13
USB-Stick Firmware verschlüsseln
Hallo zusammen,
ich plane momentan eine unternehmensweite Lösung zur Sperre von bestimmten USB-Klassen und gleichzeitiger Einführung
von gewhitelisteten, verschlüsselten und manipulationsresistenten USB-Sticks.
Derzeit benutztes OS ist Win 7 Professional 64bit.
Meine Frage ist nun folgende:
Nachdem ich durch Tests sagen kann, dass die USB-Klassen-Sperrung und das Whitelisting funktioniert, sowie die Verschlüsselung
der USB-Sticks-Daten-Partition anhand von BitLocker, benötige ich nun eine Lösung zur Verschlüsselung der Firmware-Partition der USB-Sticks,
sodass die Manipulation der von uns herausgegebenen Sticks enorm erschwert ist und Windows-konform
(ohne Installation von einem Verschlüsselungstool auf jedem zu benutzendem PC) bleibt.
Hätte jemand eine gute Lösung dafür (und damit meine ich nicht, verschlüsselte Sticks zu kaufen... ^^)
Das wäre total klasse...
Danke schonmal im Voraus.
Grüße
ich plane momentan eine unternehmensweite Lösung zur Sperre von bestimmten USB-Klassen und gleichzeitiger Einführung
von gewhitelisteten, verschlüsselten und manipulationsresistenten USB-Sticks.
Derzeit benutztes OS ist Win 7 Professional 64bit.
Meine Frage ist nun folgende:
Nachdem ich durch Tests sagen kann, dass die USB-Klassen-Sperrung und das Whitelisting funktioniert, sowie die Verschlüsselung
der USB-Sticks-Daten-Partition anhand von BitLocker, benötige ich nun eine Lösung zur Verschlüsselung der Firmware-Partition der USB-Sticks,
sodass die Manipulation der von uns herausgegebenen Sticks enorm erschwert ist und Windows-konform
(ohne Installation von einem Verschlüsselungstool auf jedem zu benutzendem PC) bleibt.
Hätte jemand eine gute Lösung dafür (und damit meine ich nicht, verschlüsselte Sticks zu kaufen... ^^)
Das wäre total klasse...
Danke schonmal im Voraus.
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 295629
Url: https://administrator.de/contentid/295629
Printed on: April 23, 2024 at 20:04 o'clock
13 Comments
Latest comment
Ahoi ...
Watt nen Zufall ....
Ich denke das könnte dir einen Ansatz geben > USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht
VG
Watt nen Zufall ....
Ich denke das könnte dir einen Ansatz geben > USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht
VG
Hi ashnod,
danke für die schnelle Antwort.
Hilft mir nur leider in meinem Fall nicht weiter...
Ich möchte USB-Spoofing-Attacken \ Bad-USB Attacken erschweren, bzw. ausschließen.
Und müsste dazu eine Art Schreibsperre auf der Firmware-Partition auf jedem von uns rausgegebenen Stick implementieren.
danke für die schnelle Antwort.
Hilft mir nur leider in meinem Fall nicht weiter...
Ich möchte USB-Spoofing-Attacken \ Bad-USB Attacken erschweren, bzw. ausschließen.
Und müsste dazu eine Art Schreibsperre auf der Firmware-Partition auf jedem von uns rausgegebenen Stick implementieren.
Hallo,
mal ne Blöde Frage
Bei Win 7 Professional 64bit gibt's do kein Bitlocker
mal ne Blöde Frage
Bei Win 7 Professional 64bit gibt's do kein Bitlocker
Hups, falsch gedrückt.
Hi, ja das stimmt, Professional hat kein BitLocker-Tool, kann jedoch mit einem via BitLocker verschlüsselten Stick umgehen.
Hi, ja das stimmt, Professional hat kein BitLocker-Tool, kann jedoch mit einem via BitLocker verschlüsselten Stick umgehen.
Ich muss dumm fragen:
Du redest von einer Firmware-Partition? Also von einer richtigen Partition oder meinst Du die eigentliche Firmware, die einen eigenen Speicherbereich im Controller des jeweiligen Sticks hat?
Wenn letzteres zutrifft, halte ich es für unmöglich, den Zugriff zu verschlüsseln. Einfach deswegen, weil die Firmware binär ladbar sein muss. Es gibt mit Sicherheit Möglichkeiten, den Schreibzugriff zu unterbinden, so dass ein Firmwareupdate unmöglich werden wird, aber Verschlüsseln halte ich in diesem Fall für unmöglich. Es ist ohnehin schon beinahe unmöglich, Zugriff auf diesen Bereich zu erhalten.
Du redest von einer Firmware-Partition? Also von einer richtigen Partition oder meinst Du die eigentliche Firmware, die einen eigenen Speicherbereich im Controller des jeweiligen Sticks hat?
Wenn letzteres zutrifft, halte ich es für unmöglich, den Zugriff zu verschlüsseln. Einfach deswegen, weil die Firmware binär ladbar sein muss. Es gibt mit Sicherheit Möglichkeiten, den Schreibzugriff zu unterbinden, so dass ein Firmwareupdate unmöglich werden wird, aber Verschlüsseln halte ich in diesem Fall für unmöglich. Es ist ohnehin schon beinahe unmöglich, Zugriff auf diesen Bereich zu erhalten.
Ich spreche vom eigenen Speicherbereich.
Ja, die Verschlüsselung halte ich ehrlich gesagt auch nicht für realisierbar...
Es geht mir nur darum: Es darf nicht möglich sein, dass jemand den Stick in irgendeiner Weise manipulieren kann.
(Einen anderen Treiber vorgaukeln und dann Datenverkehr mitschreiben und ggf. weiterschicken o.ä.)
Es gibt USB-Sticks von Kanguru, die sind dagegen abgesichert (ich gehe stark von Schreibschutz auf dem Firmware-Speicherbereich aus) und sind on Top noch verschlüsselt.
Daher die Frage, ob man nicht, um Geld zu sparen diesen Schreibschutz selbst implementieren kann oder eine sichere Firmware installieren,
bzw. ob jemand einen Hinweis dazu hat wie man das umsetzen könnte.
Ja, die Verschlüsselung halte ich ehrlich gesagt auch nicht für realisierbar...
Es geht mir nur darum: Es darf nicht möglich sein, dass jemand den Stick in irgendeiner Weise manipulieren kann.
(Einen anderen Treiber vorgaukeln und dann Datenverkehr mitschreiben und ggf. weiterschicken o.ä.)
Es gibt USB-Sticks von Kanguru, die sind dagegen abgesichert (ich gehe stark von Schreibschutz auf dem Firmware-Speicherbereich aus) und sind on Top noch verschlüsselt.
Daher die Frage, ob man nicht, um Geld zu sparen diesen Schreibschutz selbst implementieren kann oder eine sichere Firmware installieren,
bzw. ob jemand einen Hinweis dazu hat wie man das umsetzen könnte.
Moin.
Mich interessiert, was Du Dir bei Känguru denn durchgelesen hast, das Dich glauben lässt "das brauchen wir" und warum.Verlinke das bitte.
Ob dieser Schutz überhaupt angemessen ist, ist die nächste Frage. Wenn Du vor Firmware-Attacken Angst hast, wie schützt Du Dich gegen Attacken auf die Firmware der übrigen Hardware (Tastatur, Mainboard, Monitor, Drucker, usw.)?
Ich möchte Dir keine Paranoia unterstellen, aber es macht mich neugierig.
Mich interessiert, was Du Dir bei Känguru denn durchgelesen hast, das Dich glauben lässt "das brauchen wir" und warum.Verlinke das bitte.
Ob dieser Schutz überhaupt angemessen ist, ist die nächste Frage. Wenn Du vor Firmware-Attacken Angst hast, wie schützt Du Dich gegen Attacken auf die Firmware der übrigen Hardware (Tastatur, Mainboard, Monitor, Drucker, usw.)?
Ich möchte Dir keine Paranoia unterstellen, aber es macht mich neugierig.
Ich will nicht ausfallend werden, ABER wenn du nichts zur Lösung beitragen kannst, dann lass es doch einfach.
BadUSB-Attacken sind eine reelle Gefahr in bestimmten Branchen und was gibts da noch zu diskutieren?
Hat denn jemand sonst eine Idee, wie man o.g. evtl. realisieren könnte?
BadUSB-Attacken sind eine reelle Gefahr in bestimmten Branchen und was gibts da noch zu diskutieren?
Hat denn jemand sonst eine Idee, wie man o.g. evtl. realisieren könnte?
Sag mir eins: was habe ich Dir getan? Ich verstehe beim besten Willen nicht, was an meinem Kommentar nun zu so einer Antwort führt. Ich war daran interessiert, was Du gelesen hast, denn ich selbst beschäftige mich mit dem Thema seit Jahren und hatte noch niemanden vorher gesehen, der sich verstärkt Sorgen um die Firmware eines verschlüsselten USB-Sticks macht. Du kannst hier mehrere Artikel darüber lesen, die ich dazu geschrieben habe, inklusive zu Bad-USB: Bad-USB geskriptet abwehren (ab Windows 8)
Es war einfach nur Neugierde.
Sei's drum, viel Glück.
Es war einfach nur Neugierde.
Sei's drum, viel Glück.
1
Sorry, aber in Schriftform kommt manches komisch rüber. "Paranoid, aber" usw. hab ich dann wohl in den falschen Hals gekriegt... ^^
Ich schreibe gleich mal ein paar Links dazu hier rein.
Ich schreibe gleich mal ein paar Links dazu hier rein.
Ich glaube ich habe mich auch etwas undeutlich ausgedrückt...
Die Sache ist die, eine akzeptable Lösung zur USB-Sperre und zur Absicherung gegen Bad-USB von Außen habe ich dank Symantec EP schon gefunden.
Habe es getestet und es funktioniert einwandfrei. Da ich diese Lösung einführen möchte, werde ich alle USB-Sticks,
die ich herausgebe, mit einem Whitelist-Eintrag vermerken, restliche USB-Speichermedien werde ich durch Geräteklassen sperren.
Die Sticks die ich herausgebe werde ich mit BitLocker verschlüsseln.
Das Problem, welches dann jedoch bleibt ist, die Sticks die wir an die Mitarbeiter herausgeben (vorausgesetzt es sind keine mit "Manipulationssperre") können durch genau diese manipuliert werden und dann haben wir eine interne Bad-USB-Attacke.
Das hört sich jetzt etwas wirsch an, ist in meinem Unternehmenszweig jedoch mehr als möglich...
Eine Lösung dagegen habe ich nun schon mit unten genannten Kanguru-Sticks gefunden.
Da wir dann jedoch erstmal eine Großbestellung machen müssten,
ist meine Frage nach wie vor: Gibt es eine Möglichkeit die Firmware der Sticks die wir schon haben selbst manipulationsuntauglich zu machen um Geld zu sparen?
Hier der Link zu den USB-Sticks mit sicherer Firmware:
https://www.kanguru.com/
Die Sache ist die, eine akzeptable Lösung zur USB-Sperre und zur Absicherung gegen Bad-USB von Außen habe ich dank Symantec EP schon gefunden.
Habe es getestet und es funktioniert einwandfrei. Da ich diese Lösung einführen möchte, werde ich alle USB-Sticks,
die ich herausgebe, mit einem Whitelist-Eintrag vermerken, restliche USB-Speichermedien werde ich durch Geräteklassen sperren.
Die Sticks die ich herausgebe werde ich mit BitLocker verschlüsseln.
Das Problem, welches dann jedoch bleibt ist, die Sticks die wir an die Mitarbeiter herausgeben (vorausgesetzt es sind keine mit "Manipulationssperre") können durch genau diese manipuliert werden und dann haben wir eine interne Bad-USB-Attacke.
Das hört sich jetzt etwas wirsch an, ist in meinem Unternehmenszweig jedoch mehr als möglich...
Eine Lösung dagegen habe ich nun schon mit unten genannten Kanguru-Sticks gefunden.
Da wir dann jedoch erstmal eine Großbestellung machen müssten,
ist meine Frage nach wie vor: Gibt es eine Möglichkeit die Firmware der Sticks die wir schon haben selbst manipulationsuntauglich zu machen um Geld zu sparen?
Hier der Link zu den USB-Sticks mit sicherer Firmware:
https://www.kanguru.com/
Dein Ansinnen war schon verständlich. Ich habe mich nur dafür interessiert, ob Du mit aller Firmware so vorsichtig bist, müsstest Du genau genommen dann auch sein.
Ich denke nicht, dass Du die Firmware manipulationssicher machen kannst, ohne eine eigene zu entwickeln, das dürfte ausgeschlossen sein.
Ich denke nicht, dass Du die Firmware manipulationssicher machen kannst, ohne eine eigene zu entwickeln, das dürfte ausgeschlossen sein.
Zitat von @Freakazoid89:
Eine Lösung dagegen habe ich nun schon mit unten genannten Kanguru-Sticks gefunden.
Da wir dann jedoch erstmal eine Großbestellung machen müssten,
ist meine Frage nach wie vor: Gibt es eine Möglichkeit die Firmware der Sticks die wir schon haben selbst manipulationsuntauglich zu machen um Geld zu sparen?
Eine Lösung dagegen habe ich nun schon mit unten genannten Kanguru-Sticks gefunden.
Da wir dann jedoch erstmal eine Großbestellung machen müssten,
ist meine Frage nach wie vor: Gibt es eine Möglichkeit die Firmware der Sticks die wir schon haben selbst manipulationsuntauglich zu machen um Geld zu sparen?
Das funktioniert per Firmware-Signatur nur auf Hardware nach FIPS 140-2 L2 oder höher, wie auch aus den Spezifikationen des Kanguru-Sticks ersichtlich ist.
Die Firmware von USB-Sticks unabhängig von deren Firmware schreiben. Insofern kann auch eine Eigenentwicklung nicht hinter sich "die Tür zu ziehen".
Die ganze Überlegung, Sticks vor BadUSB zu schützen, beruht allerdings - mit Verlaub - auf Unverständnis des Angriffsszenarios. BadUSB ist ein Ansatz für das "lateral movement" eines externen Angreifers unter Ausnutzung manipulierbarer USB-Sticks und nicht geschützter Clients. Wenn ich einen Insider habe, stellt sich das Problem nicht, weil der keinen Stick manipulieren muss. Der kann immer mit einem Gerät kommen, das für den Client erst mal wie ein Stick auf der Whitelist aussieht, auch wie ein Kanguru. Dass sich dieses Gerät dann nicht eine Tastatur oder Netzwerkkarte verwandelt, ist allein auf dem Client abzuwehren, und wird es mit dem Whitelisting in der Regel auch hinreichend.
Grüße
Richard
