eitschpi
alpakaflüsterer
|
http://www.salzburg.com/nachrichten...-sticks-115847/Ich hab' da jetzt nicht großartig recherchiert. Ist der Artikel jetzt nur sensationsgeil geschrieben, oder kann das wirklich ein großes Problem sein/werden. Und "diese Lücken können nicht geschlossen werden"? Weiß man sowas nicht schon länger?
|
Master99
verträumter realist
|
|
eitschpi
alpakaflüsterer
|
|
InfiX
she/her
|
naja, im prinzip lässt sich aber sowas sehr sehr leicht unterbinden indem man einfach jedes USB gerät händisch bestätigen muss bevor es sich am system anmelden darf (blöd wenn noch keine tastatur/maus angehängt ist  ), doof ists natürlich trotzdem und für den 0815-user bringt das dann auch ned soviel. aber ja ich hab sowas iirc auch schonmal vor jahren gesehen.
|
ThMb
JO FRLY
|
Hatte erst diese Woche in der Arbeit einen solchen Fall. Trojaner per privatem USB-Stick oder Handy eingeschleust. Kaspersky wurde sofort ausgehebelt (alle Dienste wurden abgeschaltet ohne zutun des Users) und im Windows funktionierte kein USB Gerät mehr. Gefunden hab ich den Trojaner schließlich im system32/driver Ordner. Mit Rescue CD beseitigt.
Hatte die letzten Jahre immer wieder solche Fälle bei verschiedenen Kunden. Gerade wenn die Mitarbeiter meinen sie dürfen jeden privaten Datenträger an die Clients anschließen. Kaspersky wurde dabei immer sofort ausgehebelt.
|
issue
Rock and Stone, brother!
|
neu ist das aber bei weitem nicht. gibt seit einiger zeit den usb rubber ducky. ein usb "stick" der sich als hid geraet meldet und dann kommandos ausfuehrt, die man vorher in einer eigenen scriptsprache geschrieben hat
|
COLOSSUS
AdministratorFrickler
|
Blah blah blah. Katastrophe, Untergang des Abendlandes. Pipifax!
Ein Loesungsansatz der mir innerhalb weniger Minuten einfaellt waere z. B., USB HID-konforme Geraete nur an bestimmten phys. USB-Ports, die in einer expliziten Whitelist stehen, zu erlauben. Ich hab es mir noch nicht im Detail angeschaut, aber unter Linux ist das ziemlich sicher sogar mit gegenwaertig existierenden Bordmitteln (per udev) moeglich. Dann hat man halt nur noch an den ein oder zwei Ports hinten am Case eine Tastatur oder Maus haengen, und das war's. Fuer USB-HIDs an anderen Ports koennte man sich einen Mechanismus wie zum Pairing von Bluetooth-Geraeten ueberlegen, wo bei einem neu eingesteckten HID auf einem anderen, bereits am System "angemeldeten" HID explizit eine Aktion durchfuehren muss, um fuer das neu angesteckte Geraet einen HID-Treiber zu laden.
|
mr.nice.
endlich fertig
|
Also ganz so Pipifax finde ich das nicht,
man braucht aber auch nicht in akute Panik verfallen.
Die Gefahr die von USB-Sticks ausgeht sehe ich als eher gering, modifizierte USB-Keyboard Controller machen mir da schon mehr Sorgen. Die Vorstellung, dass der USB-Controller einer Tastatur als Keylogger missbraucht werden könnte und auf den möglicherweise vorhandenen Onboardspeicher schreibt und über undokumentierte Kommandos ausgelesen werden könnte, das finde ich schon beunruhigend.
|
Hansmaulwurf
u wot m8?
|
Die Gefahr die von USB-Sticks ausgeht sehe ich als eher gering ? Ich hab immer Sticks als Gefahr gesehen, erstens sind sie schnell infiziert weil wenn der Host Viren hat die nicht komplett dämlich sind, versuchen sie sich auf USB-Devices einzunisten. Zweitens sind viele mid/high-profile Attacken über USB-Sticks gerennt (Stuxnet, die infizierten Sticks in Sotschi, ..). Und drittens eben über den Controller am Stick selbst (1+2 sind ja rein softwaretechnisch)
|
ThMb
JO FRLY
|
Das Problem sehe ich am ehesten auf Anwenderseite, zumindest im Business-Umfeld. Obwohl denke ich jeder in einem Unternehmen vorher die Sicherheitsrichtlinien im Umgang mit der EDV unterschreibt gibts nicht viele die das nach ein paar Wochen noch wissen. Für die ists halt dann normal einen USB Stick von daheim mit Musik oder wwi in der Firma anzustecken oder das Handy am USB zu laden. Kritisch wirds halt wenn sie eher wenig KnowHow in der EDV und privat einfach keinen Dunst von Security haben. Da kanns schnell mal passieren, dass so etwas eingeschleust wird.
@mr.nice: aber um die Controller zu modifizieren muss der ja auch erst mal aus der Hand gegeben werden oder meinst das direkt übers Inet am Client darauf geschrieben wird?
|
wacht
pewpew
|
Wie komisch ich oft angschaut wurde als Praktikant weil ich nach internen USB Sticks gfragt hab weil ich meinen privaten nicht am Firmenrechner verwenden wollt.. Buerorechner, Embedded Panels, Laborrechner, Testanlagen... nur rein mitm privaten USB Stick... 
|
mr.nice.
endlich fertig
|
Hansmaulwurf, die Angriffe im industriellen Maßstab, die du beschreibst, waren mit zum damaligen Zeitpunkt unbekannter Malware, deshalb waren diese so erfolgreich.
Hier geht es um Schadprogramme, die nie am Computer selbst, sondern im USB-Gerät laufen.
Wenn ein USB-Stick sich als Tastatur oder Netzwerkkarte ausgibt, dann ist das ziemlich offensichtlich, von daher meine vorherige Aussage. Blöd ist es wenn ein USB-Gerät sich als das ausgibt, was es tatsächlich ist, aber dennoch bösartig sein könnte. Eben z.B. eine USB-Tastatur mit eingebautem Keylogger.
ThMb, Treiber- bzw. Firmware-Updates müssten dafür bereits ausreichend sein, falls es nicht schon ab Werk oder am Transportweg installiert wurde.
|
ThMb
JO FRLY
|
ThMb, Treiber- bzw. Firmware-Updates müssten dafür bereits ausreichend sein, falls es nicht schon ab Werk oder am Transportweg installiert wurde. Ah, ok. Dann sind wir denke ich aber eh wieder beim "Anwenderproblem". Wenn ich dran denke das Leute tlw. ihre Treiber von schwindeligen Seiten anstatt von der Herstellerseite runterladen... 
|
Hansmaulwurf
u wot m8?
|
Hansmaulwurf, die Angriffe im industriellen Maßstab, die du beschreibst, waren mit zum damaligen Zeitpunkt unbekannter Malware, deshalb waren diese so erfolgreich.
Hier geht es um Schadprogramme, die nie am Computer selbst, sondern im USB-Gerät laufen. Das ist mir schon klar. Trotzdem gibts auch genug reine Softwareviren in Consumer-OS die sich sofort auf den USB schmeissen, und von dort verbreiten. Deswegen seh ich durchaus eine Gefahr von "normalen" USB-Sticks abseits der Controller-Manipulation. Besonders bei "bring your own device" die dann an zig Rechnern angeschlossen werden.
Bearbeitet von Hansmaulwurf am 01.08.2014, 10:55
|
Master99
verträumter realist
|
... Dann hat man halt nur noch an den ein oder zwei Ports hinten am Case eine Tastatur oder Maus haengen, und das war's. funktioniert halt nur bei bestimmten gerätetypen. bei laptops oder anderen kleindevices mit 1-2 usb schnitstellen wo man zwangsläufig hubs usw. einsetzen muss oder 3rd party dockingstationen... aber so ein pairing-ansatz wäre sicher eine gute lösung.
|
Anmeldung