Auch für OS X gefährlich? Wenn USB-Geräte böse werden

[FritzS]

Das Zwischenspiel von openssl hast ganz vergessen!
Ich habe bereits das LittleSnitch Entwickler Team angeschrieben, vielleicht fällt denen etwas ein - mit ihrer Art Firewall müssen sie sich sehr tief mit dem System auskennen. Vielleicht fällt denen etwas dazu ein.

 

[Rastafari]

und nun sind mit Sicherheit kriminelle Elemente und Geheimdienste aufmerksam geworden.

Aus kundiger Quelle kann ich dir zuverlässig versichern:
Zumindest die letzteren verfügen schon seit mehreren Jahren über etwas, das dem sehr, sehr, sehr nahe kommt.
(Zwar technisch ein ganz anderer Ansatz, aber mit ähnlicher "magic", und der Angriffsvektor ist auch da der USB Port.)
Die erstere Gruppe dürfte das grössere Problem sein. Da wird jetzt ein regelrechter "gold rush" abgehen in der Szene.

 

[FritzS]

Noch geschwind alle notwendigen USB Geräte von zuverlässigen (?) Markenherstellern und Originalverpackt kaufen.

Keine Tauschgeschäfte per USB Stick mehr und auch nicht einen PC oder Notebook unbeaufsichtigt herumstehen lassen.

Wann gibt es versperrbare USB Abdeckungen?

Konkret hoffe ich doch, dass den Spezialisten bei Apple etwas dazu einfällt, schließlich muss auch der Kernel bei diesem bösen Spiel mitspielen, ohne, dass der Kernel auf eine USB Anforderung reagiert geht es doch auch nicht.

Vielleicht lassen sich versuchte Manipulationen der USB Controller auf den Macs doch irgendwie erkennen! Das wäre nun vielleicht ein Vorteil einer dezidierten Hardware eines Herstellers.

 

[Rastafari]

Konkret hoffe ich doch, dass den Spezialisten bei Apple etwas dazu einfällt

Das, fürchte ich, ist eine Malaise, deren Ausmass sich dem Einflussbereich von Apple, Google, Microsoft, Dell, HP und Co um Welten entzieht.

schließlich muss auch der Kernel bei diesem bösen Spiel mitspielen, ohne, dass der Kernel auf eine USB Anforderung reagiert geht es doch auch nicht.

Das Problem ist lösbar, indem man sämliche USB Funktionalität lahmlegt. Vollständig.
Im Fall von Apple Geräten würde das bedeuten:
- Kein einziger Mac Benutzer kann jemals wieder auch nur einen einzigen Buchstaben tippen. Nirgends.
- Keine einzige Maus darf mehr benutzt werden, auch kein Trackpad.
- iPhone oder iPad bitte nur noch am Steckernetzteil aufladen, und zwar nur am eigenen - und dieses niemals irgend jemand anderen mitbenutzen lassen. Nicht mal innerhalb der Familie usw., nie wieder mit dem Computer syncen wenns auch nur den leisesten Verdacht gegen eines der Geräte gibt.
- Keine Kamera in Apple Geräten geht mehr
- Millionen von externen Platten usw müssen entsorgt und ersetzt werden.
- Keine dies nicht, kein das nicht..... endlose Liste.
Schon allein Punkt 1 sollte klarstellen, dass solche Abhilfe nicht möglich ist, nicht mal provisorisch als Notfallmassnahme.
(Und komm jetzt nicht mit Bluetooth daher, das hängt auch alles am USB mit dran)

 

[echo.park]

Dann eben nur noch MacBooks kaufen, keine Desktop-Rechner mehr. Das sind dann Tastatur und Trackpad intern verbaut. Und dann eben fernhaften von allen externen USB-Gerätschaften.

 

[Retrax]

Mehr Infos dazu sollen ja auf der Black Hat Conference herausgegeben werden.
Vielleicht sollte man diese Informationen erst noch abwarten, bevor man zu sehr in Hysterie verfällt.

 

[F0X1786]

Dann eben nur noch MacBooks kaufen, keine Desktop-Rechner mehr. Das sind dann Tastatur und Trackpad intern verbaut.

Die ist auch per USB angebunden. Somit ist es möglich, auch deren Controller zu Flashen.

Auf Wired gibt es einen spannenden Text dazu, in dem es Sinngemäß lautet: "Man sollte USB-Hardware zukünftig nur noch wie sterilisierte Nadeln behandeln."

Also auspacken. Nach dem benutzen wegwerfen. Alles weitere ist nicht mehr sicher.


Wenn deine FaceTime Kamera gekapert wurde, ist das Macbook im Prinzip reparaturbedürftig. Das Kamera-Modul, der USB-Hub, alles muss getauscht werden.

 

[FritzS]

Wie das Zeug reinkommt, muss man es mit einen Gegenvirus auch wieder entsorgen können.

Und wie sieht es mit einer Art USB Firewall aus?

Zur Hoch-Zeit von ISDN baute z.B. Rhode&Schwarz eine ISDN D-Kanal Firewall.

Vermutlich werden jetzt alle kreativen Köpfe rauchen, hoffentlich nur Die Guten!

 

[Farafan]

Nicht ohne Grund ist es seit Jahren in sicherheitsempfindlichen Bereichen Standard das an gehärteten Rechnern alle USB-Ports lahmgelegt und in der Regel sogar mit Harz vergossen sind.
Datenaustausch per Datenträger gibts eben ausschließlich über separate "Schleusen-Rechner" mit mehrstufiger Überprüfung, weiter ins interne Netz dann nur elektronisch.

 

[F0X1786]

Ja, Firmware flashen hilft. Dazu muss man das Gerät aber irgendwo anschließen.


Die Firewall würde nicht tief genug kommen. Da ist Apple gefragt. Was hilft ist superglue auf die Ports. Ansonsten musst du einsehen, dass du einfach nackt da stehst. Es gibt nichts ...


Es fängt ja beim Scannen an, wie scannt man Firmware ohne das Gerät vollständig zu aktivieren? Wer stellt die vertrauten Firmware-Images bereit? Woher soll der Scanner erkennen, ob das Kamera-Modul "thrusted" ist oder nicht? Wenn ein Controller mit "secure Check" verwendet wird. Wie wird die Firmware im Falle eines Updates geflasht? Der Hash muss ja auch übermittelt werden.

Das alles sind Probleme tief im USB-Standard verwurzelt. Da helfen keine Flickenteppiche. Da muss ein neuer Standard her!

 

[Rastafari]

Zur Hoch-Zeit von ISDN baute z.B. Rhode&Schwarz eine ISDN D-Kanal Firewall.

Jo.
Und gleichzeitig Geräte, um selbige zu durchbrechen. Verkauft an die andere Seite der Medaille.
Was mit Panzern und Raketen wunderbar klappt, geht mit Elektronik auch. That's the R&S way.

 

[echo.park]

Wenn deine FaceTime Kamera gekapert wurde, ist das Macbook im Prinzip reparaturbedürftig. Das Kamera-Modul, der USB-Hub, alles muss getauscht werden.

Du sprichst also davon, dass die Malware übers Internet kommt? Weil wenn ich an meinem MacBook keine externen USB-Geräte anstecke, wie sonst sollte meine INTERNE FaceTime-Kamera manipuliert werden?

 

[F0X1786]

Du sprichst also davon, dass die Malware übers Internet kommt? Weil wenn ich an meinem MacBook keine externen USB-Geräte anstecke, wie sonst sollte meine INTERNE FaceTime-Kamera manipuliert werden?

Der Thread bespricht das Thema "BadUSB". Darauf bezieht sich auch mein Post. Oder wo hab ich geschrieben, dass deine Webcam über das Internet kompromittiert wird? Lesen...

 

[echo.park]

Lesen.

Ja, sollte man.

@Rastafari schrieb davon, dass kein Mac-User mehr eine Tastatur oder Trackpad benutzen dürfte. Da kann er sich aber wohl nur auf die externen Varianten bezogen haben, die internen sind wohl erstmal sauber. Ich schrieb daraufhin zusätzlich, dass man sich von allen externen USB-Gerätschaften fernhalten sollte. Und dann kommst du und sprichst davon, wie eine gekaperte FaceTime-Kamera nur noch zum Wegschmeißen verleiten kann. Nun frage ich dich, wie meine interne FaceTime-Kamera "infiziert" werden soll, wenn ich mich von allen externen USB-Gerätschaften fernhalte? Da bleibt ja nur noch das Internet als Einfallstor.

 

[F0X1786]

Auf deinen letzten Satz habe mich auch nicht bezogen. Ist nur mit ins Quote gerutscht, weil das auf dem Telefon so fummelig ist.


Und die internen Geräte sind mitnichten "sauber". Die Lücke existiert schon seit dem ersten USB-Standard. Die NSA soll die Lücke schon seit längerem benutzt haben (Deren berühmter USB-Spy). Als Einfallstor kann vieles Dienen, die Logikboard-Tester in Apples-Fabrikstraßen, auf den Controller-Chipstraßen der Zulieferer. Es gibt unendlich viele Lücken, weil der Standard so "kaputt" ist. Die beiden Entdecker der Lücke haben auch Produzenten von USB-Sticks angeschrieben, dass die Lücke vorhanden sei. Diese verneinten alles in der Meinung, dass diese Lücke nicht existieren kann.

Der vorhin von mir erwähnte Artikel:

http://www.wired.com/2014/07/usb-security/


Ich verabschiede mich dann ins Wochenende.

 

[echo.park]

Mir machen eher Kriminelle zu schaffen, die an mein Geld wollen, als die NSA. Wobei das natürlich auch eine Sache ist, aber eben nicht so bedrohlich, im ersten Moment.

Und Kriminelle sitzen vielleicht in Rumänien, aber nicht bei Chiplieferanten.

 

[MacAlzenau]

Nicht ohne Grund ist es seit Jahren in sicherheitsempfindlichen Bereichen Standard das an gehärteten Rechnern alle USB-Ports lahmgelegt und in der Regel sogar mit Harz vergossen sind.

Na ja, irgendwie etwas naiv. Sobald Daten ausgetauscht werden, gibt es Mißbrauchsmöglichkeiten.
Wer wirklich sicher gehen will, muß alle Dokumente abtippen oder einscannen (wobei bei letzterem auch Angriffe möglich blieben).
Oder nur noch OpenSource-Programme, OpenSource-Systeme, OpenSource-Formate benutzen. Da könnte man vielleicht (!) Schleussen einbauen.

 

[Farafan]

Na ja, irgendwie etwas naiv.

Ganz und gar nicht naiv, das ist logischerweise nur ein Teil der Sicherungsmaßnahmen. Ein weiterer sind softwareseitige Versiegelungen mit permanenten Integritätsprüfungen und noch so einiges.

Aber es soll ja schließlich genügend Leute geben die selbst in Sicherheitsbereichen unbedingt Moorhühner auf den Rechnern installieren wollen.

Eine absolute Sicherheit bekommt man eben nur bei vollständig autarken Maschinen. Und wer meint sich mit solch Placebos wie LittleSnitch schützen zu können der hat noch nicht verstanden wie tiefgreifend diese systemimmanente Problematik ist.

 

[ken-wut]

Gibt es nicht eine Art "App" die die Hardware überprüfen kann und ggf. warnen, wenn z.B. 2 Tastaturen angeschlossen sind? Ich mein, man weiss ja selber was man so an seinem PC/Mac angeschlossen hat und daher sollte eine 2. Tastatur doch auffallen? Ich mein, evtl. den Trojaner so ggf. aufzuspüren und zumindest die Möglichkeit hat, seine Hardware wieder zu "Säubern"?

 

[Farafan]

Und was soll das bringen?
Jede Schadsoftware muss zunächst ein Ziel verfolgen: Unentdeckt zu bleiben und bekannte Sicherheitsmechanismen aushebeln. Zudem ist hier der Schaden längst passiert bis der User in der Lage ist zu reagieren.

Dieser Irrglaube das einem lustige Progrämmchen ständig und immer die Arbeit des Denkens abnehmen können ist endgültig vorbei. Dies ist ein Super-GAU.