Response Center Luxembourg ins Spiel. Das ist eine winzige Raspberry-Pi-Distribution, die eine simple Aufgabe erfüllt: Nach dem Start des Raspberry Pi werden die Dateien des ersten USB-Sticks (obere Buchse) auf die eines zweiten USB-Sticks (untere Buchse) kopiert. Bei verdächtigen Dateien (Office-Dateien mit Makros, EXE- und BAT-Dateien) wird dabei der Dateiname in DANGEROUS_<ursprünglicher-name>_DANGEROUS geändert. ZIP-Dateien werden ausgepackt, ihr Inhalt wird natürlich ebenfalls überprüft.

Zur Inbetriebnahme laden Sie das CIRCLean-Image von der folgenden Webseite herunter und übertragen es auf eine SD-Karte:

https://www.circl.lu/projects/CIRCLean

Jetzt brauchen Sie nur noch einen alten Raspberry Pi. (Die Modelle 3B+ und 4B werden leider noch nicht unterstützt.)

Seit Ende August 2019 ist Circlean zu allen aktuellenRaspberry-Pi-B-Modellen kompatibel: Die Anwendung von CIRCLean sieht so aus:

• Sie stecken die SD-Karte in den Raspberry Pi, schalten den Rechner aber vorerst noch nicht ein.
• Sie stecken den Quell-USB-Stick in eine der oberen USB-Buchsen.
• Sie stecken den Ziel-USB-Stick in eine der unteren USB-Buchsen. Dieser USB-Stick sollte ein leeres VFAT-Dateisystem enthalten. Das Dateisystem muss genug Platz für alle Dateien der Quelle bieten, wobei Sie berücksichtigen müssen, dass ZIP-Dateien ausgepackt werden.
• Der Raspberry Pi muss weder mit einem Netzwerk noch mit einem Monitor verbunden werden.
• Nun verbinden Sie den Raspberry Pi mit der Stromversorgung.
• CIRCLean bootet, kopiert die Dateien vom Quell- zum Ziel-USB-Stick und fährt den Mini-Computer danach automatisch wieder herunter.

Ohne Monitor ist das Ende des Kopierprozesses schwer zu erkennen. Deswegen werden während des Kopiervorgangs diverse Musikstücke abgespielt. Über einen Lautsprecher oder Kopfhörer mit 3,5mm-Klinkenbuchse können Sie eindeutig feststellen, ob CIRCLean noch arbeitet.

Einschränkungen

Die Grundidee von CIRCLean ist gut, die Implementierung wirkt aber etwas halbherzig.

• Es gibt keine Benutzeroberfläche. Natürlich ist es toll, dass CIRCLean geringe Hardware-Anforderungen stellt. Ordentliche Status-Ausgaben auf einem angeschlossenen Monitor würden aber wesentlich mehr Sicherheit vermitteln.
• CIRCLean läuft aktuell nur mit alten Raspberry-Pi-Modellen.
• Die Überprüfung, ob die Dateien frei von Schad-Software sind, ist rudimentär. Es wird dabei kein Viren-Scanner verwendet. Eine absolute Sicherheit, dass die kopierten Dateien auf dem Ziel-USB-Stick frei von Sicherheitsrisken sind, kann CIRCLean daher nicht geben.
• Bei USB-Sticks mit vielen Dateien ist CIRCLean langsam.

Quellen

• https://www.circl.lu/projects/CIRCLean
• https://github.com/CIRCL/Circlean
• https://github.com/CIRCL/PyCIRCLean/blob/master/filecheck/filecheck.py