Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
BadUSB, SuperTrojaner, Linux?
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
ChrisJumper
Veteran
Veteran


Joined: 12 Mar 2005
Posts: 1828
Location: Germany

PostPosted: Sun Aug 03, 2014 12:04 pm    Post subject: BadUSB, SuperTrojaner, Linux? Reply with quote

Servus!

bestimmt habt ihr das schon mitbekommen, leider habe ich keinen Video mitschnitt von dem Vortrag gefunden. Bei Youtube lediglich ein Text2Speach Trailer der wohl auf das Problem aufmerksam machen sollte. ( Youtube-Link) Der liefert aber auch keine neuen Informationen zu dem Problem. Was ich relativ schade finde.

Es sind wohl alle USB Geräte betroffen. Wenn ihr Lösungsansätze habt oder davon woanders liest, bitte in diesen Thread Posten.

Heise schreibt darüber, das es aktuell halt nicht möglich ist das Problem zu Lösen und vermutet schon das Admins in Unternehmen jetzt wieder mit der Heißklebe-Pistole USB-Zugänge schliessen.

Zusammenfassung: Die Firmware des USB-Sticks wird manipuliert, damals waren dafür noch manipulierte USB-Sticks notwendig die aber auch über einen eigenen kleinen Rechner verfügten. Das neue ist das die Sicherheitsforscher es jetzt schafften einen normalen USB-Stick anhand der Firmware in einen Virus-Träger umzuwandeln.

Der USB-Stick gibt sich am angeschlossenen Gerät als Tastatur aus und infiziert unter Windows sofort das System um diesen Virus auch auf andere USB-Geräte zu verbreiten. Ich vermute hier aber nur Speichersticks, wobei in dem Youtube-Video auch von Android-Geräten die Rede ist! Anschließend verbreitet sich der Virus dann über die USB-Geräte und ist daher auch nicht für die Virenscanner sichtbar.

Man kann sich das als Trojaner in der Tastatur vorstellen. Der Virenscanner auf den Rechnern selber greift ja auch nicht auf den Speicher der Tastatur zu.

Ein LÖSUNGSANSATZ, der mir Spontan einfällt ist: Es gab mal einen Artikel auf Heise der beschrieb einen Nutzer zu identifizieren und Authorisieren, "über den Fingerabdruck des Tippverhaltens." Jeder Nutzer schreibt bestimmte Wörter halt unterschiedlich schnell. Natürlich muss man so ein System erst anlernen und das hängt auch von der Hardware, der Tastatur selber ab. Aber ich denke das dies etwas ist das ein Trojanerprogramm von einem USB Stick nicht nachahmen könnte.

Ein Problem ist dann natürlich ein neues Tippmuster zu prägen wenn man eine neue Tastatur kauft. Aber da müsste man dann Versuche starten ob sich das wirklich so sehr unterscheidet. Ob man diese Methode umgehen könnte per Brute force Angriff mit unterschiedlichen Zeitstempeln ist natürlich eine Frage. Auf jeden Fall muss eine "Firewall für Tastaturen" her oder ein "alte Tastatur" abmelden.

So ganz verstanden warum das ganze jetzt unheimlich bedrohlich ist habe ich aber auch noch nicht. Natürlich reicht es für einen Angreifer eine Tastatur mit einem Keylogger zu versehen aus um jede menge sensible Daten zu entwenden ohne das man die später von der Festplatte/RAM oder dem korrespondierenden Server ausliest. Wenn der USB-Trojaner kein rootkit installiert das seine Anzeige verbergt müsste sich ein solcher Virus doch erkennen lassen? Der aktuelle Check von einem USB-Stick mit einer infizierten Firmware ist aktuell nicht möglich da die Hersteller ihre Firmware nicht signiert haben.

Leider könnte der USB-Stick selber auch bei einer Abfrage "Welche Firmeware hast du denn Installiert?" Lügen und dabei andere Daten schicken als die Tatsächliche Firmeware die auf dem System läuft.

Jedenfalls hoffe ich das da sehr bald weitere Information zu kommen. Bei einem Linux-Rechner benötigt der Trojaner übrigens root rechte um das System zu infizieren und in eine Virenschleuder zu verwandeln. Daher habe ich ja noch die Hoffnung das es kein rootkit installieren kann und man verseuchte Sticks irgendwie doch noch erkennt ("Hey wo kommt denn die neue Tastatur her?"). Generell ist es für ein System das nicht nur Remote verwaltet wird (per SSH) sondern Lokal aber auch ziemlich schnell so das das Passwort bekannt wird sobald ein User Root-Rechte für z.B. eine Installation benötigt und es der User eintippt.

Anhang:

Ein Artikel von arstechnica.com: This thumbdrive hacks computers. “BadUSB” exploit makes devices turn “evil”.
Eine interessante Diskussion auf stackexchange.com: how to prevent badusb-attacks on Linux
Back to top
View user's profile Send private message
Jean-Paul
Apprentice
Apprentice


Joined: 13 Apr 2009
Posts: 230

PostPosted: Sun Aug 03, 2014 7:31 pm    Post subject: Reply with quote

Ich habe die einschlägigen Artikel auch gelesen.
Aber es scheint mir aber ein wenig theoretisch - wie vieles andere auch bei dem Thema "Virus" und "Trojaner".
Nicht alles was technisch machbar ist, wird und kann auch so ausgeführt werden.
Aufwand und Nutzen ist das Stichwort.

Wenn man sich den Aufwand vorstellt, die Firmware eines Sticks zu manipulieren, diesen jemand unter zu jubeln und als Nutzen vielleicht an einen User zu geraten der lediglich seine Urlaubsbilder verwaltet, dann erscheint mir dies noch theoretischer.

Natürlich kann man die Firmware "ab Werk" manipulieren - nicht unmöglich, aber unwarscheinlich.

Als "Lösung" unter Linux fällt mir da eigentlich nur udev ein, als erster Ansatz. Man könnte sich melden lassen, wenn neue Hardware angemeldet wird. Aber möglicherweise ist dies zu naiv gedacht.
_________________
”Everything should be made as simple as possible, but no simpler.” – Albert Einstein
Back to top
View user's profile Send private message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 418
Location: münchen.de

PostPosted: Mon Aug 04, 2014 1:08 pm    Post subject: Reply with quote

Der große Hype um dieses Thema kommt wohl daher, dass man mittels Software die Firmware auf dem USB Gerät manipulieren kann. Somit könnten die potentiellen Viren sich selbst wieder auf andere Sticks schreiben und sich so verbreiten. Das betrifft aber nicht alle USB Geräte sondern nur Massenspeicher, da diese über UAS (SCSI USB) kommunizieren und es da wohl einige Hersteller-spezifische Erweiterungen gibt. Die Firmware einer USB Tastatur zu überschreiben wird so nicht funktionieren. Was das ganze mit Tastaturen zu tun hat erschließt sich mir nicht so ganz. Vermutlich wird das oft genannt, weil sich bei früheren USB Hacks die manipulierten USB Geräte als Tastatur ausgegeben haben um die Eingaben abzufangen. Wie bei diesen früheren Hacks kann man die USB Hardware manipulieren bzw. selbst löten und das Gerät als x-beliebiges Device am PC angeben.

Von daher würd ich als Privatanwender zu USB Whitelisting tendieren. Hat damit jemand Erfahrung?
_________________
# cd /pub/
# more beer
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1061
Location: Schweiz

PostPosted: Tue Aug 05, 2014 3:01 pm    Post subject: Reply with quote

Eine timeoutbasierte Initialisierung von neuen Tastaturen, oder Geräten die sich als solche ausgeben, mit Dialogbox auf dem GUI welche einem die Möglichkeit gibt vor dem Ende des Timeouts das neue Gerät zu blockieren wäre sicher auch hilfreich.

Beispiel einer solchen Dialogbox:
Titel: Geräteüberwachung
Text: Es wurde einen neue Tastatur gefunden! Wenn sie diese nicht verwenden wollen klicken sie bitte auf "blockieren" /n Wenn sie keine Auswahl treffen wird die Tastatur nach XX Sekunden automatisch initialisiert.
Aktionen: "initialisieren" / "blockieren"

Allerdings vermute ich das sich sowas mit einer udev Regel alleine nicht umsetzen lässt.
_________________
Mich braucht jeder. Zumindest behaupten viele, ich hätte gerade noch gefehlt. ;)
GPG: 0x54A19454 - Download | (0x5E2B12A0 ist veraltet)
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum