USB Bug - Bezüglich Schadcode USB-Sticks, die sich als USB Eingabegerät ausgeben



  • Es gibt ja inzwischen USB-Sticks, die Schadcode und einen µC enthalten und sich dann gegenüber einem Computer als Eingabegerät ausgeben, um den Schadcode zu installieren.
    Der User, der den USB-Stick einsteckt, der merkt davon nichts, da er meint, er hätte ein gewöhnliches USB-Speichermedium vor sich.

    Frage:
    Wäre es nicht sinnvoll, wenn man in die Betriebssysteme eine Kontrolle einbaut, die besagt, dass Eingabegeräte erst einmal gesondert vom Benutzer autorisiert werden müssen, ehe sie als solche auch benutzt werden können?

    Damit müsste jedenfalls so ein manipulierter USB-Stick erst einmal den Benutzer austricksen und von ihm die entsprechenden Rechte, z.B. eine Tastatur sein zu dürfen, einfordern.



  • Unsinn. Der Benutzer ist doch derjenige der von der Infektion NICHTS weiss.



  • Ist das nicht schon so? Jedenfalls muss ich mit der Maus immer irgend ne Nummer eingeben, wenn ich eine neue Tastatur anschließe.



  • Gruum schrieb:

    Ist das nicht schon so? Jedenfalls muss ich mit der Maus immer irgend ne Nummer eingeben, wenn ich eine neue Tastatur anschließe.

    Also bei meiner USB Tastatur ist das nicht so. OS = Windows 7 bzw. Linux.

    Welches OS verwendest du?



  • quatschkopf schrieb:

    Unsinn. Der Benutzer ist doch derjenige der von der Infektion NICHTS weiss.

    Deswegen wäre es ja wichtig, dass der Computer nach einer Genehmigung fragt.

    Dann kann nämlich auch der Benutzer merken, dass sein USB Stick eben nicht bloß ein USB Stick ist.

    Oder was meinst du, was der Benutzer sagt, wenn da Plötzlich nach einstecken eines USB Steichermediums folgender Text aufploppt:

    Sie haben eine Tastatur angeschlossen, soll die Tastatur authorisiert werden?
    Warnung: Wenn es sich um keine Tastatur handelt, dann verneinen sie diese Frage.
    


  • USB Bug schrieb:

    Es gibt ja inzwischen USB-Sticks, die Schadcode und einen µC enthalten und sich dann gegenüber einem Computer als Eingabegerät ausgeben, um den Schadcode zu installieren.
    Der User, der den USB-Stick einsteckt, der merkt davon nichts, da er meint, er hätte ein gewöhnliches USB-Speichermedium vor sich.

    Wie machen die das? Warten die ein paar Stunden und hoffen darauf dass der User zu dem Zeitpunkt dann gerade nicht vor dem PC sitzt? Schliesslich kann man über Maus/Tastatur nicht wirklich 'was installieren ohne dass man auf dem Bildschirm 'was sieht.

    USB Bug schrieb:

    Frage:
    Wäre es nicht sinnvoll, wenn man in die Betriebssysteme eine Kontrolle einbaut, die besagt, dass Eingabegeräte erst einmal gesondert vom Benutzer autorisiert werden müssen, ehe sie als solche auch benutzt werden können?

    Man müsste halt den Fall lösen dass der Benutzer ein neues Keyboard ansteckt weil sein altes kaputt ist. Bzw. so ne Funk-Keyboard/Maus Kombo - damit fällt das bestätigen des einen Eingabegeräts über das andere aus.
    Was auf jeden Fall ginge wäre diese Bestätigung zu verlangen wenn der Benutzer eine zusätzliche Maus bzw. ein zusätzliches Keyboard ansteckt. Der Fall ist dann auch ausreichend selten, so dass es nicht dauernd nerven sollte.


  • Mod

    hustbaer schrieb:

    USB Bug schrieb:

    Es gibt ja inzwischen USB-Sticks, die Schadcode und einen µC enthalten und sich dann gegenüber einem Computer als Eingabegerät ausgeben, um den Schadcode zu installieren.
    Der User, der den USB-Stick einsteckt, der merkt davon nichts, da er meint, er hätte ein gewöhnliches USB-Speichermedium vor sich.

    Wie machen die das? Warten die ein paar Stunden und hoffen darauf dass der User zu dem Zeitpunkt dann gerade nicht vor dem PC sitzt? Schliesslich kann man über Maus/Tastatur nicht wirklich 'was installieren ohne dass man auf dem Bildschirm 'was sieht.

    Die Idee ist, soweit ich weiß, dass das Ding einfach mit maximaler Geschwindigkeit Zeichen sendet, die den Schadcode selbst enthalten. Also so ungefähr: Tastenkombination um einen Editor zu öffnen, Schadcode tippen, speichern, Ausführen. Für den Anwender poppt dabei nur für einen Sekundenbruchteil irgendein Fenster auf, danach sieht es aus wie ein normaler USB-Massenspeicher. Angesichts der Tatsachen, dass dies a) sowieso viel zu schnell geht, um zu reagieren, und b) manchmal auch bei normalen USB-Massenspeichern irgendwelche Infofenster aufgehen, in denen Treiber nachgeladen werden, kann man damit durchkommen.

    Das ist aber, soweit ich ebenfalls weiß, ein eher theoretisches Angriffsszenario. Proof-of-concept. Viel einfacher und praxistauglicher ist, den Windows-Autorun Mechanismus zu benutzen. Da braucht man gar keinen komplizierten Angriffsvektor über manipulierte Geräte, sondern ein ganz normaler USB-Datenträger reicht (eventuell muss er sich noch als CD-Laufwerk ausgeben, das reicht dann aber auch). In Windows-XP wurden Programme darüber per Default noch automatisch ausgeführt, normalerweise direkt mit Adminrechten! In späteren Versionen fragt Windows zwar, was gemacht werden soll, aber der Default ist, soweit ich weiß, immer noch das Ausführen des Autoruns. Die meisten Anwender sind gut dazu erzogen, Windowssicherheitsdialoge stets brav mit Ok wegzuklicken.



  • Ja OK das macht Sinn.
    Als Experte vergisst man wohl leicht dass die meisten User sich vermutlich wirklich nichts dabei denken wenn irgendwo kurz ein paar Fenster aufpoppen wenn sie nen USB Stick anstecken. Schliesslich haben sie ja was gemacht, also nur "natürlich" dass das OS darauf reagiert.

    Was Windows Autorun angeht... das ist doch AFAIK schon seit einigen Windows-Versionen so dass Windows beim 1. mal fragt was es beim Anstecken/Einlegen von Datenträger Typ X tun soll. Und ich bin nichtmal sicher ob es noch eine "mach ab jetzt immer Autorun ohne nachzufragen" Option gibt.


  • Mod

    hustbaer schrieb:

    Was Windows Autorun angeht... das ist doch AFAIK schon seit einigen Windows-Versionen so dass Windows beim 1. mal fragt was es beim Anstecken/Einlegen von Datenträger Typ X tun soll. Und ich bin nichtmal sicher ob es noch eine "mach ab jetzt immer Autorun ohne nachzufragen" Option gibt.

    XP, bis vor kurzem noch weit verbreitet, war Autorun AFAIK noch Default nach Installation. Danach war es Nachfragen, aber mit Autorun als hervorgehobenen Vorschlag.



  • SeppJ schrieb:

    Das ist aber, soweit ich ebenfalls weiß, ein eher theoretisches Angriffsszenario. Proof-of-concept.

    Das stand schon in einem Heise Artikel drin, das geht also in der Praxis.

    Ob's angewendet wird, dürfte schwer herauszufinden sein.
    Denn wie will man unterscheiden ob z.b. ein Standardtrojaner per Netzwerk, social Engineering oder per manipuliertem USB Stick eingeschleust wurde?
    Im Normalfall würde man doch annehmen, dass er über einen der beiden ersteren Methoden kam, zumal ja wohl auch kein Angestellter zugeben dürfte, dass er einen USB Stick vom Parkplatz aufgehoben und in den Firmenrechner gesteckt hat, da könnte er je nach Land und Vertrag eventuell seinen Job los sein, also wird er schweigen.


Log in to reply