Servus!
bestimmt habt ihr das schon mitbekommen, leider habe ich keinen Video mitschnitt von dem Vortrag gefunden. Bei Youtube lediglich ein Text2Speach Trailer der wohl auf das Problem aufmerksam machen sollte. ( Youtube-Link) Der liefert aber auch keine neuen Informationen zu dem Problem. Was ich relativ schade finde.
Es sind wohl alle USB Geräte betroffen. Wenn ihr Lösungsansätze habt oder davon woanders liest, bitte in diesen Thread Posten.
Heise schreibt darüber, das es aktuell halt nicht möglich ist das Problem zu Lösen und vermutet schon das Admins in Unternehmen jetzt wieder mit der Heißklebe-Pistole USB-Zugänge schliessen.
Zusammenfassung: Die Firmware des USB-Sticks wird manipuliert, damals waren dafür noch manipulierte USB-Sticks notwendig die aber auch über einen eigenen kleinen Rechner verfügten. Das neue ist das die Sicherheitsforscher es jetzt schafften einen normalen USB-Stick anhand der Firmware in einen Virus-Träger umzuwandeln.
Der USB-Stick gibt sich am angeschlossenen Gerät als Tastatur aus und infiziert unter Windows sofort das System um diesen Virus auch auf andere USB-Geräte zu verbreiten. Ich vermute hier aber nur Speichersticks, wobei in dem Youtube-Video auch von Android-Geräten die Rede ist! Anschließend verbreitet sich der Virus dann über die USB-Geräte und ist daher auch nicht für die Virenscanner sichtbar.
Man kann sich das als Trojaner in der Tastatur vorstellen. Der Virenscanner auf den Rechnern selber greift ja auch nicht auf den Speicher der Tastatur zu.
Ein LÖSUNGSANSATZ, der mir Spontan einfällt ist: Es gab mal einen Artikel auf Heise der beschrieb einen Nutzer zu identifizieren und Authorisieren, "über den Fingerabdruck des Tippverhaltens." Jeder Nutzer schreibt bestimmte Wörter halt unterschiedlich schnell. Natürlich muss man so ein System erst anlernen und das hängt auch von der Hardware, der Tastatur selber ab. Aber ich denke das dies etwas ist das ein Trojanerprogramm von einem USB Stick nicht nachahmen könnte.
Ein Problem ist dann natürlich ein neues Tippmuster zu prägen wenn man eine neue Tastatur kauft. Aber da müsste man dann Versuche starten ob sich das wirklich so sehr unterscheidet. Ob man diese Methode umgehen könnte per Brute force Angriff mit unterschiedlichen Zeitstempeln ist natürlich eine Frage. Auf jeden Fall muss eine "Firewall für Tastaturen" her oder ein "alte Tastatur" abmelden.
So ganz verstanden warum das ganze jetzt unheimlich bedrohlich ist habe ich aber auch noch nicht. Natürlich reicht es für einen Angreifer eine Tastatur mit einem Keylogger zu versehen aus um jede menge sensible Daten zu entwenden ohne das man die später von der Festplatte/RAM oder dem korrespondierenden Server ausliest. Wenn der USB-Trojaner kein rootkit installiert das seine Anzeige verbergt müsste sich ein solcher Virus doch erkennen lassen? Der aktuelle Check von einem USB-Stick mit einer infizierten Firmware ist aktuell nicht möglich da die Hersteller ihre Firmware nicht signiert haben.
Leider könnte der USB-Stick selber auch bei einer Abfrage "Welche Firmeware hast du denn Installiert?" Lügen und dabei andere Daten schicken als die Tatsächliche Firmeware die auf dem System läuft.
Jedenfalls hoffe ich das da sehr bald weitere Information zu kommen. Bei einem Linux-Rechner benötigt der Trojaner übrigens root rechte um das System zu infizieren und in eine Virenschleuder zu verwandeln. Daher habe ich ja noch die Hoffnung das es kein rootkit installieren kann und man verseuchte Sticks irgendwie doch noch erkennt ("Hey wo kommt denn die neue Tastatur her?"). Generell ist es für ein System das nicht nur Remote verwaltet wird (per SSH) sondern Lokal aber auch ziemlich schnell so das das Passwort bekannt wird sobald ein User Root-Rechte für z.B. eine Installation benötigt und es der User eintippt.
Anhang:
Ein Artikel von arstechnica.com: This thumbdrive hacks computers. “BadUSB” exploit makes devices turn “evil”.
Eine interessante Diskussion auf stackexchange.com: how to prevent badusb-attacks on Linux
BadUSB, SuperTrojaner, Linux?
Message
- ChrisJumper
- Advocate
- Posts: 2419
- Joined: Sat Mar 12, 2005 1:42 pm
- Location: Germany
Ich habe die einschlägigen Artikel auch gelesen.
Aber es scheint mir aber ein wenig theoretisch - wie vieles andere auch bei dem Thema "Virus" und "Trojaner".
Nicht alles was technisch machbar ist, wird und kann auch so ausgeführt werden.
Aufwand und Nutzen ist das Stichwort.
Wenn man sich den Aufwand vorstellt, die Firmware eines Sticks zu manipulieren, diesen jemand unter zu jubeln und als Nutzen vielleicht an einen User zu geraten der lediglich seine Urlaubsbilder verwaltet, dann erscheint mir dies noch theoretischer.
Natürlich kann man die Firmware "ab Werk" manipulieren - nicht unmöglich, aber unwarscheinlich.
Als "Lösung" unter Linux fällt mir da eigentlich nur udev ein, als erster Ansatz. Man könnte sich melden lassen, wenn neue Hardware angemeldet wird. Aber möglicherweise ist dies zu naiv gedacht.
Aber es scheint mir aber ein wenig theoretisch - wie vieles andere auch bei dem Thema "Virus" und "Trojaner".
Nicht alles was technisch machbar ist, wird und kann auch so ausgeführt werden.
Aufwand und Nutzen ist das Stichwort.
Wenn man sich den Aufwand vorstellt, die Firmware eines Sticks zu manipulieren, diesen jemand unter zu jubeln und als Nutzen vielleicht an einen User zu geraten der lediglich seine Urlaubsbilder verwaltet, dann erscheint mir dies noch theoretischer.
Natürlich kann man die Firmware "ab Werk" manipulieren - nicht unmöglich, aber unwarscheinlich.
Als "Lösung" unter Linux fällt mir da eigentlich nur udev ein, als erster Ansatz. Man könnte sich melden lassen, wenn neue Hardware angemeldet wird. Aber möglicherweise ist dies zu naiv gedacht.
”Everything should be made as simple as possible, but no simpler.” – Albert Einstein
- forrestfunk81
- Guru
- Posts: 567
- Joined: Tue Feb 07, 2006 12:33 pm
- Location: münchen.de
Der große Hype um dieses Thema kommt wohl daher, dass man mittels Software die Firmware auf dem USB Gerät manipulieren kann. Somit könnten die potentiellen Viren sich selbst wieder auf andere Sticks schreiben und sich so verbreiten. Das betrifft aber nicht alle USB Geräte sondern nur Massenspeicher, da diese über UAS (SCSI USB) kommunizieren und es da wohl einige Hersteller-spezifische Erweiterungen gibt. Die Firmware einer USB Tastatur zu überschreiben wird so nicht funktionieren. Was das ganze mit Tastaturen zu tun hat erschließt sich mir nicht so ganz. Vermutlich wird das oft genannt, weil sich bei früheren USB Hacks die manipulierten USB Geräte als Tastatur ausgegeben haben um die Eingaben abzufangen. Wie bei diesen früheren Hacks kann man die USB Hardware manipulieren bzw. selbst löten und das Gerät als x-beliebiges Device am PC angeben.
Von daher würd ich als Privatanwender zu USB Whitelisting tendieren. Hat damit jemand Erfahrung?
Von daher würd ich als Privatanwender zu USB Whitelisting tendieren. Hat damit jemand Erfahrung?
# cd /pub/
# more beer
# more beer
- schmidicom
- Advocate
- Posts: 2013
- Joined: Thu Mar 09, 2006 5:56 pm
- Location: Schweiz
Eine timeoutbasierte Initialisierung von neuen Tastaturen, oder Geräten die sich als solche ausgeben, mit Dialogbox auf dem GUI welche einem die Möglichkeit gibt vor dem Ende des Timeouts das neue Gerät zu blockieren wäre sicher auch hilfreich.
Beispiel einer solchen Dialogbox:
Titel: Geräteüberwachung
Text: Es wurde einen neue Tastatur gefunden! Wenn sie diese nicht verwenden wollen klicken sie bitte auf "blockieren" /n Wenn sie keine Auswahl treffen wird die Tastatur nach XX Sekunden automatisch initialisiert.
Aktionen: "initialisieren" / "blockieren"
Allerdings vermute ich das sich sowas mit einer udev Regel alleine nicht umsetzen lässt.
Beispiel einer solchen Dialogbox:
Titel: Geräteüberwachung
Text: Es wurde einen neue Tastatur gefunden! Wenn sie diese nicht verwenden wollen klicken sie bitte auf "blockieren" /n Wenn sie keine Auswahl treffen wird die Tastatur nach XX Sekunden automatisch initialisiert.
Aktionen: "initialisieren" / "blockieren"
Allerdings vermute ich das sich sowas mit einer udev Regel alleine nicht umsetzen lässt.
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW