Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Computersicherheit: Jedes USB-Gerät kann zur Waffe werden

Link Sicherheit Erkennung und -Abwehr

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

31.07.2014, aktualisiert 14:24 Uhr, 3427 Aufrufe, 24 Kommentare, 4 Danke

Berliner Sicherheitsforscher haben einen neuartigen Angriff mit Hilfe von USB Geräten auf fremde PCs entwickelt. Alles, was einen USB-Stecker hat, kann damit gefährlich werden. Eine Gegenwehr ist kaum möglich. Ein erschreckendes Szenario wo die Firmware der Controller-Chip von Schadsoftware modifiziert wird. Das sollte sich jeder Admin dringend durchlesen.

Gruß
Frank
Mitglied: keine-ahnung
31.07.2014 um 12:55 Uhr
Ooops ...
Eine Gegenwehr ist kaum möglich.
Eigentlich schon ... nur die Industrie erschwert einem das enorm. Der successive Wegfall von konventionellen seriellen Schnittstellen macht es halt den bösen Jungens leichter

LG, Thomas
Bitte warten ..
Mitglied: Frank
31.07.2014 um 14:23 Uhr
Hi

Eine Gegenwehr ist kaum möglich.
Eigentlich schon ..

Naja, dafür müsste man die USB-Standards verändern. Ich denke nicht, dass das sehr schnell passieren wird (und ob überhaupt etwas in diese Richtung geht).
Schauen wir mal ...

Gruß
Frank
Bitte warten ..
Mitglied: SlainteMhath
31.07.2014 um 14:40 Uhr
Moin,

leider ist der Artikel erwartungsgemäß relativ frei von technischen Details. Das wird auch in dem Report Beitrag heute abend nicht anders sein.

Ich bilde mir aber einen derartigen bzw. ähnlichen Angriff schonmal letztes oder vorletztes Jahr auf dem c3 gesehen zu haben. Und war da nicht auch mal was mit DMA Zugriff durch USB Geräte?

Das ganze läuft aber doch darauf hinaus:
"Nutzer sollten zudem möglichst nicht mit Administratorrechten arbeiten – die Schadsoftware kann nur tun, was der
jeweilige Anwender auch gerade tun darf."

Und wer jeden gefundenen USB Stick gleich in den (Arbeits-)Rechner steckt....
"Darf ich mal mein S3 bei ihnen an den Rechner hängen?"... also bitte

g,
Slainte
Bitte warten ..
Mitglied: it-frosch
31.07.2014 um 15:00 Uhr
Hallo,

also USB Sticks haben damit als Werbegeschenke ausgedient.

Da kann man sich wohl nur mit einem Devicemanagement schützen.

grüße vom it-frosch
Bitte warten ..
Mitglied: SlainteMhath
31.07.2014, aktualisiert um 15:08 Uhr
Da kann man sich wohl nur mit einem Devicemanagement schützen.
Ich weis nicht ob das was nützt, da der Angriff ja im Prinzip auf Controller-Ebene stattfindet - also noch bevor Windows überhaupt "merkt" das ein neues USB Device angeschlossen wurde.

Hier ist dann eher Heisskleber die Waffe der Wahl
Bitte warten ..
Mitglied: mrtux
31.07.2014, aktualisiert 01.08.2014
Hi!

Zitat von SlainteMhath:
Hier ist dann eher Heisskleber die Waffe der Wahl
Ist mir beim Lesen der Überschrift auch gleich durch den Kopf gegangen. Hab ich tatsächlich auch schon gemacht aber nur um die, vom Kunden gewaltsam zerstörte, USB Buchse zuzukleben und die Elektronik dadurch vor dem Kurzschlusstod zu bewahren...Und ja es gibt tatsächlich Leute die schaffen sowas problemlos....

Evt. dann doch besser sowas verwenden...Ist aber meines Erachtens unverschämt teuer. Bei mehreren Hundert Rechnern ist Kleber dann doch eindeutig günstiger...

Zitat von fisi-pjm:
also nix wird so heis gegessen wie es gekocht wird.
Oder wie es geklebt wird...

Yo die tatsächliche Gefahr ist doch schon arg speziell, da ich nicht wirklich glauben kann, dass die besagte Controller-Firmware wirklich überall (binär) gleich (sein kann) / ist. Da ist glaub -Paket aufmachen und Router mit gepatchter Firmware bespielen- doch (wenn auch nur minimal) praktikabler....

mrtux
Bitte warten ..
Mitglied: fisi-pjm
31.07.2014, aktualisiert um 18:14 Uhr
Hi,

also nix wird so heis gegessen wie es gekocht wird.
Theoretisch ist es auch möglich einen Tower voll mit C4 zu stopfen und als Bombe von einem Flieger zu werfen. Macht nur keiner.

Ich hab mich mit der Thematik bissel näher beschäftigt und solange es noch genügend Menschen auf dieser Erde gibt die versuchen die Telekom.exe ihrer E-Mail zu öffnen (Und die gibt's und wie es die gibt ) bezweifle ich, dass sich jemand die Mühe macht aus dem "Theoretischen" Angriffsverfahren (Das ist es aktuell nämlich) ein Praktisch einzusetzendes Verfahren entwickelt. Der CCC hat das vor ca. 1 Jahr schon mal so ähnlich vorgemacht indem Sie versucht haben die Firmware einer SD Karte zu manipulieren. Die SD Karte konnte am Schluss Hello World und das hatte gerade mal 2 Monate Arbeit in Anspruch genommen und hört sich in der Diku eher an als war es mehr Zufall als gewollt das es zu keinem Fehler gekommen ist. Geschweige denn das wirklich anspruchsvoller Schadcode dort reingeprogt werden kann.

Also von dem her steht ich dem gelassen gegenüber da meiner Meinung nach der Kosten / Nutzen Faktor zu gering ist als das es sich zu einer echten Bedrohung werden könnte.

In Zeiten von iCloud, Gmail, Dropbox und Facebook gibt es wirklich einfachere Wege jemand Sachen unterzujubeln bzw. zu entwenden.

Gruß
PJM
Bitte warten ..
Mitglied: Lochkartenstanzer
31.07.2014 um 17:19 Uhr
Moin,

Diese Angriffsverfahren werden schon seit einigen Jahren diskutiert uhd sind vermutlich auch schon ebensolange im Einsatz. Nur ist das bisher kaum an die Öffentlichkeit gedrungen. Es ist ein offenes Geheimnis, daß, wenn man den Controller auf dem Stick kontrolliert, man dem Host alles vorgaukeln kan, was man will. Nichts wesentlch neues also.

wie imemr gilt: Man muß mit dem, was man an den Computer steckt imemr vorsichtig sein. Sei es die Festplatte, die kamera, das Smartphone, der USB-Stick oder gar das beheizbare Mauspad.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
31.07.2014 um 17:21 Uhr
Zitat von it-frosch:

also USB Sticks haben damit als Werbegeschenke ausgedient.

Hast Du schon mal darüber nachgedacht, was die ganzen Chinacams und anderen USB-Giommicks, die Du beim Blödmarkt kaufst, mit Deinem Rechner anstellen könnten.

lks
Bitte warten ..
Der Kommentar von keine-ahnung wurde vom Moderator Frank am 31.07.14 ausgeblendet!
Mitglied: Alchimedes
31.07.2014 um 20:12 Uhr
Hallo,

tatsaechlich gibt es USB Sticks die eben nicht als USB Sticks erkannt werden sollen.
So nutzen wir zur Authentifizierung einen "token" Stick und der wird von der Devicecontroll nicht erkannt.
Auch das aufladen von Handys am Rechner wird nicht erkannt und da besteht meiner Meinung wesentlich hoeheres
Angriffspotential da hier das Handy als Wirtstraeger fungiert.

Das manipulieren von controllern/chipsaetzen e.t.c ist seit Stuxnet kein Geheimnis mehr.

Was im Unternehmen Standard sein sollte, sind Sicherheitsrichtlinien die das Anstecken von USB-Sticks und exterrner
Hardware untersagt

Gruss
Bitte warten ..
Mitglied: Lochkartenstanzer
31.07.2014 um 20:43 Uhr
Zitat von Alchimedes:

tatsaechlich gibt es USB Sticks die eben nicht als USB Sticks erkannt werden sollen.

Und die gibt es schon seit längerem sogar fertig zu kaufen. und vorher konnte man sich als ambitionierter "bastler" sich sowas slebst mit mikrocontrollern zusammenschustern.

Auch das aufladen von Handys am Rechner wird nicht erkannt und da besteht meiner Meinung wesentlich hoeheres
Angriffspotential da hier das Handy als Wirtstraeger fungiert.

Un ein neueres Modell hat sogar genug Leistung, um gezielt diverse Angruffe zu fahren, sofern man es trojanisiert hat.

Das manipulieren von controllern/chipsaetzen e.t.c ist seit Stuxnet kein Geheimnis mehr.

Und war es vorher auch schon nicht.

Was im Unternehmen Standard sein sollte, sind Sicherheitsrichtlinien die das Anstecken von USB-Sticks und exterrner
Hardware untersagt

Oft siegt die bequemlichkeit darüber. leider.

lks
Bitte warten ..
Mitglied: Ausserwoeger
01.08.2014, aktualisiert um 10:26 Uhr
Hi

Eine möglichkeit wäre das man Mitarbeitern beibringt nur Firmeneigene Sticks zu verwenden und extern erhalte Sticks per Kopierstation auf Firmeneigene zu kopieren

http://www.amazon.com/Spartan-Target-Flash-Duplicator-DM-ILY-USB03/dp/B ...

So hat man die Daten auf dem stick aber nicht den manipolierten stick selbst.

LG
Bitte warten ..
Mitglied: C.R.S.
01.08.2014 um 13:16 Uhr
Zitat von Lochkartenstanzer:

Und die gibt es schon seit längerem sogar fertig zu kaufen. und vorher konnte man sich als ambitionierter "bastler"
sich sowas slebst mit mikrocontrollern zusammenschustern.


Bei Karsten Nohl bin ich sehr zuversichtlich, dass er auf der BlackHat nicht ein zweites Rubber Ducky vorstellt. Wenn ich die Ankündigung richtig interpretiere, geht es auch/vielleicht vor allem um die Firmware-Manipulation herkömmlicher Geräte.
Die Zahl der Leute, die sich damit auskennt und robuste Implementierungen liefern kann, ist tatsächlich sehr begrenzt, was auch am Wildwuchs der kommerziellen Lösungen liegt.

Grüße
Richard
Bitte warten ..
Mitglied: Lochkartenstanzer
01.08.2014 um 13:22 Uhr
Zitat von C.R.S.:

Bei Karsten Nohl bin ich sehr zuversichtlich, dass er auf der BlackHat nicht ein zweites Rubber Ducky vorstellt. Wenn ich die
Ankündigung richtig interpretiere, geht es auch/vielleicht vor allem um die Firmware-Manipulation herkömmlicher
Geräte.
Die Zahl der Leute, die sich damit auskennt und robuste Implementierungen liefern kann, ist tatsächlich sehr begrenzt, was
auch am Wildwuchs der kommerziellen Lösungen liegt.

Nunja, man konnet mit entsprechenden Wissen und Ressourcen auch vorher schon die "Standardgeräte" so manipulieren, daß diese trojanisiert waren. Durch den Aufwand ist das ganze zeug vermutlich nur für wichtige Angriffsziele verwendet worden.


Wenn das jetzt so vorgestellt wird, kommt das dann vermutlich langsam im "Mainstream" an.

lks
Bitte warten ..
Mitglied: Ausserwoeger
04.08.2014 um 08:47 Uhr
Zitat von Lochkartenstanzer:
Wenn das jetzt so vorgestellt wird, kommt das dann vermutlich langsam im "Mainstream" an.


Hi

Wenn das wie du schreibst Mainstream ist was wird dann bei den wichtigen Angriffszielen verwendet ? Eine Drohne die sich automatisch ins firmen Wlan hackt und die Daten automatisch an die NSA überträgt ?

LG
Bitte warten ..
Mitglied: Nr60730
05.08.2014 um 11:48 Uhr
Zitat von Frank:

Hi

> Eine Gegenwehr ist kaum möglich.
>> Eigentlich schon ..

Naja, dafür müsste man die USB-Standards verändern. Ich denke nicht, dass das sehr schnell passieren wird (und ob
überhaupt etwas in diese Richtung geht).
Schauen wir mal ...

Gruß
Frank

Servus,

doch doch das gibt es

z.B das - läuft leider nur unter XP für > Win7 muß man sich ein Mobiledevicemanagement besorgen.

Da stellt man dann ein, welche Geräte erlaubt sind und welche nicht. ittlerweile gibts wirklich viele (halt nicht mehr gratis) Tools die das können.

Das sollte sich jeder Admin dringend durchlesen.
Eh klar und deswegen hat das Team das ja auch gemacht. Die schwierigkeit ist halt - "woher" muß so ein Device herkommen, damit es als "sicher" gilt.

Ich erinner mich an originale Windows Zusatz CDs mit einem Virus drauf (irgendwann in den 90ern) oder das MC Laren F1 Team, das gefälschte Mercedes (Ilmor) Motorenteile bekommen hat, die es irgendwie ins Werk geschafft haben usw.


@ LKS: Ich hab hier "so" eine China Cam, die ist "sauber" aber die Treiber CD (mit der man aus dem Ding eine Webcam machen kann) die hats in sich.

Von daher, das ist alles nur "logisch" - leider.

Gruß
Bitte warten ..
Mitglied: Ausserwoeger
05.08.2014, aktualisiert um 12:34 Uhr
Hi Nr60730

Ich denke du das das problem hier nicht verstanden. Mobile Device Managment kennt hier jeder bzw. fast jeder. Der angriff findert auf den USB Controller Chip statt und nicht auf Betriebssystemebene.

Dieser USB Chip auf dem Mainboard führt dann aufgaben aus die er nicht soll aber darf da die Architektur bzw. der USB Standard es zulässt.

Bzw. kann der Stick so manipoliert werden das er als Tastatur erkannt wird usw.

LG
Bitte warten ..
Mitglied: Nr60730
05.08.2014 um 12:49 Uhr
doch doch...

Wenn ich schreibe Gerät X funktioniert hier nicht, hier funktioniert nur Gerät Y;Z und Co - dann ist alles tutti.

Problematisch wirds erst, wenn ich schreibe Gerät X darf hier aber das ist ein "verseuchtes" Teil.

Ich glaub wir schreiben aneinander vorbei

Immer gleich ist jedoch der Ansatz:
Jedes präparierte USB-Gerät gibt sich als ein anderes aus.
Es kann also ganz andere Dinge tun, als ein Nutzer erwartet, wird dabei vom angeschlossenen Computer aber als normales externes Gerät eingestuft – womit alle üblichen Sicherheitsvorkehrungen ausgehebelt werden.

Wo ich dir natürlich recht gebe ist die Variante das werksseitig gelieferte USB Keyboard / Maus whatever ist bereits gedingsdabummstdat. Denn das würde wirklich jeder in sein MDM als sicher eintragen.

Ohne genaueres zu wissen, aber:

Nebenbei fotografiert er das Opfer heimlich mit der Webcam und schaut nach, welche Websites der Redakteur derzeit noch geöffnet hat.
"Das" kann er nur auf OS Ebene - die Cam ein/auschalten geht auch "ohne" aber einen Screenshoot machen und irgendwohin ballern - das geht nur mit Werkzeugen, die nicht auf den Chips sind - also auf OS oder App Ebene.


Gruß
Bitte warten ..
Mitglied: Ausserwoeger
05.08.2014 um 15:00 Uhr
Zitat von Nr60730:

Ich glaub wir schreiben aneinander vorbei

Das glaub ich auch


> Immer gleich ist jedoch der Ansatz:
> Jedes präparierte USB-Gerät gibt sich als ein anderes aus.
> Es kann also ganz andere Dinge tun, als ein Nutzer erwartet, wird dabei vom angeschlossenen Computer aber als normales
externes Gerät eingestuft – womit alle üblichen Sicherheitsvorkehrungen ausgehebelt werden.

Genau hier geht es darum das ein USB Stick tun kann als wäre er eine Taststur aber verwendet werden kann als wäre er ein USB stick.
Bedeutet es kann ein befehl ausgeführt werden oder ein trojaner der sich auf einem Server im internet anmeldet und das fernsteuern des PCs ermöglicht.


Wo ich dir natürlich recht gebe ist die Variante das werksseitig gelieferte USB Keyboard / Maus whatever ist bereits
gedingsdabummstdat. Denn das würde wirklich jeder in sein MDM als sicher eintragen.

Ohne genaueres zu wissen, aber:


>> Nebenbei fotografiert er das Opfer heimlich mit der Webcam und schaut nach, welche Websites der Redakteur derzeit noch
geöffnet hat.
"Das" kann er nur auf OS Ebene - die Cam ein/auschalten geht auch "ohne" aber einen Screenshoot machen und
irgendwohin ballern - das geht nur mit Werkzeugen, die nicht auf den Chips sind - also auf OS oder App Ebene.

Das ist natürlich eine Funktion die über den Trojaner ausgeführt wird bzw. über teamviewer oder andere software je nachdem wie man den PC manipoliert.

Du kannst also in deiner Policy einstellen was du willst eine USB tastatur wird erlaubt sein vorallem da es PCs ohne PS2 anschluss gibt. Somit kann man auch einen Manipolierten Stick verwenden und sich über was auch immer zugriff auf den PC verschaffen.

LG
Bitte warten ..
Mitglied: C.R.S.
09.08.2014 um 13:33 Uhr
Die Präsentation und ein nützliches Skript für Android sind online: https://srlabs.de/badusb/
Bitte warten ..
Mitglied: Budders
26.08.2014 um 13:58 Uhr
Ich hab mir den Vortrag den die beiden auf der Blackhat gehalten haben angeguckt und ich muss sagen, dass ich echt erstaunt bin, was mit dieser Form von Angriff so alles möglich wäre.

Nur mal vorgestellt jemand bringt von der Sorte n paar in Umlauf, das würde sich ja wie ein Lauffeuer verbreiten.
Hoffen wir mal, dass es nicht so weit kommen wird :s

LG Budders
Bitte warten ..
Mitglied: Lochkartenstanzer
26.08.2014 um 14:02 Uhr
Zitat von Budders:

Nur mal vorgestellt jemand bringt von der Sorte n paar in Umlauf, das würde sich ja wie ein Lauffeuer verbreiten.
Hoffen wir mal, dass es nicht so weit kommen wird :s


Die einzige Hürde ist im Moment noch, daß es schwierig ist an die Dokumentation der Cips zu kommen, bzw. da fast keien dokumentation existiert. man muß es momenatn sich aufwendig selbst erarbeiten, wenn man keine Connectiosn hat.

lks
Bitte warten ..
Mitglied: Budders
26.08.2014 um 14:06 Uhr
Zitat von Lochkartenstanzer:

Die einzige Hürde ist im Moment noch, daß es schwierig ist an die Dokumentation der Cips zu kommen, bzw. da fast keien
dokumentation existiert. man muß es momenatn sich aufwendig selbst erarbeiten, wenn man keine Connectiosn hat.

lks

Ja, das ist in dem Falle demnach auch nicht gerade negativ.
Aber wenn jemand Connections und nen großen Geldbeutel hat, könnte da schon ordentlich Schaden mit angerichtet werden, aber man soll ja nicht gleich den Teufel an die Wand malen.
Trotzdem IMHO ein ziemlich ernst zu nehmendes Problem.

Budders
Bitte warten ..
Mitglied: 114757
04.10.2014, aktualisiert um 21:40 Uhr
Zur Info:
Code zu BadUSB ist vor kurzem auf Github veröffentlicht worden:
https://github.com/adamcaudill/Psychson

Gruß jodel32
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (4)

Frage von griss0r zum Thema Windows Netzwerk ...

Datenschutz
USB Schutz (Bitlocker) entsperren (3)

Frage von Livinia zum Thema Datenschutz ...

IDE & Editoren
USB STICK Datei AUTOMATISCH beim anschliessen auf fremden PC öffnen (9)

Frage von Jwanner83 zum Thema IDE & Editoren ...

Windows Installation
Server 2016 UEFI Installation von USB (3)

Tipp von DerWoWusste zum Thema Windows Installation ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...