- Registriert
- 06.04.09
- Beiträge
- 2.808
Und selbst Apple verwendet in den Servicecentren USB gestützte Bootmedien mit all den Servicetools drauf - und die „wandern“ dort von Mac to Mac. :rolleyes:
-
Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
Näheres könnt Ihr hier nachlesen: AGB-Änderung -
Was gibt es Schöneres als den Mai draußen in der Natur mit allen Sinnen zu genießen? Lasst uns teilhaben an Euren Erlebnissen und macht mit beim Thema des Monats Da blüht uns was! ---> Klick
Auch für OS X gefährlich? Wenn USB-Geräte böse werden
- Ersteller FritzS
- Erstellt am
Und selbst Apple verwendet in den Servicecentren USB gestützte Bootmedien mit all den Servicetools drauf - und die „wandern“ dort von Mac to Mac. :rolleyes:
- Registriert
- 06.04.09
- Beiträge
- 2.808
Der gesamte Themenkomplex ist ja nicht neu und betrifft bei weitem nicht USB alleine:
http://www.extremetech.com/computin...door-that-china-could-embed-in-every-computer
http://de.slideshare.net/endrazine/defcon-hardware-backdooring-is-practical
Wenngleich hier Apple Geräte selbst, davon etwas weniger gefährdet scheinen.
Die Seite der BlackHat Konferenz
https://www.blackhat.com/us-14/
http://www.extremetech.com/computin...door-that-china-could-embed-in-every-computer
http://de.slideshare.net/endrazine/defcon-hardware-backdooring-is-practical
Wenngleich hier Apple Geräte selbst, davon etwas weniger gefährdet scheinen.
Die Seite der BlackHat Konferenz
https://www.blackhat.com/us-14/
- Registriert
- 06.04.09
- Beiträge
- 2.808
„Honigtöpfe“ und „Teergruben“ sind in einigen Belangen der IT Welt mitunter sehr gute Mittel um Angreifer dingfest zu machen, oder zumindest die Angriffe analysieren zu können oder auch abzuwehren.
Solche USB „Honigtöpfe“ können aus spezieller Hard- und Software bestehen, die einen infizierten Stick oder infizierten USB Port ein mögliches Opfer vorgaukeln und die Infektion gewähren lassen. In Wahrheit wird der gesamte Vorgang protokolliert und analysiert - und da das Ganze virtuell abläuft, ließe sich auch der Schad-Code analysieren inkl. des restlosen Entfernens.
Detto könnte sich auf diesem Weg sicherlich auch einfache Prüfgeräte erstellen.
Solche USB „Honigtöpfe“ können aus spezieller Hard- und Software bestehen, die einen infizierten Stick oder infizierten USB Port ein mögliches Opfer vorgaukeln und die Infektion gewähren lassen. In Wahrheit wird der gesamte Vorgang protokolliert und analysiert - und da das Ganze virtuell abläuft, ließe sich auch der Schad-Code analysieren inkl. des restlosen Entfernens.
Detto könnte sich auf diesem Weg sicherlich auch einfache Prüfgeräte erstellen.
Zuletzt bearbeitet:
Wenn erst mal dein interner Bluetooth Adapter oder die interne Webcam befallen ist, helfen die nicht mehr viel. Ausser als bessere Wünschelrute.
- Registriert
- 06.04.09
- Beiträge
- 2.808
Das ist mir schon klar - es geht mir vorrangig darum korrumpierte Hardware erkennen zu können.
Jene Hardware aus deinem Beispiel könnte man mit einem „Honigtopf“ USB Stick zu einem „Angriff“ überlisten und damit als korrumpiert erkennen und diese dann aus dem Verkehr zu ziehen. Genau um das geht es mir dabei und diese Möglichkeit des Erkennens muss rasch geschaffen werden und sei es ein Stück spezielle Hardware die man kaufen kann.
Falls die Bedrohung real erkennbar wird, werden solche Maßnahmen dringend notwendig werden, besonders wenn es für erweiterte AV Software nicht möglich wäre hier bei verdächtigen Vorgängen zu warnen. Die Milliarden von realen USB Ports auf der Welt, lassen sich nicht von einem Tag auf den anderen eliminieren, zumal diese nicht nur in erkennbaren Computern zu finden sind - SAT Receiver, TV Apparate, diverses Audio Equipment und verschiedene andere technische Geräte sind damit ausgerüstet.
Genauso wie ein böser „Virus“ den USB Port „impft“ - könnte es vielleicht vorher einen „guten Virus“ gelingen den USB Port dagegen immun zu machen? Ist im Grunde genommen alles nur Software.
Mal sehen was findigen Köpfen gelingt, auch gegen diese Bedrohung über den USB Port vorgehen zu können. Diese Lücke wurde ja von findigen Köpfen entdeckt, die sicherlich auch sehr intensiv über mögliche Auswege nachdenken.
PS: Den Kopf in den Sand stecken und abwarten wird den Security Abteilungen der Hard- und Softwareindustrie nicht gerade gut bekommen!
Jene Hardware aus deinem Beispiel könnte man mit einem „Honigtopf“ USB Stick zu einem „Angriff“ überlisten und damit als korrumpiert erkennen und diese dann aus dem Verkehr zu ziehen. Genau um das geht es mir dabei und diese Möglichkeit des Erkennens muss rasch geschaffen werden und sei es ein Stück spezielle Hardware die man kaufen kann.
Falls die Bedrohung real erkennbar wird, werden solche Maßnahmen dringend notwendig werden, besonders wenn es für erweiterte AV Software nicht möglich wäre hier bei verdächtigen Vorgängen zu warnen. Die Milliarden von realen USB Ports auf der Welt, lassen sich nicht von einem Tag auf den anderen eliminieren, zumal diese nicht nur in erkennbaren Computern zu finden sind - SAT Receiver, TV Apparate, diverses Audio Equipment und verschiedene andere technische Geräte sind damit ausgerüstet.
Genauso wie ein böser „Virus“ den USB Port „impft“ - könnte es vielleicht vorher einen „guten Virus“ gelingen den USB Port dagegen immun zu machen? Ist im Grunde genommen alles nur Software.
Mal sehen was findigen Köpfen gelingt, auch gegen diese Bedrohung über den USB Port vorgehen zu können. Diese Lücke wurde ja von findigen Köpfen entdeckt, die sicherlich auch sehr intensiv über mögliche Auswege nachdenken.
PS: Den Kopf in den Sand stecken und abwarten wird den Security Abteilungen der Hard- und Softwareindustrie nicht gerade gut bekommen!
Zuletzt bearbeitet:
Farafan
deaktivierter Benutzer
- Registriert
- 16.09.12
- Beiträge
- 10.250
Nein, ein softwareseitigen Schutz wird es in dem Fall nicht geben können. Effektiver und stabiler Schutz wird nur basierend auf Hardware zu realisieren sein.
Dies ist aber nicht erst seit heute so, selbst eine Firewall die über Software realisiert ist bietet keinen wirklichen Schutz. Man muss sich wohl langsam von dem Glauben verabschieden das einem ein paar Bits und Bytes gegen solche in der Tat genial einfachen und erschreckend wirkungsvollen Attacken Hilfe bieten.
Dies ist aber nicht erst seit heute so, selbst eine Firewall die über Software realisiert ist bietet keinen wirklichen Schutz. Man muss sich wohl langsam von dem Glauben verabschieden das einem ein paar Bits und Bytes gegen solche in der Tat genial einfachen und erschreckend wirkungsvollen Attacken Hilfe bieten.
- Registriert
- 06.04.09
- Beiträge
- 2.808
Mir geht es vorrangig erstmal um das Erkennen von kompromittierter Hardware (egal wie immer man das realisieren mag) und wenn das Ergebnis positiv, um das Gerät aus den Verkehr zu bringen.
Das müsste wohl, angesichts der weltweit Milliarden im Umlauf befindlichen USB Ports, hinzukriegen sein. Im Vorhinein zu sagen „das geht nicht“ wäre wohl ein Armutszeugnis der gesamten IT Branche und deren Entwicklungsabteilungen!
Der nächste, hoffentlich sehr rasch begonnene, Schritt wäre ein sicheres Nachfolgemodell für den USB Port, hier sind alle Chipsatz- und Firmware-Hersteller gefordert - insbesondere auch Intel (sitzt ja im USB Gremium drinnen). Und auch Apple kann sich als Hardwarehersteller nicht so ganz von der Bühne stehlen - Apple sitzt doch auch im USB Gremium drinnen.
USB Members
https://www.usb.org/members_landing
Liste
https://www.usb.org/members_landing/directory/companies_list_form/process/refresh?target=company&referring_url=/members_landing/directory?step%3Aint=1&referring_url=https%3A%2F%2Fwww.usb.org%2Fmembers_landing&step:int=2&tab_data_namespace=30745034A6izllnyJ4g&search_results_list_batch_start:int=1
Ich hoffe nun Ihr versteht wie ich das meine.
PS: Nicht einmal Synology ist vor bösen Hackern gefeit
http://derstandard.at/2000003995669/Netzwerkspeicher-von-Synology-werden-zum-Ziel-fuer-Erpresser
Das müsste wohl, angesichts der weltweit Milliarden im Umlauf befindlichen USB Ports, hinzukriegen sein. Im Vorhinein zu sagen „das geht nicht“ wäre wohl ein Armutszeugnis der gesamten IT Branche und deren Entwicklungsabteilungen!
Der nächste, hoffentlich sehr rasch begonnene, Schritt wäre ein sicheres Nachfolgemodell für den USB Port, hier sind alle Chipsatz- und Firmware-Hersteller gefordert - insbesondere auch Intel (sitzt ja im USB Gremium drinnen). Und auch Apple kann sich als Hardwarehersteller nicht so ganz von der Bühne stehlen - Apple sitzt doch auch im USB Gremium drinnen.
USB Members
https://www.usb.org/members_landing
Liste
https://www.usb.org/members_landing/directory/companies_list_form/process/refresh?target=company&referring_url=/members_landing/directory?step%3Aint=1&referring_url=https%3A%2F%2Fwww.usb.org%2Fmembers_landing&step:int=2&tab_data_namespace=30745034A6izllnyJ4g&search_results_list_batch_start:int=1
Ich hoffe nun Ihr versteht wie ich das meine.
PS: Nicht einmal Synology ist vor bösen Hackern gefeit
http://derstandard.at/2000003995669/Netzwerkspeicher-von-Synology-werden-zum-Ziel-fuer-Erpresser
Zuletzt bearbeitet:
Farafan
deaktivierter Benutzer
- Registriert
- 16.09.12
- Beiträge
- 10.250
Das Wort "Erkennen" beinhaltet das Wort "kennen". Und hier liegt die Krux der Geschichte woran auch AV-Software immer wieder scheitert: Erkennen kann ich nur Bedrohungen die bekannt sind.
Im Falle der aktuellen Diskussion bringt mir das Erkennen nichts, denn dies setzt das Anstecken und die Erkennung eines USB-Device voraus. Wenn dies geschieht ist der Schaden bereits angerichtet. Was soll dann die Erkennung bringen? Soll eine Meldung generiert werden: "Glückwunsch, soeben wurde ihr System manipuliert!"
Bei der Vielzahl der auf dem Markt befindlichen USB-Geräte ist dies zudem unmöglich. Eine schnelle und wirkungsvolle Lösung ist nicht absehbar. Und bei bestehender Hardware ohne eine vorgeschaltete "Blackbox" nicht machbar.
Im Falle der aktuellen Diskussion bringt mir das Erkennen nichts, denn dies setzt das Anstecken und die Erkennung eines USB-Device voraus. Wenn dies geschieht ist der Schaden bereits angerichtet. Was soll dann die Erkennung bringen? Soll eine Meldung generiert werden: "Glückwunsch, soeben wurde ihr System manipuliert!"
Bei der Vielzahl der auf dem Markt befindlichen USB-Geräte ist dies zudem unmöglich. Eine schnelle und wirkungsvolle Lösung ist nicht absehbar. Und bei bestehender Hardware ohne eine vorgeschaltete "Blackbox" nicht machbar.
- Registriert
- 06.04.09
- Beiträge
- 2.808
@Farafan
Und genau das stelle ich in Frage - nämlich dass bereits kompromittierte Geräte nicht erkennbar wären. Du unterschätz den menschlichen Erfindungsgeist gewaltig und auch Leute welche die IT Security zu ihrer Hauptaufgabe gemacht haben.
Du propagierst einfach die Hände in den Schoß zu legen und dem Schicksal ergeben abzuwarten?
Das wird es wohl so nicht geben können, besonders wenn der erste größere massive Vorfall in der Öffentlichkeit bekannt wird.
Das USB Gremium wird die Warnung (das genaue Angriffsscenario wird dem Gremium sicherlich bekannt gemacht werden) sicherlich analysieren und auch ernst nehmen!
Wenn das Thema tatsächlich so ernst ist, wird es bald dementsprechende Black-Boxies geben.
Und genau das stelle ich in Frage - nämlich dass bereits kompromittierte Geräte nicht erkennbar wären. Du unterschätz den menschlichen Erfindungsgeist gewaltig und auch Leute welche die IT Security zu ihrer Hauptaufgabe gemacht haben.
Du propagierst einfach die Hände in den Schoß zu legen und dem Schicksal ergeben abzuwarten?
Das wird es wohl so nicht geben können, besonders wenn der erste größere massive Vorfall in der Öffentlichkeit bekannt wird.
Das USB Gremium wird die Warnung (das genaue Angriffsscenario wird dem Gremium sicherlich bekannt gemacht werden) sicherlich analysieren und auch ernst nehmen!
Wenn das Thema tatsächlich so ernst ist, wird es bald dementsprechende Black-Boxies geben.
Farafan
deaktivierter Benutzer
- Registriert
- 16.09.12
- Beiträge
- 10.250
Ich propagiere überhaupt nichts.
Propagieren tun andere die meinen mit z. B. LittleSnitch und anderen lustigen Programmen eine Schein-Sicherheit erzeugen und glauben das eine Lösung die auf Software basiert echte Sicherheit erzeugt.
Es existiert nur zur Zeit kein Schutz. Persönlich werde ich nur keine unbekannten oder fremde USB-Geräte an meine Rechner lassen (was ich noch nie getan habe) und meine vorhandene Hardware hegen und pflegen.
Dieser Angriff setzt unglaublich tief an und eröffnet die Pforten für eine völlig neue Generation von Fremdbeeinflussung in der IT. Der Schöpfer dieser Geschichte hat echt eine verblüffend geniale Idee gehabt.
Propagieren tun andere die meinen mit z. B. LittleSnitch und anderen lustigen Programmen eine Schein-Sicherheit erzeugen und glauben das eine Lösung die auf Software basiert echte Sicherheit erzeugt.
Es existiert nur zur Zeit kein Schutz. Persönlich werde ich nur keine unbekannten oder fremde USB-Geräte an meine Rechner lassen (was ich noch nie getan habe) und meine vorhandene Hardware hegen und pflegen.
Dieser Angriff setzt unglaublich tief an und eröffnet die Pforten für eine völlig neue Generation von Fremdbeeinflussung in der IT. Der Schöpfer dieser Geschichte hat echt eine verblüffend geniale Idee gehabt.
Wie schon erwähnt, die Erkennung einer Infektion wird, je nach Qualität des eingebrachten Schadcode, sehr sehr schwer bis nicht machbar. Wenn der Autor trickreich genug vorgeht, und heutige klassische Schadsoftware zeigt da schon ein teilweise gewaltiges Talent der Urheber, dann bleibt nur die Option den Schädling auf frischer Tat zu ertappen - das klingt zwar einfach, aber kann so unwahrscheinlich gemacht werden dass es im realen Leben völlig aussichtslos erscheint.
Stelle dir bespielsweise vor, die Schadroutine wird ganz speziell auf Speichersticks zugeschnitten, und sie wird erst dann aktiv wenn gleichzeitig fünf Kriterien erfüllt sind:
- Der Stick ist zu mehr als 1/5 mit Daten belegt
- Seit dem Einstecken ist eine zufällige Zahl an Sekunden verstrichen, mindestens irgendwas zwischen x und y.
- Seit dem letzten Bus-Reset wurden mehr als x Bytes gelesen und weniger als y Bytes geschrieben.
- Seit der Infektion wurden mehr als x vollständige Einschaltzyklen gefahren (Ab- und anstecken)
- Der letzte Versuch, den Schadcode zu verbreiten liegt mindestens y Zyklen zurück
Was denkst du, wie "einfach" es wird solche Trojaner "in flagranti" zu ertappen?
Die Attacke gezielt zu provozieren gestaltet sich unmöglich, du müsstest dazu erst mal die Kriterien kennen, die sie triggern.
Es bleibt nur die Möglichkeit, *immer* darauf vorbereitet zu sein und sie ins Leere laufen zu lassen. Gleichzeitig muss es eine benutzerfreundliche und praktikable Möglichkeit geben, ganz legitime und nötige, aber verdächtige Vorgänge gezielt zuzulassen, sowohl einmalig als auch dauerhaft - sonst versagen etliche Geräte ihre ganz normalen Funktionen. Und das klingt viel simpler als es ist.
So müsste zB sowohl eine Black- als auch eine Whitelist der gesperrten bzw erlaubten Geräte geführt werden. Stellt sich die Frage wie das realisiert werden könnte. Herkömmliche Methoden über Vendor- und Gerätecodes oder Geräte-Seriennummern scheiden aus, ein Schädling würde einfach irgendwelche Zufallskombinationen bei jeder neuen Verbindung generieren. Noch schlimmer, könnte er auch auf Mimikri setzen und einfach die Identität eines anderen angeschlossenen Geräts annehmen.
Anhand welcher Kriterien sollte eine Software die Entscheidung treffen können, ob du selbst oder ein Parasit eine bestimmte Befehlssequenz eingegeben hast? Wenn der Trojaner sogar klug genug ist, ein menschliches Tippverhalten in Tempo und Variation nachzuahmen, dann wirds völlig aussichtslos.
So ist es. Als ob man versuchen würde, sämtliche Exemplare der Tse-Tse-Fliege einzufangen, um die Malaria auszurotten. Völlig absurdes Unterfangen, daran braucht man keinen Gedanken zu verschwenden.
Die betroffene Hardware ist so mikroskopisch und so billig, dass man sie sogar problemlos massenhaft in den Steckern von industriell gefertigten Verbindungskabeln verstecken könnte. "Mögen wir in interessanten Zeiten leben."
Theoretisch ja. Aber das wird wohl nur für die Hersteller solchen Equipments eine Option sein, für die zukünftige Produktion. Ich bezweifle stark, dass das als branchenübliches Procedere durchsetzbar ist.
Für die haarsträubende Vielfalt der bereits existierenden Gerätschaften ist das keine Option, das klappt nicht ohne intensive Kooperation der Hersteller, und die sind vielfach längst nicht mehr existent, bzw gar nicht zu ermitteln, bzw selbst gar nicht in der Lage, auf die nötigen Infos aus der Vergangenheit überhaupt noch zuzugreifen. Da könnte man zB auch versuchen, sämtliche gefälschten Rolex-Uhren und gefakten RayBan-Sonnenbrillen des Planeten zu erfassen und ihre Hersteller zwingen, sie mit entsprechenden Markierungen zu versehen. Surreale Vorstellung.
Das wird sich ähnlich gestalten wie bei Gonorrhoe und Kondomen. Auch wenn es gut wirksame Mittel geben wird, die Ausbreitung des Problems wird das bestenfalls ein wenig bremsen können.
Das kann man laut sagen. Nohl und seine Teamkollegen sind definitiv keine Nobodies, Dummschwätzer oder Angeber.
Sein Vortrag vom letzten Jahr war eindrucksvoll genug um zu erkennen, dass diese Leute sehr genau wissen wo der Hund begraben ist.
(Mit manipulierten SMS die Verschlüsselung von SIM-Karten für die meisten GSM-Netze komplett auszuhebeln, das ist durchaus "Hacken in der Champions-League". Und im Jahr danach gleich noch einen draufgesetzt... alle Achtung.
Was können wir alle froh sein, solche kompetenten Leute unter den "guten" zu wissen...)
Man kann alles "irgendwie" erkennen.
Wenn dazu aber die physische Demontage des Chips und eine aufwendige forensische Analyse mit spezieller Hardware notwendig sind, wird dir das überhaupt nichts bringen. Nachdem du ein Gerät irreversibel kaputt gemacht hast, ist die Antwort auf diese Frage nicht mehr von allzu grosser Bedeutung.
Und ja, das ist tatsächlich wahr - das Auslesen der Firmware auf herkömmlichem Weg (also über den Port des Geräts) kann ohne grossen Aufwand komplett unmöglich gemacht werden - sogar inklusive von nicht nachweisbaren Verschleierungsmethoden.
Das meint:
Wenn der Autor der "neuen" Firmware es so will, und wenn er eine Menge zynisch-schwarzen Humors besitzt, könnte er dir bei einem konventionellen Analyseversuch auch den Inhalt des Nokia Klingeltons im MP3 Format, oder ein Nacktfoto von Paris Hilton zurückschicken, statt der tatsächlich existierenden Firmware. Du bekommst als Ergebnis genau das, was der Autor dieser neuen Firmware möchte dass du es bekommst, und sonst gar nichts.
Und du kannst das Verhalten dann auch nicht mehr ändern. Eine sofortige Selbstzerstörung des gesamten Codes a la "Mission Impossible" ist genauso einfach machbar. Jeder Versuch das Gerät näher zu untersuchen führt dann zu seiner sofortigen Vernichtung.
Kein Thema - geht alles. Sehr einfach sogar.
Wenn man es genau nimmt, ist es sogar schwieriger für den Ersteller einer ganz legitimen Firmware, dafür verantwortungsvoll Sorge zu tragen, dass so etwas nicht ohnehin *jedes mal* passiert.
Ein Akt der Destruktion war schon immer sehr viel einfacher zu vollbringen als der einer funktionierenden Konstruktion.
- Registriert
- 06.04.09
- Beiträge
- 2.808
@Rastafari
Bevor Du hier Deine Phantasie weiter sprießen lässt
) könnte fast ein Thema für den nächsten TV oder Hollywood Thriller sein )
Wieviel Speicher-Platz hat der Angreifer eigentlich im Controller eines USB Gerätes? Welcher Art von Speicher ist dies?
Ich weiß dass man „nachladen“ kann, aber das könnte unter Umständen die Aufmerksamkeit eines Wächters auf sich ziehen.
Wiki ist hierzu nicht gerade ergiebig
https://en.wikipedia.org/wiki/USB
https://de.wikipedia.org/wiki/Universal_Serial_Bus
Und ist Thunderbolt wahrlich die richtige und vor allem sichere Alternative?
https://en.wikipedia.org/wiki/Thunderbolt_(interface)
http://blog.erratasec.com/2011/02/thunderbolt-introducing-new-way-to-hack.html
Black Hat USA 2013 - Funderbolt: Adventures in Thunderbolt DMA Attacks
Sevinsky-Funderbolt-Adventures-in-Thunderbolt-DMA-Attacks-Slides (pdf Dokument)
Youtube Video dazu
(Wie bekommt man hier das Youtube Fenster größer zu sehen?)
Oder wäre es ratsam zu einem Motherbord lediglich mit serieller Schnittstelle und Ethernet Anschluss zurück zu kehren?
@Farafan
LittleSnitch ist sicherlich kein Allheilmittel, das hat ja hier niemand behauptet, es hilft lediglich erkennen zu können, welche Software wohin „telefonieren“ will. Mir ist vollkommen klar, den „Funkverkehr“ eines PCs kann man nur von außerhalb, z.B. mittels eines Sniffers erforschen. Ich hatte mal mit solchen Dingern zu tun, welche sich mittels Probes in Datenleitungen (egal welchen Typs, welchen Protokolls) reinhängen und unerkannt Jeden Datenverkehr mitlauschen und diesen gegebenenfalls auch aufzeichnen und analysieren können. Selbst meine alte ZyWALL 5 zeigt alle laufenden Datenverbindungen auf.
Ich hatte eine zeitlang auf meinem MBP einen BIND NS (selbst kompiliert und als Cache/Resolver eingerichtet) laufen und die Logs so eingerichtet damit ich alle angeforderten Namensauflösungen sah - man glaubt kaum was da los war, wenn ich den Rechner vom Sleep Modus aufweckte und alle Namen neu ausgelöst wurden - ich habe meistens so an die 10 Safari Browserfenster, jeweils mit mehreren Tabs offen. Ein Öffnen einer einzigen WEB Seite hat oftmals mehrere NS Abfragen zur Folge, trotz Script und Add Blocker.
Ausweg aus dem Dilemma
ein Schritt wieder zu „festverdrahteten“ Einheiten zurück, mit Produktionen in sicherer Umgebung?
Selbst Intel Prozessoren wurden ja bereits schon Lücken in der Updatemöglichkeit des Microcodes nachgesagt.
http://security.stackexchange.com/questions/29730/processor-microcode-manipulation-to-change-opcodes
With Intel, Hackers Check In When Bugs Check Out
http://cryptome.org/jya/intel-bug.htm
PS: http://cryptome.org/ ist der Vorläufer von WikiLeaks http://de.wikipedia.org/wiki/Cryptome
Bevor Du hier Deine Phantasie weiter sprießen lässt
) könnte fast ein Thema für den nächsten TV oder Hollywood Thriller sein )Wieviel Speicher-Platz hat der Angreifer eigentlich im Controller eines USB Gerätes? Welcher Art von Speicher ist dies?
Ich weiß dass man „nachladen“ kann, aber das könnte unter Umständen die Aufmerksamkeit eines Wächters auf sich ziehen.
Wiki ist hierzu nicht gerade ergiebig
https://en.wikipedia.org/wiki/USB
https://de.wikipedia.org/wiki/Universal_Serial_Bus
Und ist Thunderbolt wahrlich die richtige und vor allem sichere Alternative?
https://en.wikipedia.org/wiki/Thunderbolt_(interface)
.
http://blog.erratasec.com/2011/02/thunderbolt-introducing-new-way-to-hack.html
Black Hat USA 2013 - Funderbolt: Adventures in Thunderbolt DMA Attacks
Sevinsky-Funderbolt-Adventures-in-Thunderbolt-DMA-Attacks-Slides (pdf Dokument)
Youtube Video dazu
(Wie bekommt man hier das Youtube Fenster größer zu sehen?)
Oder wäre es ratsam zu einem Motherbord lediglich mit serieller Schnittstelle und Ethernet Anschluss zurück zu kehren?
@Farafan
LittleSnitch ist sicherlich kein Allheilmittel, das hat ja hier niemand behauptet, es hilft lediglich erkennen zu können, welche Software wohin „telefonieren“ will. Mir ist vollkommen klar, den „Funkverkehr“ eines PCs kann man nur von außerhalb, z.B. mittels eines Sniffers erforschen. Ich hatte mal mit solchen Dingern zu tun, welche sich mittels Probes in Datenleitungen (egal welchen Typs, welchen Protokolls) reinhängen und unerkannt Jeden Datenverkehr mitlauschen und diesen gegebenenfalls auch aufzeichnen und analysieren können. Selbst meine alte ZyWALL 5 zeigt alle laufenden Datenverbindungen auf.
Ich hatte eine zeitlang auf meinem MBP einen BIND NS (selbst kompiliert und als Cache/Resolver eingerichtet) laufen und die Logs so eingerichtet damit ich alle angeforderten Namensauflösungen sah - man glaubt kaum was da los war, wenn ich den Rechner vom Sleep Modus aufweckte und alle Namen neu ausgelöst wurden - ich habe meistens so an die 10 Safari Browserfenster, jeweils mit mehreren Tabs offen. Ein Öffnen einer einzigen WEB Seite hat oftmals mehrere NS Abfragen zur Folge, trotz Script und Add Blocker.
Ausweg aus dem Dilemma
ein Schritt wieder zu „festverdrahteten“ Einheiten zurück, mit Produktionen in sicherer Umgebung?
Selbst Intel Prozessoren wurden ja bereits schon Lücken in der Updatemöglichkeit des Microcodes nachgesagt.
http://security.stackexchange.com/questions/29730/processor-microcode-manipulation-to-change-opcodes
With Intel, Hackers Check In When Bugs Check Out
http://cryptome.org/jya/intel-bug.htm
PS: http://cryptome.org/ ist der Vorläufer von WikiLeaks http://de.wikipedia.org/wiki/Cryptome
Zuletzt bearbeitet:
Es ist eigentlich nicht passend, hier von "Speicherplatz" im herkömmlichen Sinn zu reden, und daraus auf das machbare Schadpotential zu schliessen wäre erst recht völlig unangebracht. So wie zB ein biologischer Virus auch nicht anhand der blossen Anzahl seiner DNA-Basenpaare in seiner Gefährlichkeit eingeschätzt werden kann.
Ich bin mir sicher, dass es in den allermeisten Fällen gelingen würde, den vorhandenen Code der legitimen Firmware um einen *erheblichen* Prozentsatz einzuschrumpfen, ohne an der Funktionalität auch nur die allerkleinsten Abstriche machen zu müssen. Selbst wenn im Einzelfall mal überhaupt kein Raum mehr zur Verfügung stünde, weil es sich schon um hochoptimierten Code aus intensiver Handarbeit handeln könnte (rein theoretisch, das macht niemand mehr), man könnte *immer* zumindest genügend Raum schaffen, um sich weiteren Speicher in schier unermesslichem Umfang von anderen Komponenten zu "borgen" (und nie wieder zurückgeben). Bei Speichersticks oder Festplatten wären das ganze Galaxien an Freiraum.
In der Regel kannst du davon ausgehen, dass eine manipulierte Firmware sogar mit vielen Zusatzroutinen aufgerüstet immer noch erheblich kleiner daherkommen kann als das Original.
Wundern würde es mich jedenfalls nicht mehr, wenn der erste bald im Zwiebelnetz verkündet, er habe erfolgreich eine komplette Busybox oder einen funktionsfähigen Java-Interpreter auf so ein Teil portiert, und da bräuchte man ab jetzt nur noch seine simplen Shellskripte oder ähnlich einfach zu erstellenden Stoff hochzuladen, inklusive AES-Verschlüsselung, eigenem IP-Stack usw usf...
In einer Zeit, in der sogar SD-Karten schon ihren eigenen WiFi-AP mitbringen... o tempora, o mores. Bringt mehr Wein!
Ööhm... ganz sicher nicht.
Da sitzt die potentielle Gefahr sogar schon im (aktiven) Kabel.
Da würde man zwar wohl auf ganz andere Angriffsmethoden setzen müssen, aber am Ende zählt doch immer nur der Erfolg dabei.
Bei TB, FireWire, Ethernet oder dergl. zeigt sich aber ein fundamentaler Unterschied zu USB.
Keine dieser Bustechniken ist derart weit verbreitet, sowohl in Anzahl als auch in der Vielfalt der Nutzung, und keine von diesen ist in heute existierender Hardware derart unverzichtbar für die Grundfunktionalität des Rechners. *Aller* Rechner wohlgemerkt, egal wohin du siehst.
Alle diese anderen Busse kannst du schon beim Gerätekauf meiden, in den meisten Geräten existieren sie sowieso überhaupt nicht, und wenn doch kannst du sie wenigstens stillegen, die Komponenten tauschen, andere Wege finden und Alternativen einschlagen. Da geht immer irgendwie noch was, ohne diesen "Useless Serial Bus". *)
Ein gänzlicher Verzicht auf USB dagegen ist heute schon längst grundsätzlich gar nicht mehr möglich. Es existieren weitestgehend überhaupt keine Alternativen mehr, um zB sowas essentielles wie Keyboard und Zeigegeräte zu verbinden, um Geräte mit Strom zu versorgen oder ähnliche unverzichtbare Aufgaben abzuwickeln.
Was finde ich es doch beruhigend, im Keller immer noch einen per ADB und klassischen, selbst "belötbaren" RS-Schnittstellen bestückten Gossamer eingelagert zu haben, aus dem ich die nachgerüstete USB-Karte einfach nur wieder herausziehen bräuchte, der nicht im geringsten auf dieses Kruzifix angewiesen ist... "Vivat G3, du letzter aller reinrassigen Vollblut-Macs"
---
*) Ich gebe dem verklemmt-fanatischen Apple-Hasser von Schnurer Schorschi ganz sicher nicht gerne recht, aber mit dieser Headline in der c't hat er damals eigentlich den Kopf voll auf den Nagel gesoffen. Ein stockblindes Huhn bekommt halt auch mal einen Doppelkorn ab.
- Registriert
- 06.04.09
- Beiträge
- 2.808
@Rastafari
eines will ich dazu schon anmerken, wenn der Schädling anfängt Code nachzuladen und aus dem USB Controller sozusagen auf andere Speicher „ausbricht“ begibt er sich in potentielle Gefahr dabei ertappt zu werden. Mir ist schon bewusst, im Assembler Code kann man einen kompletten PC auf engstem Raum abbilden - siehe C64 (davon hatte ich ein Buch mit dem gesamten Code im Mittelteil).
Momentan kann ich nur so weiter tun als ob nichts gewesen wäre und mir trotzdem noch einige ext. USB HDs (WD, Seagate, Toshiba) oder ein ext. CD/DVD/BlueRay Laufwerk/Brenner kaufen und vielleicht auch mit einer Synology liebäugeln (auch wenn diese ebenfalls gehackt wurde).
Das lässt noch einen Funken Hoffnung übrig, wenn auch nur ein kleines Stück
http://www.golem.de/news/security-angriffe-mit-usb-geraeten-1407-108252.html
Was meinst du zu diesem Golem Kommentar Thread?
http://forum.golem.de/kommentare/se...g/84904,3822110,3823905,read.html#msg-3823905
eines will ich dazu schon anmerken, wenn der Schädling anfängt Code nachzuladen und aus dem USB Controller sozusagen auf andere Speicher „ausbricht“ begibt er sich in potentielle Gefahr dabei ertappt zu werden. Mir ist schon bewusst, im Assembler Code kann man einen kompletten PC auf engstem Raum abbilden - siehe C64 (davon hatte ich ein Buch mit dem gesamten Code im Mittelteil).
Momentan kann ich nur so weiter tun als ob nichts gewesen wäre und mir trotzdem noch einige ext. USB HDs (WD, Seagate, Toshiba) oder ein ext. CD/DVD/BlueRay Laufwerk/Brenner kaufen und vielleicht auch mit einer Synology liebäugeln (auch wenn diese ebenfalls gehackt wurde).
Das lässt noch einen Funken Hoffnung übrig, wenn auch nur ein kleines Stück
http://www.golem.de/news/security-angriffe-mit-usb-geraeten-1407-108252.html
Was meinst du zu diesem Golem Kommentar Thread?
http://forum.golem.de/kommentare/se...g/84904,3822110,3823905,read.html#msg-3823905
Nur wenn das ein Bereich ausserhalb des USB Geräts ist, bzw wenn ("nach innen") eine weitere Schnittstelle übersprungen würde.
Innerhalb eines voll integriert aufgebauten Speichersticks beispielsweise hat der Controller unmittelbaren Zugriff auf eine ganze Menge Spare-Blöcke, deren plötzliches Fehlen du aus Systemsicht gar nicht wahrzunehmen vermagst. Die könnten auch einfach nur "ganz normal" als defekt erkannt und daher umgeleitet worden sein, das erfährst du von ausserhalb dieser "Black Box" nie.
Schrödingers Katze lässt schön grüssen.
Innerhalb von konventionellen Festplatten zB findet sowas auch permanent statt, mit einer statistischen Häufigkeit von etwa gut und gerne ein weiterer Sektor jede Minute. Normales Tagesgeschäft, auch bei Flash. Merkst du absolut nix von. Jede Auskunft des Geräts darüber erfolgt auf rein "freiwilliger Basis" und ist nicht die Spur glaubhaft.
Was Golem betrifft...
...dort kannst du auch keine andere Zusammensetzung des Publikums erwarten als zB bei Heise.
Von paranoid-defätistisch-resigniert bis überheblich-naiv-abgestumpft ist sowieso immer alles dabei.
Meinst du einen konkreten, einzelnen Kommentar?
MACaerer
Charlamowsky
- Registriert
- 23.05.11
- Beiträge
- 12.989
Wie bereits erwähnt gibt es USB schon eine geraume Zeit. Aber wieviele infizierte Geräte mag es wohl geben, bzw. von wie vjelen wurde es bekannt. Derzeit eher noch wenig, glaube ich jedenfalls.
Mir kommt das Ganze im Moment so vor wie wenn jemand laut FEUER schreit und damit erst die Brandstifter auf den Plan ruft.
MACaerer
Mir kommt das Ganze im Moment so vor wie wenn jemand laut FEUER schreit und damit erst die Brandstifter auf den Plan ruft.
MACaerer
2003-2024 Apfeltalk | Made on a Mac