WinFuture-Forum.de: BadUSB - Angriff durch manipulierte Firmware - WinFuture-Forum.de

Wollt gerade auf die zugehörige Winfuture-News verlinken, aber leider hat Winfuture (noch) nicht darüber berichtet, also mal über Heise:

BadUSB: Wenn USB-Geräte böse werden

Hier geht's nicht um normale Malware auf einem USB-Stick, sondern um manipulierte USB-Firmware. Nun sind manipulierte USB-Sticks wohl im Bereich Werksspionage gar nicht mal so ganz neu, aber das Neue im o.g. Artikel ist, dass das rein mit Software geht. Aber lest es im Artikel selbst.

Meine Frage dazu ist: Gibt es halbwegs sichere Workarounds gegen so was? Im Artikel steht zwar, eher nein - aber gemeint ist vielleicht nur, dass es keine DAU-kompatible Lösung gibt. Vielleicht Zusatzsoftware, die sich ins System einklinkt und vorm Aktivieren eines USB-Geräts erstmal mitteilt, um welche Art USB-Gerät es sich - laut Firmware - handelt. Stimmt das nicht überein, weil z.B. ein angeblicher Speicherstick sich als Tastatur anmelden will, kann der Anwender das Gerät ablehnen, ansonsten zustimmen. So in der Art vielleicht. Gibt es so was?

Und neu war mir z.B. auch, dass es möglich ist, dass:

ein USB-Gerät am USB-Bus die Datenübertragungen der
anderen USB-Geräte am selben USB-Bus mit snifft.

Das kann man nicht verhindern, da alle physisch am selben Kabel
hängen!

Der PC, und somit auch dessen Gerätemanager, ist dabei gar nicht
involviert.

USB ist eben ein serieller Bus: Alle Geräte die am selben Hub
angeschlossen sind, hängen an ein- und derselben Signalleitung.

Mehr dazu im Heise-Forum:
http://www.heise.de/...-25592789/read/

Eigentlich alles sehr unerfreulich, wenn man bedenkt, wie oft so ein Stick zum Datenaustausch genutzt wird. Also doch lieber CDs/DVDs zum Datenaustausch? Wie seht ihr das?

Das hat mit 'seriell' nicht so sehr viel zu tun - eher damit, daß es ein Bussystem ist.

USB-Klasse und -subklasse werden dem Rechner ja beim Verbinden bekanntgegeben. Entsprechend könnte man das dem Benutzer anzeigen.

Ob das aber praktikabel ist... insbesondere sind ja USB-Geräte (also "echte") durchaus auch mal "Multifunktional", also mit mehreren Teilfunktionen, die auch alle dem Rechner mitgeteilt werden. Dann wird das schwierig, erfolgreich zu prüfen, daß a) das wirklich (bspw) *drei* Subsysteme auf dem USB-Gerät sind - und daß diese sich auch alle "sauber" anmelden - also so, wie es zum ordnungsgemäßen Betrieb auch vorgesehen war.

(Hat man dann natürlich einen Hersteller, der da bewußt "nachhilft"... wird's mehr oder weniger unmöglich.)

Da wird halt (bisher) nix geprüft, wie ja bei anderer Peripherie auch nicht - wenn der sagt "Jo Tastatur" dann ist das halt eine Tastatur. Da muß der Benutzer selber aufpassen, daß er ja eigentlich bereits eine USB-Tastatur hatte... und ehrlich gesagt seh ich da ein bissel schwarz.



Wenn ich den Artikel richtig lese, bleibt eigentlich mehr oder weniger nur, das USB-Protokoll komplett umzukrempeln, um diese Schwachstelle loszuwerden. Ein Ansatz wäre wohl, das auf 801.2x Ebene abzusichern... aber das wäre auch eher für Unternehmen als für Privatpersonen umsetzbar.

Und es birgt halt den Nebeneffekt, daß dann solche "Hacks" wie "USB-Stick zur Wechselfestplatte umfunktionieren, damit man Partitionen drauf anlegen kann" schlicht nicht mehr möglich sind (zumindest nicht wie bisher), denn auch das funktioniert über die Subklasse und diese müßte dann, zwangsläufig, schreibgeschützt sein.

Dieser Beitrag wurde von RalphS bearbeitet: 04. August 2014 - 19:46

 Zitat (RalphS: 04. August 2014 - 19:42)

Genau, da würd mich dann halt interessieren, ob es so was gibt, ob im OS selbst oder von einem anderen Hersteller.

 Zitat (RalphS: 04. August 2014 - 19:42)

Wie gesagt, mir geht's hier nicht um eine perfekte Lösung für Jedermann und für jeden Anwendungszweck, sondern um einen Workaround, den ich selbst anwenden kann. Also z.B. jemand gibt mir einen Stick mit Daten, und ich kuck erstmal nach, als was sich dieser anmeldet. Klar, damit müsste ich mich auch erstmal beschäftigen, um voreilige Schlüsse zu vermeiden. Aber im Artikel wird vor allem der Fall erwähnt, dass ein vermeintlicher Speicherstick sich dem OS gegenüber als USB-Tastatur ausgibt. So was könnte man ja merken.

Und an diesem Punkt lautet meine Frage: Wäre das im Artikel genannte Problem damit im Großen und Ganzen gelöst, oder habe ich da was Grundlegendes übersehen/vergessen/falsch verstanden? Stell ich mir das vielleicht zu einfach vor?

Die Frage kommt vor allem daher, dass gerade Speichersticks gern zum Datenaustausch verwendet werden. Also sonstige Hardware wird ja eher nicht im großen Stil hin- und hergetauscht. Da seh ich dann auch nicht so ein Riesenproblem. Und wenn ein Tastaturenhersteller seine Tastaturen irgendwie manipuliert, da kann man dann halt nix machen. Ist aber jetzt auch nicht so sehr mein Thema. (Also, ich muss zugeben, ich hatte das im Ausgangsposting noch thematisiert, jetzt aber gemerkt, dass es doch nicht weiter wichtig zu sein scheint. Ich sortiere das alles selbst noch.)

eine Möglichkeit:

• mit eingeschränkten Rechten/aktiven UAC arbeiten und
  
• per Richtlinie eine Whiteliste von "erlaubten" (getesteten) USB-Medien erstellen

 Zitat (Stefan_der_held: 05. August 2014 - 11:14)

Ja, das ist auch so eine verwirrende Sache im genannten Artikel. Wie gesagt, ein angeblicher Speicher-Stick hat sich dort als Tastatur beim System angemeldet. Und dann:

Zitat

Quelle: BadUSB: Wenn USB-Geräte böse werden

---

 Zitat (Stefan_der_held: 05. August 2014 - 11:14)

Bitte einen kleinen Hinweis für mich, wo sich solche "Richtlinien" unter Win7 einstellen lassen. Danke!

Ohne jetzt groß FUD schüren zu wollen, aber dagegen hilft - wie der Artikel bei Heise ja andeutet - nicht viel.

Man *könnte* natürlich als "eingeschränkter" Benutzer arbeiten, ein zweites Adminkonto haben und dieses mit einem Paßwort versehen. Dann wird es schon schwieriger... aber nicht unmöglich, wenn der "falsche" USB-Stick das Paßwort einfach mitprotokollieren kann.

Was *vielleicht* hilft, wäre, wenn man in den Gruppenrichtlinien Windows anweist, den "Sicheren Desktop" zu verwenden. Das geht unter

Sicherheitseinstellungen | Lokale Sicherheitsrichtlinie | Sicherheitsoptionen | [Benutzerkontensteuerung] Bei Eingabeaufforderung für erhöhte Rechte zum Sicheren Desktop wechseln

.

Ergebnis davon ist dann, daß die UAC zusätzlich nach Crtl-Alt-Entf verlangt... welches eingegeben werden muß, während diese Aufforderung den Focus hat. Erst dann bekommt man den UAC-Prompt selber (mit oder ohne Paßwort, je nachdem).

NB - erhöhte Sicherheit = verminderter Komfort und wenn man das so macht, muß man:
1- Programm(funktion) starten, was Adminrechte haben will
2- Prompt kriegen, welches zu Crtl-Alt-Del auffordert - das kann, muß aber nicht zwangsläufig automatisch den Focus bekommen.
2.5- Ggf. der Aufforderung den Focus geben.
3- Crtl-Alt-Del drücken.
4- Je nach Konfiguration einfach OK klicken - oder Benutzername und Paßwort eines Benutzers aus der Admingruppe eingeben.
5- Fertig.

Das macht es etwas *un*wahrscheinlicher, daß da *irgendwer* automatisiert an Adminrechte rankommt - insbesondere, ohne daß man was merkt (der Secure Desktop ist einfach schwarz; das *sieht* man also).


Blöderweise sitzt USB - wie alle Hardware - aber "unter" der Benutzerebene - genaugenomen sogar unter dem Betriebssystem -- ; allzuviel kann man da leider nicht machen. Das ist ja das Gefahrenpotential daran.

 Zitat (def: 07. August 2014 - 17:27)

am komfortabelsten mit "GPEDIT.MSC".

GPEDIT.MSC (der Gruppenrichtlinieneditor) ist aber nicht in den "Home"-Editionen von Windows enthalten.

Alternativ kann man die entsprechenden Richtlinien auch in der Registry manuell einstellen/ konfigurieren. Ist halt fummeliger.

Die Pfade zum GPO sowie in der Windows Registry findet man, wie gewohnt, in der TechNET.

Danke @Stefan_der_held & RalphS für eure Antworten. Auf Heise gibts eine neue Meldung zum Thema. Ein Windows-Tool, das helfen kann. Nicht überwältigend, aber ein Anfang scheint gemacht:

Kostenloses G-Data-Tool schützt vor BadUSB-Angriffen

Geht schon mal in die richtige Richtung. Das"Problem" ist halt, daß Hardware generell vertraut wird; wenn es wer darauf anlegt, kann derjenige da viel Unfug treiben, nicht nur re: USB.

Dieses Tool prüft aber nur ob sich das USB Gerät als Tastatur ausgibt.
Warum nicht gleich alles geprüft wird, ist mir nicht klar.

Hier übrigens noch eine Möglichkeit USB weiter einzuschränken: http://www.irongeek....ous_USB_devices

 Zitat (d4rkn3ss4ev3r: 05. September 2014 - 06:35)

so ist es... wer eine FW so umschreiben kann, dass sich ein Stick als USB-Tastatur ausgibt, der kann auch anderes bewerkstelligen.

USB ist schließlich "UNIVERSAL Serial Bus" und nicht wirklich großen Einschränkungen unterwürfig.

Da halte ich das Arbeiten/Konfigurieren von Whitelists bzgl. Gruppenrichtlinien wesentlich sinniger.

Der Link von d4rkn3ss4ev3r bearbeitet eben diese Gruppenrichtlinien innerhalb der Registry bzw. sogar weitere als einfach "nur" Whitelists.