Auch für OS X gefährlich? Wenn USB-Geräte böse werden

[FritzS]

Mir geht es hier nicht um das externe USB Gerät - sondern wo kann sich der USB Schädling im Motherboard selbst verstecken.
Und welche Möglichkeiten gäbe es ihn los zu werden - bzw. wie müssten die vielen (Buffer, FW, etc.) Speicher zukünftig technisch beschaffen sein um ggf. eingenistete Schädlinge los zu werden - z.B. durch Entfernen der Stütz Batterie.

 

[multi-os]

Fabrikneue USB Geräte aller Art als sicher betrachten?
Ein Scheunentor für allerlei Geheimdienstaktivitäten um Massen an Computern auf Vorrat zu komprimieren?

Ja, auf Fabrikneue sollte man sich schon verlassen können. Ansonsten wäre jede Art systeminterner Hardware fragwürdig bzw verdächtig. Man denke da zB auch Mainboards - deren zentralen Stelle im System wäre ja geradezu prädisteniert.

Auch bei einer Live-OS CD könnte sich ein Schädling in einer der am Motherboard vorhandenen Speicher verstecken und einen Cold-Boot Vorgang überdauern, oder etwa nicht?

Wäre ein solches Szenario nun paranoid gedacht?

Ja, grundsätzlich schon.
Bei sauberem shutdown (herunterfahren) bzw boot/reboot ist diese Gefahr jedoch ziemlich gebannt (da kein cold-boot).
Entscheidend dürfte hier aber das jeweilige OS sein bzw deren Konfiguration.

Gibt es noch ein Motherboard bei dem nach Entfernen der Buffer-Batterie alle Speicher gelöscht würden und nur mehr ein nicht überschreibbarer Mini-Bootloader übrig verbliebe?

Mh, gute Frage.
Üblicherweise sollte sich BIOS/UEFI nach "entleerung" wieder in default-Zustand befinden. Wie du dir das mit dem "Mini-Bootloader" genau vorstellst, ist mir jetzt nich ganz klar. Da ja auch UEFI/BIOS Firmware ist, würde es wohl auch keine Rolle spielen. Auch der "MiniBootloader" könnte ja befallen sein.
Diese Gefahr ist allerdings gering. UEFI bringt da zum einen schon mal schützende Mechanimsmen mit, allerdings halt wieder komplexere Software was wiederum dazu führen kann, dass etwas eingenistetes schwer entedckt wird. Das Prinzip gilt für alle Geräte. Entscheidend ist wohl die Gefahreneingrenzung.

Wo könnten sich in einem voll bestückten Motherboard noch Schädlinge verstecken?
Wie sieht es dabei in NICs, Graphikkarten, usw. und deren Firmware aus?

Kathastrophal

 

[multi-os]

@FritzS :

Doch noch etwas Grundsätzliches :
Ich bin schon der Ansicht, dass sich solche Art von Schadsoftware nicht allzu sehr verbreitet bzw verbreiten wird.
Denn wie bereits erwähnt, müssen die "Bösen" die Firmware gut kennen, und der Aufwand wird wohl stets zielgerichtet sein.
Auch künftig wird die Überzahl an Bedrohungen aus dem Netz kommen. Diesbezüglich ist es dann aufschlussreich wie sich Serversicherheit und Übertragungssicherheit solcher Bedrohung anpasst. Das Debakel mit der Bash hat dies empfindlich aufgezeigt.
Nicht umsonst häuften sich die bedrohungen bzw Aufdeckungen welche auch unixoide Systeme betreffen.

Jene die nun meinen, sie seien besonders clever indem sie sich auf MobileDevices (Pad's & Smartphones) beschränken, haben sich bereits getäuscht. Denn genau da kommt dieser (auch von den Konzernen geförderte) Kreislauf erst richtig in Gang. Wir werden in Zukunft noch sehr oft von gekaperten und gestohlenen Cloud/ServerDaten hören. Das ist für jene die bösartig Daten abfangen wollen, weitaus effizienter. Ein Bug oder gar bisher unentdeckte Lücke zB in Verschlüsselungsoftware kann schon reichen - gesschweige lasche Konfiguration der Admin's. Man stelle sich (da wir ja beim Thema bleiben wollen) nur schon mal all die zwischengeschalteten Geräte auf dem "mobilen Datenweg" vor . . .

Weshalb sich einen solchen Aufwand für dazu noch sehr wenige USB-Sticks leisten, wo man doch die Schnittstellen des Internets manipulieren könnte?

Lange Zeit wähnte man sich in der unixoiden Welt vor Bedrohungen ziemlich sicher. Doch dei unixoide Welt ist auch die des Internets und der mobilen Devices.

Es heisst eben so treffen : Sicherheit ist kein Zustand, sondern ein Prozess.
Wem dies wichtig ist, kommt auch in der unixoiden Welt nicht umhin, sich damit auseinanderzusetzen.
Schlussendlich sitzt aber der User vor dem Bildschirm. Und da beginnen oft bereits die ersten Fehler. Bei Windows ist das ja sehr ausgeprägt.

 

[Farafan]

ch bin schon der Ansicht, dass sich solche Art von Schadsoftware nicht allzu sehr verbreitet bzw verbreiten wird.

Sei die da einmal nicht so sicher. Entsprechende "Baukästen" samt der notwendigen Software gibts schon auf einschlägigen Seiten in der Größenordung von 50 $ zu kaufen.

 

[Rastafari]

sondern wo kann sich der USB Schädling im Motherboard selbst verstecken.

Beispielsweise im EPROM der die Mainboard-Firmware beherbergt, oder auch im Konfigurationsspeicher eines jeden PCI/PCIe Geräts (sowohl der fest verbauten als auch der steckbaren. Manche bieten hier nur ein paar bescheidene KB an Platz, andere gleich mehrere MB).
Irgendwo auf der Festplatte (selbst wenn unauffindbar versteckt) kommt als "Soft"-Variante natürlich auch in Frage. (Das meiste wird auch genau darauf hinauslaufen, weil dieses Ziel am besten standardisiert und damit "verlässlich verfügbar" ist.)

 

[multi-os]

Sei die da einmal nicht so sicher. Entsprechende "Baukästen" samt der notwendigen Software gibts schon auf einschlägigen Seiten in der Größenordung von 50 $ zu kaufen.

Die Zugänglichkeit solcher Schadsoftware hat ja prinzipiell nichts mit der eigentlichen Verbreitung zu tun.
Aber natütlich meinte ich nicht, dass auch solche Schadsoftware nicht genutzt würde.

Es verhält sich ähnlich wie bei alten SherlockHolmes und AgathaChristie Krimis. Auch wenn das verständlicherweise seltsam klingt, aber es lohnt sich, auch mal aus der Perspektive der "Bösen" zu denken.

So kann ich mir gut vorstellen, dass solche manipulierten USB-Sticks vor Allem bei Spionage (zB Wirtschaftsspionage) eingestetzt werden oder etwa auch dass Dedekteien (die sowas natürlich niemals zugeben würden) daran interessiert wären.

Die grösste Gefahr verseuchter interner Hardware sehe ich persönlich darin, dass damit Trojaner in's OS gelangen könnten und dies untergraben würde.
Das Mitschneiden von Datenpacketen auf Hardwareebene ist natürlich ein realistisches Szenario. Aber es wäre viel effizienter, diese Daten ab laufendem OS abzufangen. Vor Allem auch daher, um die Daten noch unverschlüsselt ziehen zu können. Denn "auf der" HardwareSchnittstelle sind die Daten bereits verschlüsselt.

Aus ähnlichem Grund muss aus diesen verseuchten USB-Stick zB eine zusätzliche Tastatur installiert bzw vorgegaukelt werden. Was nun interessant zu erfahren wäre, ist ob bereits auf Hardwareebene zB das Layout und die erst bei OS konfigurtierte Belegung usw gültig ist. Anders gesagt : müsste dieser Trojaner diese Daten kennen oder saugt er direkt von der richtigen Tastatur? Ich gehe mal von ersterem aus, da ja auf Hardwareebene. Und : unterscheiden sich da BIOS & UEFI?

 

[Jayderkiss86]

Habt ihr schon gelesen das der Code jetzt veröffentlicht wurde?

 

[FritzS]

Das wäre eine Teillösung:
http://www.wired.com/2014/10/unpatchable-usb-malware-now-patchsort/

https://github.com/adamcaudill/Psychson/commit/9f487e82a3ea7f9368b3411a89692d9ce5face51

 

[Kernelpanik]

Ihr könnt mich ein Grossmaul nennen aber ich habe so was in der Art schon immer vermutet. Wer an das Gute im Menschen (im besonderen im Politiker) glaubt, ist echt selber schuld. Jeder denkt primär mal an seinen eigenen Vorteil. Das macht natürlich vor cutting edge Technologie keinen halt. All die naiven Administratoren in Regierungen und anderen Instituten die massenhaft Daten sammeln, glaube die seien sicher. Da werden unsere biometrischen Daten geparkt unsere Adresse und Telefonnummern, Kreditkarte und alles Mögliche. Garantiert wird das, bei den Kompetenzidioten die überall in den Regierungen sitzen, schließlich in den Hände von Kriminellen landen. Alles nur eine frage der Zeit oder schon geschehen.