es geht mir vorrangig darum korrumpierte Hardware erkennen zu können.
Wie schon erwähnt, die Erkennung einer Infektion wird, je nach Qualität des eingebrachten Schadcode, sehr sehr schwer bis nicht machbar. Wenn der Autor trickreich genug vorgeht, und heutige klassische Schadsoftware zeigt da schon ein teilweise gewaltiges Talent der Urheber, dann bleibt nur die Option den Schädling auf frischer Tat zu ertappen - das klingt zwar einfach, aber kann so unwahrscheinlich gemacht werden dass es im realen Leben völlig aussichtslos erscheint.
Stelle dir bespielsweise vor, die Schadroutine wird ganz speziell auf Speichersticks zugeschnitten, und sie wird erst dann aktiv wenn gleichzeitig fünf Kriterien erfüllt sind:
- Der Stick ist zu mehr als 1/5 mit Daten belegt
- Seit dem Einstecken ist eine zufällige Zahl an Sekunden verstrichen, mindestens irgendwas zwischen x und y.
- Seit dem letzten Bus-Reset wurden mehr als x Bytes gelesen und weniger als y Bytes geschrieben.
- Seit der Infektion wurden mehr als x vollständige Einschaltzyklen gefahren (Ab- und anstecken)
- Der letzte Versuch, den Schadcode zu verbreiten liegt mindestens y Zyklen zurück
Was denkst du, wie "einfach" es wird solche Trojaner "in flagranti" zu ertappen?
könnte man mit einem „Honigtopf“ USB Stick zu einem „Angriff“ überlisten
Die Attacke gezielt zu provozieren gestaltet sich unmöglich, du müsstest dazu erst mal die Kriterien kennen, die sie triggern.
Es bleibt nur die Möglichkeit, *immer* darauf vorbereitet zu sein und sie ins Leere laufen zu lassen. Gleichzeitig muss es eine benutzerfreundliche und praktikable Möglichkeit geben, ganz legitime und nötige, aber verdächtige Vorgänge gezielt zuzulassen, sowohl einmalig als auch dauerhaft - sonst versagen etliche Geräte ihre ganz normalen Funktionen. Und das klingt viel simpler als es ist.
So müsste zB sowohl eine Black- als auch eine Whitelist der gesperrten bzw erlaubten Geräte geführt werden. Stellt sich die Frage wie das realisiert werden könnte. Herkömmliche Methoden über Vendor- und Gerätecodes oder Geräte-Seriennummern scheiden aus, ein Schädling würde einfach irgendwelche Zufallskombinationen bei jeder neuen Verbindung generieren. Noch schlimmer, könnte er auch auf Mimikri setzen und einfach die Identität eines anderen angeschlossenen Geräts annehmen.
besonders wenn es für erweiterte AV Software nicht möglich wäre hier bei verdächtigen Vorgängen zu warnen.
Anhand welcher Kriterien sollte eine Software die Entscheidung treffen können, ob du selbst oder ein Parasit eine bestimmte Befehlssequenz eingegeben hast? Wenn der Trojaner sogar klug genug ist, ein menschliches Tippverhalten in Tempo und Variation nachzuahmen, dann wirds völlig aussichtslos.
Die Milliarden von realen USB Ports auf der Welt, lassen sich nicht von einem Tag auf den anderen eliminieren
So ist es. Als ob man versuchen würde, sämtliche Exemplare der Tse-Tse-Fliege einzufangen, um die Malaria auszurotten. Völlig absurdes Unterfangen, daran braucht man keinen Gedanken zu verschwenden.
verschiedene andere technische Geräte sind damit ausgerüstet
Die betroffene Hardware ist so mikroskopisch und so billig, dass man sie sogar problemlos massenhaft in den Steckern von industriell gefertigten Verbindungskabeln verstecken könnte. "Mögen wir in interessanten Zeiten leben."
könnte es vielleicht vorher einen „guten Virus“ gelingen den USB Port dagegen immun zu machen?
Theoretisch ja. Aber das wird wohl nur für die Hersteller solchen Equipments eine Option sein, für die zukünftige Produktion. Ich bezweifle stark, dass das als branchenübliches Procedere durchsetzbar ist.
Für die haarsträubende Vielfalt der bereits existierenden Gerätschaften ist das keine Option, das klappt nicht ohne intensive Kooperation der Hersteller, und die sind vielfach längst nicht mehr existent, bzw gar nicht zu ermitteln, bzw selbst gar nicht in der Lage, auf die nötigen Infos aus der Vergangenheit überhaupt noch zuzugreifen. Da könnte man zB auch versuchen, sämtliche gefälschten Rolex-Uhren und gefakten RayBan-Sonnenbrillen des Planeten zu erfassen und ihre Hersteller zwingen, sie mit entsprechenden Markierungen zu versehen. Surreale Vorstellung.
Mal sehen was findigen Köpfen gelingt, auch gegen diese Bedrohung über den USB Port vorgehen zu können.
Das wird sich ähnlich gestalten wie bei Gonorrhoe und Kondomen. Auch wenn es gut wirksame Mittel geben wird, die Ausbreitung des Problems wird das bestenfalls ein wenig bremsen können.
Diese Lücke wurde ja von findigen Köpfen entdeckt
Das kann man laut sagen. Nohl und seine Teamkollegen sind definitiv keine Nobodies, Dummschwätzer oder Angeber.
Sein Vortrag vom letzten Jahr war eindrucksvoll genug um zu erkennen, dass diese Leute sehr genau wissen wo der Hund begraben ist.
(Mit manipulierten SMS die Verschlüsselung von SIM-Karten für die meisten GSM-Netze komplett auszuhebeln, das ist durchaus "Hacken in der Champions-League". Und im Jahr danach gleich noch einen draufgesetzt... alle Achtung.
Was können wir alle froh sein, solche kompetenten Leute unter den "guten" zu wissen...)