Malduino – Finger weg von unbekannten USB-Sticks!
Viele schützen sich mit Antivirenprogrammen vor diversen Gefahren, die unseren Computer betreffen könnten. Dennoch macht sich fast niemand Gedanken beim Anstecken von unbekannten USB-Sticks. In diesem Review berichten wir über einen programmierbaren USB-Stick namens Malduino, der weit mehr kann, als Daten zu speichern.
Der Malduino ist ein USB betriebener Mikrocontroller, der sich beim Anstecken als herkömmliche USB-Tastatur ausgibt und vordefinierte Zeichenfolgen eingibt. Der USB-Stick kommt in zwei Varianten: Lite und Elite. Wir haben die Elite Version zum Testen erhalten. Der Unterschied zwischen den Versionen liegt darin, dass der Malduino Lite lediglich ein Script speichern, während der Elite Stick mit einer Micro-SD Karte verwendet werden kann. So lassen sich auf dem Malduino Elite insgesamt 16 unterschiedliche Scripts speichern.
Aussehen und Verarbeitung
Wir haben den Mikrocontroller in einem schlichten Kuvert aus England ohne jegliche Verpackung erhalten. Dieser sieht alles andere als ein herkömlicher USB-Stick aus. Eine Platine, USB-Stecker, Wiederstände, Transistoren und offene Lötstellen versehen das Gerät von allen Seiten. Auf den ersten Blick würde kaum jemand so ein Gerät freiwillig an den Computer anschließen. Doch das ist auch nicht der eigentliche Sinn und Zweck des Malduinos. Die Zielgruppe sind Programmierer, Systemadministratoren und ethische Hacker.
Das Gerät ist ungefähr so groß wie ein USB-Stick und kann eine MicroSD-Karte aufnehmen.
Installation
Der Mikrocontroller wird mit der Arduino Software programmiert, die weltweit bekannt ist und für die meisten Mikrocontroller verwendet wird. Sobald eine externe URL mit den Details für den Malduino hinzugefügt wurde, kann man mit dem eigentlichen Programmieren beginnen. Wobei dazugesagt werden muss, dass das Wort „programmieren“ leicht übertrieben ist. Das Gerät interpretiert eine Sprache namens DuckyScript, welche kinderleicht zu verstehen ist und keinerlei Probleme bereiten sollte.
Mit der Arduino Software können Programme geschrieben und auf Mikrocontroller hochgeladen werden.
Malduino Elite und die MicroSD-Karte
Der Malduino Elite muss nur einmal mit der Arduino Software programmiert werden, denn die eigentlichen Zeichenfolgen werden auf der MicroSD-Karte gespeichert. Die Namensgebung der Zeichenfolgen bzw. der Textdateien hat eine besondere Bedeutung. Der Malduino Elite hat vier einfache Schalter und die Dateinamen bestehen aus jeweils vier Ziffern (1 oder 0) – je nachdem, in welcher Position sich die Schalter befinden sollen. Sind die Schalter also beispielsweise in der Position 0001, so wird vom Malduino die Textdatei mit dem Namen 0001.txt gelesen.
Die Namensgebung der Dateien ist eigenartig, aber sehr leicht zu verstehen.
Alles eingerichtet: Und jetzt?
Bei unserer Recherche waren wir erstaunt, was sich alles mit Tastaturbefehlen bewerkstelligen lässt. Der wahrscheinlich praktischste Befehl in DuckyScript lautet „GUI r“ – sprich: Windows-Taste und „r“. Damit lässt sich das in Windows bekannte „Ausführen…“-Fenster öffnen und auch die Eingabeaufforderung. Wer einige Zeit mit der Eingabeaufforderung verbracht hat, weiß, welche Macht dahintersteckt. Mit dem Malduino kann man den Desktophintergrund ändern, Dateien erstellen, Einstellungen verändern und Programme schließen. Doch dies sind nur die harmlosen Fähigkeiten des Mikrocontrollers. Es ist unter anderem auch möglich, Passwörter zu stehlen, einem Hacker vollen Zugriff zum PC zu gewähren, endlose Fenster zu öffnen, um den Computer einzufrieren und noch vieles mehr.
Beispiel: „Windows Auslogger“
Nicht überzeugt? Diese drei Zeilen werden den Computer alle 15 Minuten sperren, bis der Malduino wieder abgesteckt ist:
DEFAULT_DELAY 900000
GUI l
REPEAT 5000
Der Befehl Windows-Taste+L wird 5000 Mal mit einer Verzögerung von jeweils 15 Minuten ausgeführt. So ist es mit nur drei Zeilen möglich, einer bestimmten Person den ganzen Tag auf die Nerven zu gehen. Weitere DuckyScripts könnt ihr auf der Github Seite von hak5darren sehen.
Die Gefahren
Das Internet ist überflutet von verschiedensten Scripts, die mit dem Malduino kompatibel sind. Hier ist jedoch Vorsicht besonders wichtig. Einige Scripts laden eigene Batch-Programme runter und installieren sie auf dem betroffenen PC. Diese sind oft so eingestellt, dass sie meistens im Hintergrund laufen und beim Systemstart ebenfalls starten. Wer also bei verschiedenen Experimenten mit dem Malduino einen Fehler macht, riskiert seine eigene Daten oder sogar den Zugang zum eigenen PC. Einfaches Copy & Paste, welches wir vielleicht aus der Schulzeit kennen, erfährt spätestens hier seine Grenzen.
Dieses MacBook hat kein Display. Ich verwende es täglich ausschließlich mit einem externen Monitor!
Fazit: Ein Spielzeug, ein Werkzeug und eine Waffe in einem!
Ursprünglich hatte ich vor, mit dem Malduino das Aufsetzen einiger Samsung-Smartphones zu automatisieren. Leider haben die Samsung-Smartphones (großteils Xcover 2 und 3) keine Unterstützung für USB-OTG und konnten den Malduino nicht als Eingabegerät erkennen. Dennoch ist die Menge an interessanten Projekten, die man mit dem Gadget verwirklichen kann, enorm. Mit etwas Geduld, Glück und Kreativität können mit dem Malduino erstaunliche Abläufe entstehen. Der Preis von rund 15€ für die Lite und 28€ für die Elite Version liegt in derselben Preisklasse, wie andere Arduino Mikrocontroller, jedoch sind beide weit billiger als der RubberDucky (39€). Und selbst wenn man im Alltag den Malduino nicht unbedingt braucht: Die praktischen Tastaturkürzel, die man bei der Suche nach interessanten Skripts findet, bleiben in Erinnerung.
Transparenz ist uns wichtig. Deshalb möchten wir euch nicht vorenthalten, dass uns das Testgerät freundlicherweise von Seytonic zur Verfügung gestellt wurde. Wir möchten ausdrücklich darauf hinweisen, dass dieser Umstand selbstverständlich keinerlei Auswirkung auf unser Testergebnis hat. Bei APPkosmos.de liest Du keine gekauften Texte, sondern immer die ehrliche Meinung unserer Autoren. Das liegt uns sehr am Herzen.