Die 'unstoppbare' USB-Sicherheitslücke und was dahinter steckt

Vor gut zwei Monaten hatten die deutschen Kryptospezialisten Karsten Nohl und Jakob Lell einen USB-Bug vorgestellt, der Betrügern unglaubliche Möglichkeiten bietet auf ein System zuzugreifen. Bei der diesjährigen Black Hat Konferenz hatten Lell und ... mehr... Datenschutz, Spracherkennung, USB-Stick Bildquelle: Hammacher Datenschutz, Spracherkennung, USB-Stick Datenschutz, Spracherkennung, USB-Stick Hammacher

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Unpatchbar? NEIN!
Ein Patch könnte so aussehen das eine 2. Tastatur erst akzeptiert wird wenn ein Passwort eingegeben wird. Problematisch wird das ganze im BIOS denn auch dieses bräuchte einen Patch. Betroffen dürften eh nur Systeme sein die dauerhaft eine Tastatur angeschlossen haben. Eine einzelne Tastatur kann daher immer akzeptiert werden. Das System muss sich halt nur merken welche Tastatur das ist so das beim starten falss dann 2 Tastaturen vorhanden sind zunächst nur die bekannte funktioniert.
 
@Eistee: Das ist kein Patch sondern ein Workaround. Das Problem ist ja deswegen nicht behoben.
 
@RalfEs: workaround, oder nicht, das ist doch egal. der schwerwiegende usb bug kommt dann nicht mehr zum tragen und nur das ist wichtig. es wird noch viele jahre alte "phison" usb-sticks geben und diese könnten eben manipuliert sein. damit muß man umgehen (können). phison ist marktführer, also kann jeder 2te usb-stick betroffen sein. die einzige möglichkeit z.zt. ist, keine fremden usb-sticks am rechner zuzulassen. was anderes sehe ich leider nicht.
 
@stereodolby: Nicht falsch verstehen, ich habs grade selber versucht durch nachschlagen herauszufinden, was mir aber nicht wirklich gelungen ist, daher folgende (ernstgemeinte) Frage: du bist sicher, das sich das verbauen dieser Phison Chips auf in USB Sticks verbauten / verbaut werdenden Platinchen beschränkt, diese Controller Chips nicht auch auf Mainboards direkt verbaut wurden / werden ?
 
@DerTigga: So wie ich das verstehe ist auch eher der USB-Controller auf dem Mainboard gemeint.
 
@Draco2007: huch, der controller auf dem board? ach, du sch... was machen wir denn jetzt? ich blicke in die zukunft und mir wird schlecht...
 
@Draco2007: So sah und sehe ich es nämlich auch, daher die Frage bzw. das drauf aufmerksam machen wollen.
 
@RalfEs: Zur Problembehebung hat G-Data das "USB Keyboard Guard" entwickelt. Es kann als Ergänzung dort heruntergeladen werden und bietet dann entsprechenden Schutz vor diesem Problem.
 
@Eistee: Es geht wesentlich einfacher. Man steckt eine Tastatur an und muss über diese eine auf dem Bildschirm angezeigte Nummer eintragen ... dann ist klar, dass es eine Tastatur mit Mensch dahinter ist. Erst dann wird die Tastatur für andere Dinge freigeschaltet. Ähnlich kann man es auch mit Mäusen / Touchscreens machen. Ist es eine "böse" Tastatur, verkleidet als Tastatur, helfen beide Mechanismen so oder so nichts. Jedoch kann so nicht mehr jeder USB Stick als "böse" Tastatur missbraucht warden.

Das Verfahren wird bereits bei Bluetooth Tastaturen angewendet, um sicherzustellen, dass es die eigene Tastatur ist, die sich gerade anmeldet und ein Schlüssel für die Verschlüsselung ausgetauscht werde kann.
 
@2ichy: Bei ner Tastatur gehts... Was ist wenn es ne Videocamera ist? Oder ein Drucker?! Es geht ja darum dass sich ein USB-Gerät als ein Eingabegerät ausgibt, welches keines ist...
 
@hempelchen: Mit einem Drucker kann ich nicht "so" einfach das UAC von Windows aushebeln. Mit einer Tastatur geht es schneller als man sehen kann.
 
@hempelchen: nur usb sticks können sich als tastatur ausgeben im moment.
 
@Eistee: Oder das OS ruft erstmal nur ab, um was für ein Gerät es sich handelt, lässt andere Daten davon erstmal ins Leere laufen und fragt den Nutzer "Hömma, ich hab da was gefunden. Willst du das verwenden?"

Also so wie bei Autostart-Dateien seit Anno Dazumal und wie es auch bei Datenträgern möglich ist.
 
Ich würde mir einfach eine Auswahl wünschen, sobald ich ein USB Gerät anschließe:
Das Gerät XYZ möchte folgende Geräte am System anmelden:
- Datenträger
- Tastatur
- Maus
- XYZ
Bitte wählen Sie aus, was angemeldet werden soll.

Falls gerade weder Maus noch Tastatur existieren, lässt es die erste Maus und Tastatur zu. Weitere Maus/Tastaturen und weiteres muss immer bestätigt werden.
 
@Stefan1200: Ist halt nicht ganz so Plug and Play, wie man sich das evtl. vorstellt (oder wie es bisher war). Kann mir viele ältere Nutzer vorstellen, bei denen so ein Fenster aufspringt, dass sie es einfach schließen und den USB-Stick zum Händler zurückbringen.

Weiteres Problem: Es gibt viele Tastaturen, die einen USB-Hub besitzen, wie unterscheidet man nun, ob das Signal, dass ja durch das Kabel der Tastatur an den Rechner kommt nun echte Tastenschläge sind oder nicht?

Weiteres Problem: Ich habe zurzeit neben meiner Maus 3 Geräte per USB an meinem Rechner angeschlossen: einen Scanner, einen Drucker und eine externe Festplatte. Ich habe ganz sicher keine Lust bei jedem Reboot wieder alle meine Geräte zu identifizieren und zuzuordnen.

Klar, deine Lösung ist wahrscheinlich eine der Sichersten, aber ganz bestimmt nicht die komfortabelste.
 
@Billkiller: Naja man muss ja nur abfragen, ob das neu angeschlossene USB-Gerät wirklich eine Tastatur/Maus ist.

Eine Festplatte sollte kein Problem darstellen, eine wirkliche Gefahr sind ja nur Eingabegeräte. Außerdem muss diese Abfrage ja nur einmal kommen, nämlich bevor die Treiber installiert werden, damit ist das mit den Hubs auch kein Problem mehr.

Die Lösung wäre auf jeden Fall komfortabler als die Benutzerkontensteuerung und die wurde inzwischen auch schon angenommen, auch wenn die meisten sowieso immer ohne nachzudenken auf ja klicken.
 
@theBlizz: Weshalb gehst du eigentlich davon aus, das nur das angeschlossen werdende USB Gerät "das Problem" ist und nicht der auf dem (Main)Board befindliche, das angeschlossen werden ver und bearbeiten können sollende Controller-Chip ?
 
@DerTigga: Sorry ich versteh deinen Satz nicht... Meinst du jetzt der Controller-Chip am Mainboard ist manipulierbar? Im Artikel gehts nunmal um ein USB-Gerät, dass sich als Eingabegerät ausgiebt und Tastaturbefehle schickt und das Problem könnte so ganz leicht gelöst werden - Windows erkennt, dass eine Tastatur angeschlossen wurde und wartet auf die Bestätigung des Nutzers, bevor der Treiber installiert und das Gerät aktiviert wird. Das ist doch ein reines Softwareproblem oder übersehe ich was?

Edit: Genau das macht übrigens das im Artikel verlinkte G Data USB Keyboard Guard.
 
@theBlizz: Ich meine damit schlicht die ganz grundsätzliche Frage, wieso ein solcher, manipulierbarer bzw. "ver-malware-risierbarer" USB Controller Chip sich NUR auf bzw. in einem USB Gerät, am ehesten wohl in einem USB Stick, befinden sollte,
wo die Chance, das er im Gegenteil schon direkt im warmen Nest sitzt, eben hardwaremäßig (und somit weit gefährlicher wie ich finde) direkt mit auf dem Mainboard verbaut, mindestens genauso groß oder gar größer ist.
Das, oben im Artikel, dieses mit auf einem (Main)Board sein und sich daher im Gegensatz zu nem abziehbaren Stick permanent auswirken können, definitiv ausgeschlossen wird, sehe ich irgendwie nicht.
Sich "nur" mit der Gefährlichkeit von USB Sticks und dem Umgehen oder dem Abwürgen deren Gefährlichkeit zu beschäftigen, könnte also bös nach hinten los gehen bzw. die angedeutete Malwareproblematik gewaltig unterschätzen.
Stell dir einfach mal einen unbemerkt aber permanent "gehackten" oder jederzeit und leicht (erneut) "hackbaren" USB Controller Chip auf den Mainboards von mehreren Millionen laufenden PCs vor und du verstehst, was ich meine bzw. oben angedacht hatte.
Zumindest ich kenne jedenfalls kein Antivirusprogramm, das hergehen kann und Malware aus der Firmware solcher Chips rauslöschen kann.

Etwas ähnliches gab es ja mal vor längerem im Punkt der BIOS-Chips.

Von (ganz) anderen Geräten, wie Laptops, Smartphones, Tabletts, Mp3 Playern usw. usw. noch garnicht geredet.
Und auch noch nicht davon geredet, das es theoretisch möglich sein / werden könnte, das es ziemlich bis ganz egal ist, welches Betriebssystem auf dem jeweiligen Gerät läuft, die Hauptsache bzw. Grundvoraussetzung ist aber erfüllt: solch ein Phison Chip bzw. einer aus einer oder mehreren bestimmten Baureihen ist verbaut (worden) bzw. wird vorgefunden.

Von daher könnte das, was Herr Nohl über die Beseitigbarkeit und deren denkbare / notwendige Zeitspanne sagte, womöglich (leider) durchaus wahr werden.
Was dazu sagen wird aber am ehesten die Firma Phison selber können, denn die dürften am ehesten wissen, wieviele hunderttausende oder gar Millionen Chips die (schon) verkauft haben.

Bei bzw. angesichts der kriminellen Energie so mancher Zeitgenossen könnte man womöglich sogar auf die Idee kommen, mit sowas wie Beten anzufangen oder zumindest ne Großpackung Auffangbeutel für Erbrochenes parat zu stellen *fg
 
@Billkiller: Da hätte ich mir einfach ein Haken vorgestellt: "Auswahl für dieses Gerät merken"
Immerhin würde dies gleichzeitig noch das nervige Problem lösen, das irgendwelche UMTS Sticks oder andere USB Geräte gleich noch ein Laufwerk mit anmelden, auf dem sich ein veralteter Treiber drauf befindet.
 
@Stefan1200: Na dann schau dir mal das Tool an, das macht fast alles was du willst und verhindert auch das sich USB Geräte als Tastatur anmelden wenn sie keine sind
http://www.uwe-sieber.de/usbdlm.html
 
Oder ne Tastatur über PS/2 anschließen und nicht über USB?!
 
@Hans Meiser: Fällt mir bei einer Logitech G15 schwer ;)
 
@Stefan1200: Adapter?! ;-)
 
@Hans Meiser: Davon überzeuge du bitte die Tastatur, die mit dem Display und Tasten mit vielen Anwendungen Daten austauscht. ;)
 
@Hans Meiser: Welcher moderne Rechner hat denn heute noch PS2?
 
@Eistee: alle welche keinen "modernen" benötigen
 
@achtfenster: Die Frage war, welcher moderne Rechner noch PS2 hat und nicht, welche Person einen modernen Rechner hat.

Darüber hinaus hilft das, wenn ich den Artikel richtig verstehe, auch nur dann, wenn du an deinem Rechner keinen einzigen USB-Port hast.
 
@achtfenster: Seit wie vielen Jahren werden denn jetzt keine PS2 Anschlüsse bei Neu-Rechnern mehr verbaut? Seit etwa 8-10 Jahren? Ich denke, Rechner dieser Altersklasse sind noch Unmengen auf dem Markt und werden vielen Nutzern noch Jahre ausreichen. Aber PS2 ist mittlerweile komplett Tod und sehr selten anzutreffen.
 
@seaman: So selten, dass jedes der 20 Mainboards, die ich mir gerade auf alternate angeschaut habe, ein PS/2-Anschluss hat?
 
@seaman: Die meisten Mainboard-Hersteller haben immer noch PS/2-Anschlüsse auf ihren Boards, genau so wie es immer noch VGA-Anschlüsse gibt.
 
@seaman: Ähm, bei vielen Mittelklasse MB hast du noch PS2 Anschlüsse, aber das spielt auch keine Rolle, weil die sind keine Lösung für das Problem an sich
 
@seaman: Naja wenn man nach aktuellen Mainboards schaut haben fast 99% noch einen PS2 anschluß, aber trotzdem ist PS2 keine Lösung und ich werde sicher nicht wieder auf PS2 umsteigen. Die Lösung von @Hans Meiser ist doch ganz gut.
 
@Arnitun: PS/2 ist halt besser als USB für 'einfache' Eingabegeräte. USB kann in der Regel kein NKRO, sorgt für eine höhere CPU Auslastung und hat standardmäßig eine schlechtere Pollingrate. Dafür kann PS/2 keine Geräte mit Strom versorgen und ist nur für Eingabegeräte geeignet.
 
@Eistee: Habe mir auf alternate 20 aktuelle Mainboards angeschaut, alle haben PS2...
 
@Eistee: Alle Rechner werden noch mit PS2 versorgt.
 
@Eistee: so ziemlich alle Mainboards haben zumindest noch einen PS/2 Anschluss es ist sogar eher selten das dieser nicht verbaut wurde.. wohl schon länger nicht hintern Rechner gesehen oder ??
@knirps nein alle wiederum auch nicht
schau dir das "EVGA Z97 Classified" Board an das hat z.B. kein PS/2 mehr
 
@Alle: Alle aktuellen Mainboards und PCs haben PS/2? Also diese Sub-Mini-PCs, z.B. Intel NUC, Chromebox usw. zumindest nicht. Notebooks, Netbooks usw. auch eher nicht.
 
@Lastwebpage: Alle deine genannten fallen auch nicht unter die Kategorie PC und haben alle keine austauschbaren Mainboards! Und um die geht es und nicht um die fertig gebauten System, sondern da, wo man selber entscheiden kann, welche Komponenten verbaut werden... und die werden meist so kompatibel wie möglich gemacht und haben daher meist alle noch einen PS/2 Anschluss.
 
@Eistee: PS2 ist bei Tastaturen gegenüber USB weit überlegen!
 
@mh0001: aja, dann zähle mal bitte dir "Vorteile" auf. mir fällt spontan ein Nachteil ein: nicht erkennen bei bereits gestartetem Rechner.
 
@Conos: Besonders für Gamer interesant ist das so genannte Ghosting. Während USB-Tastaturen schon nur bei 5 gleichzeitig gedrückten Tasten z.B. nur 4 erkennen, tritt dieses Problemen bei Tastaturen mit PS/2 Anschluss oftmals nicht mal auf, wenn man alle Tasten gleichzeitig drückt.

(Mehr dazu auch hier: http://www.computerbase.de/forum/showthread.php?t=740828)
 
@Conos: 1. gleichzeitige Verarbeitung beliebig vieler Tastenanschläge, 2. USB-Verbindungen basieren auf polling und einer Software-Zwischenschicht, d.h. der Anschluss wird vom System mit einer bestimmten Abtastrate abgetastet und ausgelesen (bei Logitech-Mäusen kann man z.B. einstellen 125 Hz, 500Hz usw.), ist das System jedoch voll ausgelastet (CPU) oder hängt, dann hängen USB-Verbindungen mit und der PC reagiert verzögert oder gar nicht auf Tastatureingaben. PS2 hingegen ist rein BIOS-implementiert (daher auch der obligatorische Neustart wenn man ein Gerät an PS2 anstöpselt, dein "Nachteil" begründet sich im größten Vorteil von PS2!) und interrupt-basiert, d.h. wenn die Tastatur einen Anschlag meldet wird dieser vom BIOS direkt als Eingabe umgesetzt, das Betriebssystem bzw. irgendein Treiber muss nicht aktiv sein und das Gerät die ganze Zeit abfragen.
Daher gibt es mehrere Szenarien wenn Windows scheinbar hängt, in denen man mit einer PS2-Tastatur noch was machen kann (STRG+ALT+ENTF und den hängenden Prozess abschießen), wo der USB-Treiber jedoch bereits hängt und USB-Eingabegeräte nicht mehr reagieren.
Zusammenfassend und einfach gesagt: PS2-Verbindungen sind in keinster Weise vom Auslastungszustand des Systems abhängig und reagieren immer gleich verzögerungsfrei, während bei USB-Eingabegeräten immer Software dazwischen hängt, die das USB-Protokoll abarbeitet und die Tastatur als Eingabegerät einbindet.
Hast du das noch nie gehabt, dass bei hoher CPU-Auslastung wenn irgendwas schief läuft der Mauszeiger anfängt sich nur noch abgehackt zu bewegen oder zu springen? Das ist ein typisches Problem von USB-Eingabegeräten, da der USBHID-Treiber sich eben mit den anderen Prozessen die CPU teilt. Mit einer PS2-Maus könnte das nicht passieren.
 
@mh0001: Vollkommen richtig, endlich mal jemand der versteht, dass PS/2 technisch überlegen ist! Siehe auch mein o3-re5 - Danke für die ausführliche Antwort!
 
@mh0001: und genau dashalb gibt es auch heute noch PS2 für die Tastatur an modernen Mainboards. Für die Maus ist er aber überflüssig geworden.
 
@Eistee: Jedes gute Mainboard bietet diese Anschlüsse optional! Genauso, wie der Com-Port wohl nie aussterben wird!
 
@Hans Meiser: Da wird dir jeder Gamer den Vogel zeigen und zwar zu Recht. Es gibt nen Grund wieso PS2 eigentlich nicht mehr genutzt wird.
 
@Scaver: Aha und der wäre? Komm jetzt bitte nicht mit Hotplug, wie oft kommt es vor, dass man im laufenden Betrieb die Tastatur wechselt?
 
@Scaver: Den Grund wirst Du wohl schuldig bleiben müssen, denn ich habe, aus obigen und weiteren funktionellen Gründen, an allen meinen Desktop-Rechnern und einigen meiner Docking-Stationen für die Notebooks und Tablet-Convertibles PS/2-Tastaturen. Nicht nur, aber eben auch, weil ich eine Zeit lang viel am Computer gespielt habe. Die USB-Tastaturen, die ich besitze, kamen alle zusammen mit einem Rechner und werden bei mir fast nie genutzt.

Einige der Gründe, wieso der Anschluss per PS/2 dem per USB vorzuziehen ist, können hier nachgelesen werden: http://www.tomshardware.com/reviews/mechanical-switch-keyboard,2955-5.html

Wie in vielen anderen Bereichen bei Consumer-Produkten (z.B. bei Digitalkameras, die heute dank immer kleinerer Fotodiodenflächen und damit immer stärker rauschender Chips inzwischen pseudo-rauschfreie computerberechnete Aquarelle anstelle von Bildern produzieren und dazu noch durch den CMOS-Rolling-Shutter-Effekt Bilder von bewegten Objekten verzerren) entwickelt sich die Technik oft nicht vorwärts, sondern rückwärts. Schuld daran ist die per Werbung leicht zu beeinflussende bzw. leicht in die Irre zu führende Massenkundschaft, die Geräte kauft, die schlechter sind als die Vorgängergeneration, nur weil die neuer aussehen und in allen Medien als ganz toll angepriesen werden.

So haben wir heute Videokameras, die schnelle Bewegungen nicht mehr verzerrungsfrei aufzeichnen können und sogar DSLRs für über 3000EUR, deren hochauflösende Sensoren derart rauschen, dass selbst das RAW schon in Echtzeit durch qualitätsmordende Entrauschungs- und Nachschärfungsalgorithmen läuft, die echte Auflösung kosten und dazu noch Fehler ins Bild rechnen. Die Vorgängertechnologien konnten Bewegtbilder noch ohne Rolling-Shutter-Effekt aufnehmen und haben noch echte Bildern aufgezeichnet und keine nur an die Wirklichkeit angelehnten, von der Rauschunterdrückung/Nachschärfung mehrfach neu zusammengepuzzleten Pixel-Computergemälde erzeugt.

Bei den Tastaturen ist es nicht anders. Die meisten Gamer sind eben auch nur werbungshöriges Massenpublikum ohne tiefere Kenntnisse der Materie. Deshalb verwenden viele eben USB-Tastaturen. Weil sie denken die USB-Technologie ist neuer als PS/2, die muss ja besser sein. Ein klarer Irrtum. Das kommt eben davon, wenn man anderen Leuten das Denken überlässt und aus Bequemlichkeit immer das nachexerziert, was die Masse der Menschen tut. Wie die Masse der Lemminge ins Wasser fällt und ertrinkt, fällt man dann eben auch mit der Masse der Menschen auf findige Geschäftemacher herein.
 
Find nur ich das überhaupt nicht so dramatisch wie es überall gehyped wird? Ok, dass man USB Devices programmieren kann um sie beliebige Geräte simulieren zu lassen ist alt, das gibts ja schon länger. Hier wird eben ein USB Stick verwendet, naja, seis drum. Wenn man seinen PC immer sperrt ist das kein Problem und in der Firma sind private USB Sticks sowieso kein Thema. Auch ist ja kein Exploit bei der Sache dabei oder sonstwas, es wird nur USB "genutzt".. Steck ich meinen Custom-USB-Stock in irgendeinen Rechner kann der auch nicht mehr tun wie ich auf der Tastatur.. Nur schneller..
 
@Omegavirus: Hmm, dachte ich zwar auch zuerst, aber eine möglichkeit wäre mit shortcuts bestimmte Tools zu öffnen, eingaben zu tätigen und das System zu verändern bzw. Schadcode nachzuladen. Man sieht zwar ggfs was am Bildschirm abläuft, aber nicht immer sitzt auch eine Person vor dem Bildschirm. Aber stimmt schon, ggfs. kann man auch manuell maus und Tastatur einschließen und blödsinn treiben. Mit dem USB Stick gehts halt schneller.
 
@FatEric: Naja... die Sache mit den USB-Sticks, die auf irgendwelchen Parkplätzen "verloren" wurden und dann von den Findern daheim oder in der Firma ausprobiert werden mußten, kennt man ja. Glaubst Du, wenn Du Dich mit Maus und Tastatur auf die Straße stellst, daß Dich jemand mit nach Hause oder in die Firma nimmt, und an seinen Rechner läßt? Für Hacker und anderes Gesocks wie zB. die NSA eröffnet sowas doch ganz neue Möglichkeiten...
 
Es sollte strafbar sein solche Informationen zu veröffentlichen. Vor allem nach solch einer kurzen Zeit. Wenn nun 2 Jahre ins Land gegangen wären, ok. Aber in 2 Monaten kann man keine Wunder erwarten.
 
@pcbona: stimmt. solche sicherheitslücken sollten nach 2-3 wochen schon gefixed sein
 
@Shakal.hh: Gefixt? Wie stellst du dir das vor? Es ist ein Hardware Fehler. Hast du schonmal deinen USB-Controller geflasht? Also ich nicht.
Selbst wenn die Softwaretechnische Lösung trivial ist, bekommt man einen Fix praktisch nicht verbreitet...
 
@pcbona: Sollten wir dann die Veröffentlichung von Informationen generell unter Strafe stellen? -.-
 
@pcbona: Schonmal auf die Idee gekommen, das kriminelle Ausnutzen von solchen Lücken bzw. Informationen unter ganz schwere Strafe zu stellen ? Und das: Informationen darüber an geeigneten oder noch zu schaffenden staatliche Stellen abgeben, dort konkret darüber berichten, wer sowas zielgerichtet ausnutzt, mit Geldzahlungen von 2000 - 5000 Euro zu belohnen, sollte es sich bewahrheiten, das die Infos zutreffend sind ... ?
Oder sind auf einmal die, die es egoistischer Weise ausnutzen, schützenswerter, als die, die es herausgefunden haben ? Ich hoffe jedenfalls sehr, das du nicht mit dem Totschlagargument angerollt kommst: naja selbst Schuld, man kann schließlich rausfinden (wollen) ob man so nen Chip hat und sich dann schützen.
Genau hinter solchen Argumenten anderer verstecken sich jene gewissen Lücken-Ausnutzer-Assis nämlich. Ich finde, das viel eher jene Leute bestraft gehören, die solche Assi-Typen, per ner Art Robin-Hood Denkweise oder einfach ner grundsätzlichen Art von: was gegen die "böse" Obrigkeit(Polizisten, Richter usw) meinen machen zu müssen Denkweise sogar für Beschützenswert halten. Ich bin jedenfalls der Meinung: solche Lücken Ausnutzer sind keine zu "uns" bzw. vor Strafe beschützt gehörende Menschen.
Aber wie so oft wird es da rund um die Uhr Einsätze von Herrn Jemand und Frau Irgendwer geben müssen, da zehntausende ihre Mitverantwortung wiedermal abschieben werden per: man sollte, jemand müsste mal ...aber ich..nee..also ich kann, muss, will grade nicht..
 
@pcbona: security by obscurity hat nichts mit Sicherheit zu tun. Und wer sagt, dass dieser Designfehler nicht schon seit 7 Jahren von Person X benutzt wird?
 
Irgendwie hatte ich immer noch das Credo im Hinterkopf dass prinzipiell Dein Rechner kompromittiert ist wenn ein Angreifer physischen Zugriff darauf hat, denn er kann dann ja wirklich alles damit anstellen. Der USB-Port ist schon immer eine Schwachstelle gewesen genau wie Thunderbolt prinzipiell auch. Wenn ich einen Rechner im öffentlichen Raum aufstelle, sollte der sowieso keine ungesicherten Anschlüsse haben. Das einzige Problem welches mir für diesen "hack" in den Sinn kommen würde wäre wenn an einem Flughafen die dortigen Sicherheitskräfte "aus Sicherheitsgründen" mit Deinem Laptop im Hinterzimmer verschwinden.
Btw müsste das ja dann auch smartphones, MP3-Player etc betreffen...
 
@Stamfy: Zu letzteren, vielleicht theoretisch... Meine ext. HD ist von WD, mein MP3-Player von Sony, TV-Stick von hauppauge, mein Drucker von Canon, und natürlich noch Maus und Tastatur von Logitech bzw. MS. Mit 100% Sicherheit auch alles im Original von diesen Firmen. Bei mir zumindest gibt es keine Verwendung von USB-Geräten mit zweifelhafter Herkunft. Für irgendwelche Billiggeräte auf eBay würde ich das aber nicht gänzlich ausschließen. Die Wahrscheinlichkeit das irgendwo mal irgendjemand irgendeinen USB-Stick verwendet, ist da wohl erheblich höher.
 
@Stamfy: Der Unterschied ist, dass hier niemand physischen Zugriff auf deinen Rechner benötigt. Es reicht, wenn dir jemand einen USB Stick gibt und du diesen anschließt.
 
@WinLinMax: Aber damit HAT er doch physischen Zugriff, auch ohne dass er direkt vor dem Rechner sitzt.

Ein USB-Stick aus unbekannter Quelle ist IMMER ein extrem hohes Risiko.
Gab schon Fälle, da wurden USB-Sticks auf einen Firmen-Parkplatz geworfen und die Mitarbeiter haben sie gefunden und in die Rechner gestöpselt...
Ob sich der USB-Stick jetzt als Tastatur tarnt oder per Auto-Run irgendwelche Malware installiert, spielt meiner Meinung nach keine Rolle.
Bekomme ich einen USB-Stick an einen Rechner ist die Sache gelaufen...
 
@Draco2007: "Ein USB-Stick aus unbekannter Quelle ist IMMER ein extrem hohes Risiko." - Die WISO-CD (Steuerprogramm) anno irgendwann mal war auch direkt ab Werk mit einem Gratis-Virus versehen. Den Hersteller (Presswerk) als unsichere Quelle haben die wenigsten mit auf dem Plan. Oder scannst Du jede originale CD/DVD/BR, bevor Du mit Ihr loslegst?

Gut, das Beispiel ist eine Weile her, aber keine Unmöglichkeit dieses auch bei USB-Stick-Herstellern einfach mal "zu versuchen".
 
@Diak: Da wirfst du was durcheinander.

Wenn ich einen USB-Stick auf der Straße finde, werde ich den ganz sicher nicht mal in die Nähe eines USB-Ports lassen.
Aber wenn ein Softwarehersteller (oder jeder andere Hersteller, der irgendwelche Datenträger nutzt) Probleme mit der eigenen Sicherheit hat, dann ist das ein völlig anderes Problem.

Anders ausgedrückt, nur weil ich keine Süssigkeiten esse, die ich auf der Straße finde, heißt das nicht, dass ich nichts mehr esse, weil ich Angst habe. Selbst wenn es ein paar Fälle von vergifteten Lebensmitteln gab. Das sind einfach 2 paar Schuhe.
 
@Stamfy: Was spricht denn dagegen, das in diesen Smartphones, Tablets usw. Phison Chip basierende USB Controller verbaut worden sind ? Ist doch schließlich der Marktführer ?
 
@DerTigga: Nichts, zumindest was den Chip anbelangt. Aber wenn das OS Deines MP3-Players keine Tastatur am USB-port erwartet oder damit umgehen kann, bringt es wenig wenn der USB-Stick brüllt "ich bin eine Tastatur, ich bin eine Tastatur" :)
 
@Stamfy: Wenn die Malware(.exe) brüllt: Hurra, ich hab hier im USB Anschluss des Mp3Player, Smartphones... einen verbauten und dank zur Baureihe abc gehörig verseuchbaren Phison-USB Controller Chip gefunden, na dann wollen wir mal ordentlich loslegen ... ist das passiert, was ich meine bzw. als theoretisch denkbar annehme. Siehe auch meine 2 Beiträge oben, unter 02, re1 und re 2.
 
USB war noch nie und wird auch nie solche eine Sicherheitslücke sein wie Thunderbold oder Firewire!
USB ist immer ein passiver "Slave", ohne den "Master", in dem Fall das Betriebssystem läuft da absolut nichts. Thunderbold/Firewire kann dank direktem DMA Zugriff am Betriebssystem vorbei Daten direkt im Arbeitsspeicher anzapfen etc.
 
@KralekM: Wenn ein beliebiges USB-Gerät in der Lage ist, sich als Tastatur auszugeben, dann wird auf modernen PC's nichtmal ein laufendes OS benötigt. Kommst Du mit Deiner USB-Tastatur ins BIOS? Siehste...
 
@starship: Es ist noch garnicht so lange her da war USB Keyboard Support noch eine seltenheit! zu mal wenn die Lagacy (->PS2) Emulation ausgeschaltet ist man auch heute weder im Bios noch unter DOS etc. das Keyboard oder Maus nutzen kann! Nativen USB Support hat man heute nur im UEFI und das kannste getrost als kleines Mini-betriebsystem sehen was von sich aus "richtig" Gerätetreiber mit bringt. Bei USB läuft absolut nichts ohne Treiber, das ist Fakt!
 
Also das hört sich ja schlimm an, aber ist es das wirklich? Es wurden 3 Angriffe gezeigt: Booten, Tastatur und Netzwerkkarte mit DHCP-Server. Gegen den Boot-Angriff hilft ein Bios-Passwort, dann kann weder vom Stick gebootet werden noch kann das Bios verändert werden. Bei dem Tastatur-Angriff laufen alle Eingaben im User-Kontext. Zudem kann man das GDATA-Tool installieren. Und gegen den Netzwerkkarten-Angriff reicht schon eine feste IP (bzw. DNS) oder eine Firewall, die nur einen DNS-Server zulässt.
 
Verstehe ich das richtig daß das ganze im Prinzip wie ein USB Rubber Ducky funktioniert, aber dafür den Controller von bereits vorhandenen Geräten nutzt? Dann ist ja der Angriff über ein HID-Gerät absolut nichts neues, sondern lediglich der dafür verwendete Controller.
 
@Johnny Cache: Jay, Hack5 :D ...wann war das ... 2009?
 
@2ichy: Nah dran, die erste Folge vom Rubber Ducky lief im April 2010 bei Hak5.
Von daher muß es wohl irgendwann 2009 entdeckt worden sein.
 
Vertue ich mich oder wurde über sowas nicht schon im letzter Jahr oder sogar davor darüber berichtet?
 
Hier mal ein Comment aus dem Wiredartikel. Es ist mal wieder ein populistisches Thema was hier gehypt wird ( Quelle: http://www.wired.com/2014/10/code-published-for-unfixable-usb-attack/ ):

I make a living designing and selling USB controllers and I can say
this article is very sensationalist and it is only telling a half-truth.
Yes, some USB devices rely on firmware for fundamental operation and
yes, the device firmware of *SOME* USB devices can be field-upgraded or
otherwise updated, but to claim that USB itself is fundamentally broken
due to this limited attack vector is nonsense.

There are three things that make this attack very specific and difficult to execute:

1)
Most USB device controllers are ASIC's, or Application Specific
Integrated Circuits. They are usually highly optimized to perform their
intended function very well, and they usually do not have extensibility
to become other devices. For example, one of my company's products is a
USB 3.0 to SATA Bridge, which is used in USB 3.0 external drives. Our
USB 3.0 to SATA bridge contains USB endpoints for USB Mass Storage Class
and that's it. Even if you re-programmed our device firmware, all it
could be is a USB Mass Storage Class device since the USB endpoint
number and types are fixed in hardware. We did this to make the chip as
lean as possible. It is impossible to program our chip to become a
functional networking controller or a keyboard device since we don't
support those features on the silicon.

>>>> Not All
USB Devices can be infected! Even if you managed to infect the device,
chances are you'd brick it rather than make it into something malicious.
Manufacturers are usually cost sensitive and they find ways to trim
costs everywhere they can ~ releasing general-purpose controllers for
commodity devices is, by definition, wasteful.

2) Device
manufacturers are generally very protective of their device firmwares,
since the device firmwares usually contain stuff device manufacturers
don't want other people to know about such as work-arounds for bugs in
the silicon, or proprietary algorithms which may enhance performance or
reliability, etc. The source code for most device firmwares are never
published, and even if they are, there is very little documentation or
active support. Finally, device manufacturers often have at least
rudimentary checks in place within their controllers to check if the
firmware is "valid" though these checks can vary between cryptographic
hashing to simple checksums to length checks.

>>>>>
Getting access to and mucking around with a device's firmware is hard.
Many ASICs use customized MCU cores and without published
register/programming guides, it is very difficult to reverse-engineer.

3)
Assuming that you've found a USB device controller that for some reason
can be programmed arbitrarily to support other USB classes and
endpoints and assuming again you found the firmware source code or
otherwise reverse-engineered the device's firmware, you still need to be
able to program the device. The vast majority of USB 2.0 and 1.1
devices have fixed firmwares that cannot be updated. The firmware code
is often stored on a metal layer in the silicon itself, and there is no
way for it to be changed. If the firmware is stored on an external
memory device, you still need to find a method to reprogram it, either
using (undocumented) vendor commands or using a dedicated hardware.

>>>>>
Most USB device controllers don't support being reprogrammed at all,
even if they run on firmware. Some ASIC's don't have an MCU and instead
rely purely on a logical state machine so that entire subclass is
immune. Many IC's have a MASK ROM such that the firmware program is
stored in some type of unwritable read-only medium and they are totally
immune to this attack as well.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles