stimmt das? arbeite oft mit usb-sticks und wenn das stimmt hab ich ein problem da wir gegenmittel für trojaner entwickeln.
freue mich wenn einer etwas weiss
Schwere Sicherheitslücke: "USB-Sticks sind nicht mehr vertrauenswürdig" http://focusonline.co/1lgtG4
Re: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/1l
stimmt das? arbeite oft mit usb-sticks und wenn das stimmt hab
ich ein problem da wir gegenmittel für trojaner entwickeln.
Gerade kam was über den Ticker. http://www.heise.de/newsticker/meldung/BadUSB-Wenn-U…
Aber wer jetzt hier von wem abgeschrieben hat, weiß ich natürlich nicht.
Und hey… Natürlich sind USB-Sticks nicht vertrauenswürdig. Waren sie noch nie. Wenn du einen verseuchten USB-Stick auf einen Firmenparkplatz legst, dann wird dieser mit höchster Wahrscheinlichkeit an einen der Rechner in dem Netzwerk dieser Firma angesteckt. Angeblich steigt diese Wahrscheinlichkeit sogar noch mit Stellung im Organigramm.
Faktisch kommt etwas schwer überwachbares in dein überwachtes Netz. Und wenn dann noch jemand die Word/PDF-Dokumente aufmacht, dann gehts eventuell richtig rund. Dazu muss der Stick nichtmal Tastatur spielen, sowas geht auch so.
Günther
Re: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/1l
Hi …
stimmt das?
Wohl schon. Danke für den Link (auch wenn er tot ist). Aber was ist denn jetzt *genau* Deine Frage? arbeite oft mit usb-sticks und wenn das stimmt hab
ich ein problem da wir gegenmittel für trojaner entwickeln.
Du arbeitest doch auch regelmäßig mit Tastaturen. Du hast von der Existenz solcher Gerätchen Kenntnis:
http://www.cool-mania.de/spy/spionage-shop/ps2-key-l…
Und auch von den Varianten die nicht nur aufzeichnen, sondern auch senden können, denen die für USB Bus geeignet sind und denen die man als Mini-Platinchen direkt in die Tastatur einpflanzt und die die abgegriffenen Daten per Funk in die Umgebung senden, und die man auch per Funk ansteuern kann.
Solche Stecker könnten theoretisch völlig problemlos genau das tun was man dem manipulierten USB Stick nachsagt: einen Trojaner nachladen und ausführen, die UAC abnicken und kabumm, das System ist infiziert.
Welche Maßnahmen hast Du genau getroffen um Dich oder Deine Kunden gegen solche Manipulationen der Hardware zu schützen?
Will damit sagen: Du hast das Problem schon länger 
Gruss Armin … mehr auf http://w-w-w.ms/a5f5js
Re: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/1l
stimmt das?
Nein, denn „nicht mehr sicher“ suggeriert, USB-Sticks und beliebige andere Wechseldatenträger waren jemals sicher. Waren sie aber nie.
… und wenn das stimmt hab
ich ein problem da wir gegenmittel für trojaner entwickeln.
Muss eine Gruppe von Lehrlingen sein. Sonst ist nur schwer vorstellbar, dass Leute, die sich mit der Abwehr von Trojanern beschäftigen, keinen blassen Schimmer haben, wie Schadsoftware auf Rechner gelangen kann.
Aber ich ahnte ja schon immer, dass mit den Anbietern von Antivirenprogrammen irgendwas nicht stimmt. Vermutlich sind genau das die Leute, die Schadsoftware in Umlauf bringen…
Gruß
Wolfgang
Re^2: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/
Hallo,
stimmt das?
Nein, denn „nicht mehr sicher“ suggeriert, USB-Sticks und
beliebige andere Wechseldatenträger waren jemals sicher. Waren
sie aber nie.
Naja, das neue ist eben die Manipulation des USB-Controllers, der der Hardware des Rechners dann Dinge vormachen kann, die so nicht geplant sind. Das ist schon eine andere Dimension als die Erkenntnis, dass auf USB-Sticks Dateien speicherbar sind die auf genügend depperten Betriebssystemen (Du merkst, ich spreche von Windows) echt blöde Sachen machen können.
Karsten Nohl - das ist der, der das beschrieben hat - ist bestimmt keiner, der mit altem Kaffee versucht, Schaum zu schlagen. Der hat ziemlich viel Plan.
Sebastian
Re^3: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/
Das ist schon eine andere Dimension als
die Erkenntnis, dass auf USB-Sticks Dateien speicherbar sind
Sollte sich aber auf BS-Ebene zumindest bei bereits gestarteten Rechnern recht einfach abwehren lassen, indem jede Aktivierung eines USB-Gerätes eine Zustimmung des Anwenders voraussetzt.
Wenn der Besucher einen vermeintlichen USB-Massenspeicher einsteckt, und ich werde gefragt, ob ich eine neue Tastatur nutzen will, könnte ich vielleicht aufmerksam werden.
Die Anwender mit dutzenden Nachfragen zu nerven und an konsequentes gedankenloses Abnicken zu gewöhnen, ist eh schon lange das Hauptmerkmal des Windows-Sicherheitskonzepts. Da könnten sich Linux u. a. ruhig ein paar Scheibchen abschneiden, ohne dass die Windows-User einen Verlust bemerkten.
Gruß
Re^3: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/
Hallo Sebastian,
vorab:
USB-Sticks, SD-Karten und externe Festplatten waren schon immer ein mehr als potentielles Sicherheitsrisiko. Als ich mal einige hundert XP-Rechner in einer Bildungseinrichtung betreut habe, endete es damit, daß nur noch hauseigene USB-Sticks mit registrierten IDs genutzt werden konnten. Gab aber viel Geschrei.
Neu ist - wie von dir richtig beschrieben - die Möglichkeit, den Controller des Sticks ohne die Notwendigkeit mechanischer Eingriffe manipulieren zu können.
Mittels mechanischer Eingriffe funktioniert dies bereits seit längerem. So können sich Arduino-Mikrokontroller der neueren Generation wie z.B. der Leonardo oder Yün seit längerem als HID (Tastatur, Maus …) ausgeben.
M.E. läßt sich dieses unter Linux über die UDEV-Regeln
http://de.wikipedia.org/wiki/Udev
unterbinden. Zugelassen werden eben nur bekannte Devices. Ähnliches sollte - keine Ahnung! - auch unter aktuellen Windowssystemen möglich sein.
Nach meinen konkreten Erfahrungen allerdings wird es eine kleine Ewigkeit dauern, bevor dieses in der Praxis umgesetzt wird. Und dies gilt sowohl für Unternehmen als auch den klassischen Benutzer.
Allein widersprechen solche Sicherheitsmaßnahmen den Erwartungen der meisten Benutzer („Ich kopiere dir mal eben die Fotos auf den Stick“).
Grüße
fribbe
Re: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/1l
Ja, das ist sehr bedenklich.
Der Spruch, das USB-Sticks noch nie sicher waren, ist natürlich Unfug. Jeder Systemadministrator, der was auf sich hält, deaktiviert auf seinen Schützlingen sämtliche Autostart-Mechanismen für USB-Sticks und optische Laufwerke, damit sind infizierte Sticks nur noch bei manuellem Start der Schadsoftware gefährlich - was USB-Sticks genauso gefährlich oder ungefährlich wie jedes andere Speichermedium einschließlich Internetzugang oder email macht.
Schutz davor gibt es nur, wenn man den Benutzer komplett auf Word und Excel einschränkt.
Diese Sticks setzen nun eine Ebene tiefer an, so das abgeschalteter Autostart kein Schutz mehr ist. Auf der anderen Seite fällt mir aber ehrlich gesagt kein Szenario ein, bei der ein Stick, der sich beispielsweise als Tastatur anmeldet, irgendeinen Schaden anrichten kann. Schließlich führt jede simulierte Tastatureingabe i.A. zu irgendeiner Art Feedback am Monitor…
Daher nehm ich diese Nachricht erst mal nur zur Kenntnis, ohne mir irgendwelche Sorgen zu machen. Zugegebenermaßen besteht in unserer Firma auch kein nennenswertes Bedrohungpotential - wenn ich in einer Bank, beim Militär oder einer wichtigen Versorgungseinrichtung arbeiten würde… Ja, dann würd ich auch sicherheitshalber die Heißklebepistole anwärmen…
lg, mabuse
Re^2: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/
Hallo,
zu:
„Schließlich führt jede simulierte Tastatureingabe i.A. zu irgendeiner Art Feedback am Monitor.“
Bist du dir diesbezüglich sicher?
Grüße
fribbe
Re^2: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/
Hallo mabuse,
Diese Sticks setzen nun eine Ebene tiefer an, so das
abgeschalteter Autostart kein Schutz mehr ist. Auf der anderen
Seite fällt mir aber ehrlich gesagt kein Szenario ein, bei der
ein Stick, der sich beispielsweise als Tastatur anmeldet,
irgendeinen Schaden anrichten kann. Schließlich führt jede
simulierte Tastatureingabe i.A. zu irgendeiner Art Feedback am
Monitor…
Du solltest mal auf deinem Rechner nachsehen, welche Geräte sich als HID anmelden!
HID ist einfach nur das am besten dokumentierte Modell, dieses wird in fast jedem Beispiel verwendet.
Es ist ein Irrglaube, dass HID immer nur Tastaturen und Mäuse sind.
Falls ein entsprechender Bug vorliegt, ist z.B. der selbe Mechanismus wie bei SASSER denkbar.
Der USB-Sick gaugelt das entsprechende Gerät vor.
Das Betriebssystem ladet den entsprechenden Gerätetreiber.
Das USB-Gerät löst einen Buffer Overrun aus und installiert dabei seine Malware …
MfG Peter(TOO)
Re^2: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/
Schließlich führt jede
simulierte Tastatureingabe i.A. zu irgendeiner Art Feedback am
Monitor…
Toll. Dann stehst du daneben und siehst zu, wie eine shell öffnet, ein ftp-Kommando ausgeführt wird und anschließend das heruntergeladene Progrämmelcher startet.
Genaugenommen siehst du eigentlich nur ein schwarzes Fenster kurz aufpoppen, denn der Download per ftp geschieht wahrscheinlich so rasch, dass du keine Chance hast, den durchflitzenden Text zu entziffern. Und dann musst du schon arg paranoid oder sehr abgebrüht sein, um in diesem Vorgang etwas potentiell bösartiges zu erkennen.
Gruß
Re^3: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/
Genaugenommen siehst du eigentlich nur ein schwarzes Fenster kurz aufpoppen, denn der Download per ftp geschieht wahrscheinlich so rasch, dass du keine Chance hast, den durchflitzenden Text zu entziffern. Und dann musst du schon arg paranoid oder sehr abgebrüht sein, um in diesem Vorgang etwas potentiell bösartiges zu erkennen.
Bin ich bei jeder Aktivität auf meinem Rechner, die ich nicht veranlasst habe - aus leidvoller Erfahrung.
Und ganz ehrlich: Jeder, der bei sowas nicht misstrauisch wird (speziell unmittelbar nach den Einstecken eines USB-Sticks oder dergleichen!), der hat nichts besseres verdient.
Und gerade wegen diesem Szenario schalte ich bei allen den Autostart von USB grundsätzlich ab - weshalb ich in diesen neuen Sticks ja eine neue Dimesion der Bedrohung sehe.
lg, mabuse
Re^3: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/
Hallo Peter!
Du solltest mal auf deinem Rechner nachsehen, welche Geräte sich als HID anmelden!
Naja, Graphik-Tablett, Joysticks, Gamepad… alles keine Geräte, die in der Lage sind (sein sollten!), das Betriebssystem zu irgendwelchen fragwürdigen Aktionen zu bewegen.
HID ist einfach nur das am besten dokumentierte Modell, dieses wird in fast jedem Beispiel verwendet.
Tja, was gibt es denn sonst noch so?
Modems, Handys, Sat-Reciever… alles Geräte, die normalerweise keine Kommandos an’s Betriebssystem absetzen (können sollen dürften). Diese Geräte können bestenfalls mit Ihrem Treiber kommunizieren - der aber zunächstmal noch nicht vorhanden ist.
Der USB-Sick gaugelt das entsprechende Gerät vor.
Das Betriebssystem ladet den entsprechenden Gerätetreiber.
Ich hab es noch nie erlebt, das das Betriebssystem von sich aus ohne Interaktion mit dem User einen Treiber lädt! bzw. ausschließlich die bei Windows vorhandenen Standard-Treiber, die zunächst mal unverdächtig sein sollten und keine Schadsoftware nachladen.
Bei allen anderen Geräten fragt Windows immer nach dem Speicherort des Treibers (bzw. der CD) - von wo soll der Treiber denn auch geladen werden?
Nein, wenn überhaupt, sehe ich nur von vorgegaukelten Tastaturen ein denkbare Gefahr ausgehen, da dies das einzige Gerät, das a) einen Standardtreiber innerhalb Windows hat, der automatisch verwendet wird und gleichzeitg b) das einzige Gerät ist, das sinnvolle und situations-/desktopunabhängige Befehle ans Betriebssystem senden kann.
Und was andere Treiber angeht: die müssen a) immer noch aktiv geladen werden und b) verlangen vor allen für die Installation nach administrativen Rechten. Die ein Benutzer auf einem ordentlichen System nicht hat (haben sollte) oder die auf den neueren Systemen erst mal abgefragt werden.
Damit bleibt effektiv nur die Tastatur. Wenn du anderer Meinung bist, dann illustriere diese mit einem konstruierten Beispiel.
lg, mabuse
Re^3: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/
Hei!
„Schließlich führt jede simulierte Tastatureingabe i.A. zu irgendeiner Art Feedback am Monitor.“
Bist du dir diesbezüglich sicher?
Eigentlich schon.
Zumindest kann ich mir kein Kommando denken, das ohne sichtbare Aktion auskommt und gleichzeitig Schad-Potential aufweist.
Klar, man kann Screenshots machen, das passiert ohne Userfeedback - hat aber irgendwie auch kein Potential, irgendwelchen Schaden anzurichten.
Offengesagt halte ich das von hermann skzzierte Szenario, bei dem eine getarnte USB-Tastatur über die Kommandozeile mit ftpget Schadsoftware nachgelädt, überhaupt für das einzige halbwegs konkrete Bedrohungs-Szenario.
lg, mabuse
Re^4: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/
Hallo mabuse,
HID ist einfach nur das am besten dokumentierte Modell, dieses wird in fast jedem Beispiel verwendet.
Tja, was gibt es denn sonst noch so?
Modems, Handys, Sat-Reciever… alles Geräte, die
http://www.usb.org/developers/defined_class
Theoretisch sind 256 Klassen möglich, welche wiederum Unterklassen besitzen.
Für die Standardklassen sollte das Betriebssystem eine Standardtreiber haben.
(Das ist dann auch das Problem, wenn man ein neues Geräte erst ansteckt und dann erst die Treiber lädt. Windows hat dann schon den Standard-Treiber für dieses Gerät installiert und weigert sich, freiwillig den passenderen Treiber zu nehmen…)
Der USB-Sick gaugelt das entsprechende Gerät vor.
Das Betriebssystem ladet den entsprechenden Gerätetreiber.Ich hab es noch nie erlebt, das das Betriebssystem von sich
aus ohne Interaktion mit dem User einen Treiber lädt! bzw.
ausschließlich die bei Windows vorhandenen Standard-Treiber,
die zunächst mal unverdächtig sein sollten und keine
Schadsoftware nachladen.
SASSER nutze auch ein Lücke bei einem Standard-Windows Dienst. Netterweise wurde dieser sogar automatisch bei jeder Windows-Installation aktiviert.
Damit bleibt effektiv nur die Tastatur. Wenn du anderer
Meinung bist, dann illustriere diese mit einem konstruierten
Beispiel.
USB ist dazu gedacht, ALLES was an den PC angeschlossen werden kann zu verwalten, also von der Tastatur bis zum Kaffeetassenwärmer. Was jetzt unter Windows alles als Standardtreiber mitgegeben wird, abliegt einzig und allein MicroSoft.
MS hatte schon viele „gute Ideen“, welche dann Scheunentore für Malware geöffnet haben. z.B. ActiveDesktop bei Windows 95. Da wurde eine HTML-Schicht über den Desktop gelegt. Eigentlich eine gute Idee um kleine Webseiten auf den Desktop zu legen. Um jetzt auch noch die Automatisierung zu ermöglichen, wurde die HTML-Norm so erweitert, dass man direkten Zugriff aufs Betriebssystem hatte.
Diesen Zugriff hatte dann aber jeder, welcher HTML verwendete, also auch schon Emails und eigentlich jede Webseite …
Ich weiss nicht was MS schon alles im USB eingebaut hat, was als „Erweiterung der USB-Norm“ betrachtet werden muss oder was da noch an „guten Ideen“ kommen wird.
MfG Peter(TOO)
Re^5: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/
Hei Peter,
Theoretisch sind 256 Klassen möglich, welche wiederum Unterklassen besitzen.
Für die Standardklassen sollte das Betriebssystem eine Standardtreiber haben.
Ja, aber wenn ich mir die Standard-Klassen so ansehe… Soundkarten machen beispielsweise keine Eingaben…
SASSER nutze auch ein Lücke bei einem Standard-Windows Dienst.
Ja, aber wenn es eine solche Lücke beim Treiber-Installationsdienst gäbe, dann dürfte der breits längst ausgenutzt worden sein. Gibt ja genug Seiten, die Treiber aller Art vorrätig halten.
Netterweise wurde dieser sogar automatisch bei jeder Windows-Installation aktiviert.
Sasser? Nein.
Der kam erst rein, wenn man sich mit dem Internet verbunden hatte - was ja auch jeder wegen der automatischen Updates getan hat.
Aber jeder, der hinter einem Router saß, hatte mit Sasser kein Problem - weils die entsprechende Weiterleitung auf den offenen Systemdienst nicht gibt.
USB ist dazu gedacht, ALLES was an den PC angeschlossen werden kann zu verwalten, also von der Tastatur bis zum Kaffeetassenwärmer. Was jetzt unter Windows alles als Standardtreiber mitgegeben wird, abliegt einzig und allein MicroSoft.
Da geb ich dir recht - aber abgesehen von der Tastatur seh ich kein Gerät, das in der Lage wäre, Kommandos ans Betriebssystem abzusetzen. Dafür wäre jetzt noch eine massive Sicherheitslücke in einem der Standard-Gerätetreiber erforderlich.
MS hatte schon viele „gute Ideen“, welche dann Scheunentore für Malware geöffnet haben.
Ja, da geb ich dir recht.
Ein wenig Sorgen bereit mir ehrlich gesagt die Geräteklasse „Diagnostic Device“. Solche Geräte können mit entsprechenden Treiber theoretisch die volle Kontrolle über den Rechner übernehmen.
Aber solange da nicht wenigstens im Laborversuch tatsächlich ein modifizierter Stick irgendeine Art von kritischer Manipulation am Rechner vornimmt, halte ich diese „Sicherheitslücke“ doch eher für konstruiert.
Naja, abwarten…
lg, mabuse
Re^6: Schwere Sicherheitslücke: ‚USB-Sticks sind nicht mehr vertrauenswürdig‘ http://focusonline.co/
Hallo mabuse,
Kann es sein, dass du von USB recht wenig Ahnung hast?
Der Aufbau entspricht dem OSI-Modell und ähnelt deshalb dem, was man vom Netzwerk-Treiber kennt.
Zuunterst sind die Hardwaretreiber für die verwendeten Chips, diese kommen entweder von Chip-Hersteller oder vom Hersteller des Mainboards/Steckkarte.
Diese haben die Aufgabe eine von der Hardware unabhängige einheitlich Schnittstelle (API) bereit zu stellen.
Darauf setzt dann der Protokoll-Handler und andere Verwaltungs-Programme auf.
Diese Teile kommen normalerweise vom Betriebssystem-Hersteller.
Die Geräte-Treiber werden im obigen Teil eingebunden und über das USB-Protokoll wird eine Punkt zu Punkt-Verbindung zwischen Gerät und dessen Treiber hergestellt.
Diese Treiber kommen dann vom Hersteller des Peripheriegerätes.
Die Geräte-Treiber werden wiederum nicht direkt angesteuert sondern über ein API, welches das das USB-System liefert.
Laut Norm ist der Betriebssystem-Hersteller gehalten, für Standard-Geräte auch die entsprechenden Standard-Treiber bereit zu stellen, welche dann aber vom Herstellerspezifischen Geräte-Treiber ersetzt werden können.
Hinzu kommt noch, dass Jedes Peripheriegerät eine, weltweit einmalige, ID aus der Hersteller- und Gerätetyp-Nummer besitzt, welche zur Zuteilung des Geräte-Treibers dient. Weiterhin sind noch weitere Merkmale vorgesehen (Seriennummer, Version usw.) vorgesehen, welche zusätzlich zur Treiberzuteilung verwendet werden können.
Ob dein USB-System nun Sicher ist oder nicht, kann sich schon beim nächsten Update ändern.
SASSER habe ich angeführt, weil der über einen Buffer-Overflow einfach den Treiber überschrieben hat. Die Funktion des Treibers hat nach dieser Modifikation genau gar nichts mehr mit seiner ursprünglichen Funktion zu tun.
Selbiges gilt nun aber auch für USB. Dabei spielt es dann keine Rolle ob sich das USB-Gerät als HID zu erkennen gibt oder nicht! Dann werden aus dem USB-System irgendwelche Funktionen direkt aufgerufen …
HID ist nur für den Benutzer unverfänglicher.
HID hat er ja (Tastatur, Maus) und wenn sich nach dem Einstecken eines USB-Sticks da was regt, denkt er entweder hat er eine Wackelkontakt oder das USB-System kam durcheinander, hat eigentlich jeder schon mal erlebt.
Zudem kommt beim HID-Standardtreiber für die Tastatur, bei Windows, nur eine Benachrichtigung, dass eine Gerät gefunden wurde und nicht das Prozedere für eine Treiberinstallation.
Der Tastatur-Standardtreiber muss zwangsweise bei der Installation des Betriebssystem installiert werden, andernfalls wären gar keine Eingaben möglich und somit auch nicht die Installation eines spezifischen Tastaturtreibers!
MfG Peter(TOO)