!ALARM! USB Sticks und Geräte

Ja, es ist wirklich erschreckend. Was soll ich denn jetzt mit den ganzen USB-Geräten machen, die mir irgendwelche wildfremden Menschen einfach so geschenkt haben?

Hm, bist du sicher, dass es nicht deine eigenen Geräte betrifft? Hast du mal dein Handy zum laden an einen fremden Rechner gesteckt? Oder jemand anderem Dateien mit deinem USB-Stick übergeben?

So lange du nur deine eigenen Geräte nur an deinen eigenen Rechnern angeschlossen hast ist das wohl kein Problem.

Es betrifft nicht nur Festplatten und USB-Sticks, vom UMTS-Stick bis zum Drucker ist jedes Gerät ein möglicher Überträger. Kamera, Handy, was auch immer...

Natürlich tausche ich Daten aus. Aber das mache ich mit Leuten, denen ich vertraue. Klar, da kann man sich auch problemlos einen Virus einfangen, aber die programmieren sicherlich nicht meinen USB-Stick um, während ich mal kurz auf der Toilette bin.

Wirklich interessant wird das ganze Prinzip eh nur, wenn es sich selbstständig verbreiten kann. Dazu wird eine Art "Kette" benötigt:
1. Infizierter Stick wird in einen Rechner gesteckt.
2. Es wird dadurch eine Malware installiert, die angeschlossene USB-Geräte selbstständig und unbemerkt umprogrammieren kann.
3. So umfunktionierte Geräte werden zu anderen Rechnern gebracht, die dort wieder jene Malware installieren.
...

Der 2. Schritt ist aber kein Hard-, sondern ein reiner Softwareeingriff in den Tiefen des Betriebssystems und hier stehen die Chancen gut, dass dann auch Virenscanner in Zukunft darauf anspringen.

Ideales Thema, pünktlich(!) um das Sommerloch zu füllen.
Das Interessanteste daran ist die Dramatisierung der Presse, die
mangelnde Differenzierung der Beurteilung und der gar köstliche
Fatalismus der Leser. Mein Tipp dazu: Einfach mit Heißkleber
der Marke Paranoia-Fix den USB-Port verkleben

-Perpetuum_Ebner- (Beitrag #1) schrieb:

Die einzige Möglichkeit dagegen anzugehen ist das Versiegeln der USB-Schnittstellen mit einer Heißklebepistole.

Bild-Zeitung-Leser?

Wieso eigentlich im Unterforum PC & Hifi?

Barnburner (Beitrag #6) schrieb:

Bild-Zeitung-Leser?

Nein, Heise Security Leser. Link schon angeklickt? Letzten Satz lesen...

Thema Virenscanner, die sind auch nur auf/von einem nicht kompromittierten System zuverlässig.

Hinweis: Wer diesen Thread für unsinnig hält ist herzlich eingeladen, ihn zu ignorieren.

Naja, Überschrift des Themas und wie du mit Informationen umgehst hat schon Bild-Flair.

Das Thema an sich ist schon intressant.

Barnburner (Beitrag #8) schrieb:

Naja, Überschrift des Themas und wie du mit Informationen umgehst hat schon Bild-Flair.

Hättest Du es sonst angeklickt?

Genauso denkt und agiert die Presse auch

-Perpetuum_Ebner- (Beitrag #9) schrieb:

Hättest Du es sonst angeklickt?

Deswegen hätte ich es fast nicht angeklickt Aber das ist jetzt Off-Topic. Lassen wir das.

-Perpetuum_Ebner- (Beitrag #7) schrieb:

Thema Virenscanner, die sind auch nur auf/von einem nicht kompromittierten System zuverlässig.

Dafür hat das den typischen Heise-Flair:
Virenscanner sind völlig, absolut, total und sowieso wirkungslos, weil sie keinen zero-day-Schutz bieten, manche Viren nicht erkennen und auf einem bereits kaputten System eh nicht funktionieren...

Zunächst einmal gehe ich aber doch stark davon aus, dass das System nicht kompromittiert ist, wenn ich einen Virenscanner darauf installiere. Außerdem verschwinden Viren auch nicht gleich aus diesem Universum, sobald sie älter als einen Tag werden. Dafür sorgen schon allein die ganzen Update-Muffel.

Ich wäre trotzdem in Zukunft vorsichtig.

Glaube mir, es ist besser so. IT besteht nicht nur aus der gekonnten Auswahl von Audio-Codecs.

Oder es gibt Leute die uns den Umgang mit dem PC vermiesen wollen. Wenn man bedenkt was man alles heute für Informationen aus dem Netz ziehen kann, ist das für den ein oder anderen schon ein Dorn im Auge.

Aufpassen muss man überall, auch außerhalb des PC´s. Mein avast hat mich schon vor vielem beschützt, aber wahrscheinlich nicht vor allem, was ja jeden Tag in der Presse zu lesen ist.

So lange nicht morgens irgendjemand mit der Knarre vor meiner Tür steht und sagt du hast gestern abend am PC Scheiße geschrieben, du bist verhaftet, ist mir das egal.

8Quibhirfd8 (Beitrag #14) schrieb:

es gibt Leute die uns den Umgang mit dem PC vermiesen wollen.

Wenn ich solche Kommentare lese fühle ich mich mit "uns" absolut nicht angesprochen.

Ich sehe nämlich in solchen Kommentaren ein absolutes Unverständnis für die Materie. Für "uns".

8Quibhirfd8 (Beitrag #14) schrieb:

So lange nicht morgens irgendjemand mit der Knarre vor meiner Tür steht und sagt du hast gestern abend am PC Scheiße geschrieben, du bist verhaftet, ist mir das egal.

Auch, wenn ich diesem "neuen Angriff" recht gelassen gegenüber stehe, egal sein darf es einem auf keinen Fall.

Und selbst Abseits gesetzlicher Relevanz gebietet es einfach die Höflichkeit, dass ich meinen Mitmenschen keine Spammails schicke oder helfe, ihre Passwörter zu knacken bzw. ihre Internetseiten lahm zu legen.

Das ist doch trotzdem alles maßlos übertrieben. und was habe ich selber dann vom verkleben des USB Anschlusses?
Am Besten den ganzen PC und das Internet Zeug verschrotten und wieder zur Olympia-Schreibmaschine greifen.
golf2

Was spricht gegen vorsichtig sein?

Nichts, aber man kann es auch übertreiben.

Ich denke eine weitaus größere Gefahr ist es sich einen Virus aus dem Internet zu holen.

Moin


jep, ist wie mit dem Tripper vom Toilettensitz

Prinzipiell nie endgültig ausschliessbar, aber in 99,% der Fälle war's nicht der Toilettensitz...

Ausserdem sollten wir unsere Ängste langsam mal sortieren, damit man im Panik-Fall auch korrekt austicken kann..

Ansonsten weiss man garnicht mehr, was man zu fürchten hat:

ISIS, russische Soldaten, Al QUaida, yemenitische Terroristen, malware, zu viel UV-Licht, nicht durchgegartes Fleisch, Frauen mit Doppelnamen, aufgewärmte Pilzgerichte, Ebola, das EU-Parlament, Uschi von der Leyen


- es gibt soviele tödliche Bedrohungen im Alltag, das man meiner Meinung nach das Studienfach 'fear &anger-Management' flächendeckend anbieten müsste, sonst dräut demnächts das nächste Schlachtwort: Fachkräftemangel


ach nee, gibts ja schon- als Umschreibung dafür, das sich keiner freiwillig meldet, wenn es um anstrengende Jobs geht, die auch noch schlecht bezahlt sind

Eins hast du vergessen, die ÄÄNÄÄSÄÄÄ. Aber Frauen mit Doppelnamen sind schlimmer

Update: Der Code ist öffentlich zugänglich:

http://www.zeit.de/d...lack-hat-code-github

Und wer mir jetzt erzählen will, dass ein Virenscanner einen USB-Stick erkennt, der sich als USB-Tastatur ausgibt, der hat wenig bis ganz wenig Ahnung von IT.

Wer uns erzählt, dass er fliegen könnte, erzählt Blödsinn.
Wer erwartet, dass jemand erzählt, dass er fliegen könnte, ist auch nicht der Hellste.

Unter OS X kann auch von einem USB-Stick weder ein Programm noch ein Virus
oder sonst was gestartet werden, sich dieser auch nicht als Tastatur anmelden,
ohne das ich das vorher bewusst mit dem Adminpasswort bestätige.

Wer ohne jede Differenzierung mit einem solchen Pauschalsatz beginnt...

> Grundsätzlich ist ab jetzt vom Gebrauch beliebiger USB-Geräte abzuraten, das USB sich als extrem unsicher erwiesen hat.

...ist absolut nicht ernst zu nehmen. Ausser, man will sich bei der Presse bewerben,
die brauchen so was.

Unter OS X kann auch von einem USB-Stick weder ein Programm noch ein Virus oder sonst was gestartet werden, sich dieser auch nicht als Tastatur anmelden, ohne das ich das vorher bewusst mit dem Adminpasswort bestätige.

Das bedeutet, dass Du an einem Mac nicht die Tastatur austauschen kannst, weil Du ein Passwort eingeben musst, bevor die Tastatur funktioniert?

edit:

PS.: Iworm

> Das bedeutet, dass Du an einem Mac nicht die Tastatur austauschen kannst, weil Du ein Passwort
> eingeben musst, bevor die Tastatur funktioniert?

Nein. Das bedeutet nur, dass du nicht weißt wovon du sprichst.

> PS.: Iworm

Mit Malware verseuchte Raubkopien aus Bittorrent unter Snow Leopard
von 2009. "Wollen Sie dieser Software vertrauen" - "Ja, unbedingt"
Wie schon gesagt, ohne Zutun geht da nix. Facepalm.

stoske (Beitrag #25) schrieb:

Nein. Das bedeutet nur, dass du nicht weißt wovon du sprichst.

Hm,

Die Malware kann zudem so gestaltet werden, dass sie erstens auf jedem Betriebssystem funktioniert und zweitens...

Erkläre mir doch bitte mal, warum sie auf einem Mac nicht funktionieren sollte? Du steckst ein beliebiges infiziertes USB-Gerät ein und das meldet sich als Tastatur an. Wie willst Du das verhindern?

Ach so, es gibt bestimmt den Stoske-Hack der Dich sicher macht.

> Erkläre mir doch bitte mal...

Google kaputt?

> Wie willst Du das verhindern?

Ich? Gar nicht. Das ist auch nicht meine Aufgabe, das macht das System.
"Wollen Sie diesem Computer vertrauen?". Das ist kein Text den ich vor
mich hin sage, das steht in dem Dialog der dann erscheint. Und natürlich
auch nur dann, wenn der Stick was ausführen will. Ist das nicht herrlich?
Hatte ich aber noch nie, hat mir nur mal jemand erzählt, der einen kennen
wollte, der es schonmal hatte. Vermutlich.

> Ach so, es gibt bestimmt den Stoske-Hack der Dich sicher macht.

Nö, aber wenn du magst, darfst du dir das ruhig vorstellen.

Du hast es wohl nicht begriffen.

Ein infiziertes Gerät, sei es ein USB-Stick oder ein Fotoapparat, meldet sich in Deinem System als Tastatur an. Das ist legitim und geht durch simples Überschreiben der USB-Firmware im Stick oder Fotoapparat.

Dein Computer sieht dann eine Tastatur. Keinen USB-Stick, keinen Fotoapparat, keine Soundkarte, sondern eine Tastatur.

Diese vermeintliche Tastatur gibt dann vor, Du würdest sie nutzen und Befehle eingeben. Der Computer führt dann diese Befehle aus, weil er nicht unterscheiden kann, ob sie von Dir oder dem manipulierten USB-Gerät stammen.

Es gibt bisher keine Möglichkeit, dies durch eine Überwachungssoftware zu unterbinden, sagen die Experten.

Stoske sagt etwas anderes und erklärt mich für doof.

Wen werden nun wohl die Experten für doof erklären wenn man sie fragt?

> Ein infiziertes Gerät, sei es ein USB-Stick oder ein Fotoapparat, meldet sich in Deinem System als Tastatur an.

Dann geht der Tastatur-Assistent auf...
"Ihre Tastatur wurde nicht identifiziert. Sie kann erst verwendet werden...bla"
Wer würde das bei einem USB Stick bestätigen?

> Dein Computer sieht dann eine Tastatur.

Nö, soweit kommen wir gar nicht.

Ich habe hier keinen Mac, würde mich aber nicht wundern wenn der Assistent mit der ESC-Taste zu beenden wäre.

Es gibt übrigens auch Kombinationen aus Tastatur und Maus, was wenn der Stick sich als solche ausgibt und den Dialog per Maus selbst bestätigt?

Was, wenn der Stick wartet bis der Rechner neu gestartet wird und erst dann aktiv wird? Wird der Anwender den Dialog mit dem Stick in Verbindung bringen?

Lücken gibt es bestimmt, und die schlimmste Lücke ist die Sorglosigkeit des Anwenders. Ich warne ja nur vor Sorglosigkeit.

ehrlich gesagt?
ist doch egal. Solange man vertrauenswürdige hardware einsetzt, gibt es keine probleme.

übrigens frägt auch windows nach ob man XYZ installieren will. Sofern ekin standarttreiber gneutzt wird, MAC OSX benutzt auch stadnartzreiber für tastatur und co. diese funktionieren out of the box, ohne bestätigung. gestet mit der 3. geeration des mac book pro's

ehrlich gesagt? ist doch egal.

Ja? Wenn man weiß, dass so ein Controllerchip keine spezielle Behanlung braucht, sondern direkt von einem infizierten PC umprogrammiert werden kann?

Solange man vertrauenswürdige hardware einsetzt, gibt es keine probleme.

Welche Hardware ist unter diesen Umständen als vertrauenswürdig anzusehen? Doch nur solche, die noch nie in einem fremden PC gesteckt hat.

Der angreifbare Controllerchip steckt so ziemlich in jedem denkbaren USB-Gerät, vom Stick über Soundkarten, WiFi-Dongles, Kameras, Smartphones,...

übrigens frägt auch windows nach ob man XYZ installieren will.

Hm, bei mir bewegt sich ein kleines Icon im Tray, wenn der Treiber installiert wird, und dies Icon ist üblicherweise gar nicht zu sehen. Man muss es ausdrücklich mit dem Attribut "Immer sichtbar" markieren.

Selbst wenn das auffällt, wäre die neue "Tastatur" nur im Gerätemanager zu finden und wer schaut schon ständig da rein.

MAC OSX benutzt auch stadnartzreiber für tastatur und co. diese funktionieren out of the box, ohne bestätigung. gestet mit der 3. geeration des mac book pro's

Das steht jetzt im Widerspruch zu dem was Stoske sagt, und wäre ein Beweis dafür, dass wirklich - wie die Experten sagen - jedes Betriebssystem anfällig ist.

Noch mal zur Erinnerung, die USB-Geräte können von jedem bereits infizierten PC umprogrammiert werden, daher ist eigentlich ab jetzt jeder USB-Kontakt nach außen ein möglicher Infektionsherd.

Hat so eine Maus / Tastatur überhaupt genügend Rechte, um Software zu installieren?

Das müsste doch so ablaufen:
- gefährlicher Stick wird als Maus erkannt und als solche installiert
- gefährlicher Stick sendet Schadcode an den Rechner
- Rechner identifiziert die Nullen und Einsen als Mausbewegung
- der Mauszeiger ruckelt unkontrolliert...

Oder andersrum gefragt: Warum muss ich bei jeder Gaming-Tastatur mit 400 und mehr Tasten ( ) jedesmal die Treiber-CD einlegen, wenn ich irgendwas jenseits des Standard-Layouts nutzen möchte? Die könnte doch einfach ihre Treiber selbst über den USB-Post installieren (mit Nachfrage). Bisher ist mir kein Gerät unter gekommen, was so etwas macht.

*Nightwolf* (Beitrag #33) schrieb:

Hat so eine Maus / Tastatur überhaupt genügend Rechte, um Software zu installieren?

Die Tastatur hat die Rechte des angemeldeten Nutzers.

Das müsste doch so ablaufen: - gefährlicher Stick wird als Maus erkannt und als solche installiert

Maus meldet bei der Installation ihre Auflösung. Gefährlicher Stick erkennt an den Eigenheiten des Protokolls die Maschine.

- gefährlicher Stick sendet Schadcode an den Rechner

Gefährlicher Stick sendet imaginäre Mausbewegung weit nach links oben über den Bildschirmrand hinaus.

- Rechner identifiziert die Nullen und Einsen als Mausbewegung - der Mauszeiger ruckelt unkontrolliert...

Rechner verschiebt den Mauszeiger in die linke obere Ecke und unterschlägt weitere Signale der Maus in der entsprechenden Richtung.

Schädlicher Stick ist damit auf die Bildschirmposition der Maus (0,0) geeicht und kann jeden Punkt des Bildschirms gezielt ansteuern.

Stick meldet sich zusätzlich als Tastatur, Maus fährt die Position des Dialogs an und klickt.

Oder andersrum gefragt: Warum muss ich bei jeder Gaming-Tastatur mit 400 und mehr Tasten ( ) jedesmal die Treiber-CD einlegen, wenn ich irgendwas jenseits des Standard-Layouts nutzen möchte? Die könnte doch einfach ihre Treiber selbst über den USB-Post installieren (mit Nachfrage). Bisher ist mir kein Gerät unter gekommen, was so etwas macht.

Wenn die Windows-Taste auch mit dem Standardlayout funktioniert, gibt die böse Tastatur nun "<Win>-R" -return ; "Powershell" -return ein und hat das komplette .net Framwork zur Verfügung.

Und das ist relativ mächtig, gerade was Netzwerk und Internet betrifft.

Die böse Tastatur startet mit einer geeigneten Eingabe den Download und die Installation eines Schadcodes, die böse Maus bestätigt die Sicherheitsabfragen...

Denkbar ist solch ein Szenario...

> Die Tastatur hat die Rechte des angemeldeten Nutzers.

Ach, woher denn?

> gefährlicher Stick wird als Maus erkannt und als solche installiert

Soweit kommt es ja nicht, ausser der User akzeptiert den USB-Stick
als Maus oder Tastatur. Schön doof.

> Maus meldet bei der Installation ihre Auflösung.

Wofür denn das? Und wie?

> Gefährlicher Stick erkennt an den Eigenheiten des Protokolls die Maschine.

Was denn für ein Protokoll? Und wie soll der Stick das lesen?
Und warum überhaupt?

- gefährlicher Stick sendet Schadcode an den Rechner

USB-Protokoll mal lesen? Wo soll der Schadcode denn herkommen?
Wo soll er denn hin? Wer nimmt ihn an, wer legt in ab, wer sagt dem
Rechner, dass er das dann ausführen soll? Und woher bekommt er dafür
die Erlaubnis?

> Gefährlicher Stick sendet imaginäre Mausbewegung weit nach links oben über den Bildschirmrand hinaus.
> - Rechner identifiziert die Nullen und Einsen als Mausbewegung
> - der Mauszeiger ruckelt unkontrolliert...
> Rechner verschiebt den Mauszeiger in die linke obere Ecke und unterschlägt weitere Signale der Maus
> in der entsprechenden Richtung.

Das ist so wahnsinnig naiv und so furchtbar frei von technischer Ahnung,
dass man es nicht mal im Ansatz ernst nehmen kann.

> Denkbar ist solch ein Szenario...

Natürlich.
Wenn man offenbar gar keine Ahnung von Computern und deren Funktionsweise
hat und selbst von uralten Grundlagen nur naive Vorstellungen, dann sind endlos
viele verrückte, gefährliche und fantastische Szenarien denkbar. Sie alle haben aber
gemeinsam, dass sie barer Unfug sind, jeder fachlichen, technischen Grundlage entbehren
und nicht mehr produzieren als Angst und Zweifel. Was man nicht versteht, dass kann
man auch nicht beurteilen, und es ist grundfalsch dann zu sagen, dann sollte man
wenigstens Angst davor haben. Das ist absolut zweckfrei und vollkommen kontra-
produktiv.

stoske (Beitrag #35) schrieb:

> Die Tastatur hat die Rechte des angemeldeten Nutzers. Ach, woher denn?

Durch simple Logik: Der Nutzer nutzt Maus und Tastatur für seine Eingaben. Demnach wird auch nicht der Nutzer beschränkt, sondern seine Eingaben.

> gefährlicher Stick wird als Maus erkannt und als solche installiert Soweit kommt es ja nicht, ausser der User akzeptiert den USB-Stick als Maus oder Tastatur. Schön doof.

Für Windows ist diese Aussage definitiv falsch. Standardtreiber werden ohne Nachfrage installiert.

> Für Windows ist diese Aussage definitiv falsch. Standardtreiber werden ohne Nachfrage installiert.

Das ist ja auch die Grundkritik dieser pauschalisierten Aussage...

> "Grundsätzlich ist ab jetzt vom Gebrauch beliebiger USB-Geräte abzuraten, das USB sich als extrem unsicher erwiesen hat."

Zwischen verschiedenen Systemen zu unterscheiden ist ja noch die kleinste
aller fehlenden Differenzierungen. Die Intention ist hier ja eine ganz andere.

stoske (Beitrag #35) schrieb:

> gefährlicher Stick wird als Maus erkannt und als solche installiert Soweit kommt es ja nicht, ausser der User akzeptiert den USB-Stick als Maus oder Tastatur. Schön doof. > Maus meldet bei der Installation ihre Auflösung. Wofür denn das? Und wie? > Gefährlicher Stick erkennt an den Eigenheiten des Protokolls die Maschine. Was denn für ein Protokoll? Und wie soll der Stick das lesen? Und warum überhaupt?

"At the USB level, there is a protocol for devices to announce their capabilities and the operating system to parse the data it gets. "

So steht es bei Wikipedia und es bedeutet, dass USB-Geräte ihre technischen Daten zur Verfügung stellen und dass das Betriebssystem diese Daten abfragen kann. An der Zusammensetzung und der Abfolge der einzelnen Abfragen kann der Controller im Stick die einzelnen Systeme unterscheiden.

USB-Protokoll mal lesen?

Solltest Du. Falls Du es überhaupt verstehst, was ich aufgrund Deiner Reaktion aber stark bezweifle. Hier die Dokumentation
http://www.usb.org/developers/docs/usb20_docs/usb_20_081114.zip

Wo soll der Schadcode denn herkommen? Wo soll er denn hin? Wer nimmt ihn an, wer legt in ab, wer sagt dem Rechner, dass er das dann ausführen soll?

Der Schadcode besteht in Befehlen, die der Controller anstatt eines Users über die Tastatur eingibt. Er kommt aus dem Kopf eines Hackers und ist in der Firmware eines manipulierten USB-Gerätes verankert.

Das ist so wahnsinnig naiv und so furchtbar frei von technischer Ahnung, dass man es nicht mal im Ansatz ernst nehmen kann.

Hm, Du bist so wahnsinnig naiv und so furchtbar frei von technischer Ahnung, dass man Dich nicht mal im Ansatz ernst nehmen kann.

Und arrogant bist Du auch noch.

Natürlich.

Sag ich doch.

Wenn man offenbar gar keine Ahnung von Computern und deren Funktionsweise hat

...sollte man mal einfach den Mund halten, das hast Du recht. Es kann sonst passieren, dass man sich unsterblich blamiert. Gerade wenn man dann mit Realnamen auftritt, kann das zu peinlichen Situationen im realen Leben führen.

und selbst von uralten Grundlagen nur naive Vorstellungen, dann sind endlos viele verrückte, gefährliche und fantastische Szenarien denkbar.

Wenn aber jemand davon Ahnung hat, sollte man als Ahnungsloser doch lieber aufmerksam zuhören und sich nach den Empfehlungen richten. Oder nicht? Alles andere wäre doch dumm.

stoske (Beitrag #37) schrieb:

> Für Windows ist diese Aussage definitiv falsch. Standardtreiber werden ohne Nachfrage installiert. Das ist ja auch die Grundkritik dieser pauschalisierten Aussage... > "Grundsätzlich ist ab jetzt vom Gebrauch beliebiger USB-Geräte abzuraten, das USB sich als extrem unsicher erwiesen hat." Zwischen verschiedenen Systemen zu unterscheiden ist ja noch die kleinste aller fehlenden Differenzierungen.

mehmet88 (Beitrag #31) schrieb:

MAC OSX benutzt auch stadnartzreiber für tastatur und co. diese funktionieren out of the box, ohne bestätigung. gestet mit der 3. geeration des mac book pro's

Die Intention ist hier ja eine ganz andere.

Ja, ich wollte die Leute mahnen, in naher Zukunft vorsichtig zu sein, bis dieser Vektor zuverlässig überwacht werden kann.

Ich habe nicht erwartet, auf dies Maß an Unverständnis zu stoßen.

Hier sieht man ein Beispiel auf OSX:

Watching a USB Hack in Action Makes Me Never Want to Leave My Computer