USB

All posts tagged USB

attack_cc-by-nc-sa_from_marsmet_tallahasseeZugegeben die Geschichte kling unglaublich und wie aus einem schlechten Hollywoodfilm, die der Sicherheitsberater Dragos Ruiu bei Arstechnika beschreibt. Rechner ohne Netwerkanschluss, die ganz frisch installiert wurden mit verschiedenen Betriebssystem infizieren sich mit einer mysteriösen Maleware scheinbar über die Luft.

Die Hintergrundgeschichte kurz zusammengefasst:

Dragos Ruiu stellt ungewöhnliches auf den Rechnern in seinem Netzwerk fest. Konfigurationen ändern sich wie von Geisterhand. Er ergreift die üblichen Sicherheitsmaßnahmen und setzt Virenscanner ein. Als das nicht hilft installiert er das Betriebssystem neu und weil die Rechner weiterhin Probleme machen tauscht er auch das Bios aus. Nichts hilft und die Rechner arbeiten alle mit unterschiedlichen Betriebssystemen. Schließlich isoliert er einen der betroffenen Rechner aus dem Netzwerk. Der Rechner wird ganz frisch installiert von einer CD ohne Netzwerkanschluss. Trotzdem wird der Rechner nach kurzer Zeit, scheinbar aus dem Nichts, infiziert und ändert seine Konfiguration.

Die Analyse / die üblichen verdächtigen Infektionsmöglichkeiten:

Spätestens seit Stuxnet wissen wir Alle, dass ein Rechner nicht am Netzwerk hängen muss, um ihn zu infizieren. Rechner die aus Sicherheitsgründen nicht am Netzwerk hängen brauchen Updates. Diese bekommen sie üblicherweise über eine unsichere USB-Schnittstelle, die Stuxnet unter Windows für die Infektion genutzt hat. Stuxnet war sicherlich das genialste, was Cyberkrieger bis jetzt hervorgebracht haben, aber der Angriff funktionierte nur unter Windows aufgrund einer Schwachstelle, die inzwischen behoben ist. Im hier vorliegenden Fall funktionierte die Infektion aber auch unter Linux, OS-X und BSD.

Die abgefahrene Theorie, eine Infektion per Ultraschall über das Mikrofon:

Alle neuwertigen Laptops verfügen inzwischen über eine eingebaute Webcam und ein Mikrofon für Videokonferenzen. Dass die Webcam ein Sicherheitsrisiko sein kann, wenn sie ferngesteuert eingeschaltet wird, sollte inzwischen bekannt sein. Am einfachsten schützt man sich mit einem Klebestreifen über der Webcam. Mit dem eingeschalteten Mikrofon kann man den Laptop natürlich leicht in eine Abhörwanze umfunktionieren. Ob das Mikrofon eingeschaltet ist merkt man als Nutzer nicht, da es im Gegensatz zur Webcam keine optische Anzeige dafür gibt.
Die Theorie ist jetzt aber, dass per Ultraschall Netzwerkpakete von einem Rechner an den anderen übertragen werden. Eine Infektion über das Mikrofon der Sound-Karte also über die Luft. Unmöglich ist dies nicht, zumal früher im Analogen-Zeitalter der Internetverkehr akustisch über Modems funktionierte. Im Grunde genommen verwenden wir immer noch die gleiche Technik mit DSL-Modems, die allerdings eine höhere Bandbreite als früher verwenden und dadurch schneller sind, da sie auch im nicht hörbaren Frequenzbereich Daten übertragen können.
Daten per Ultraschall zu übertragen ist also nichts Außergewöhnliches. Allerdings muss die Gegenseite das Mikrofon eingeschaltet haben und in der Lage sein, die übertragenen Netzwerkpakete zu dekodieren und zu verarbeiten. Dies könnte über ein manipuliertes BIOS passieren, das unabhängig vom jeweiligen Betriebssystem arbeitet.

Zu dem Schluss, dass der beschriebene Vorgang vom technischen Standpunkt aus machbar und glaubwürdig ist, kommt auch Robert Graham in seinem Sicherheitsblog.

Wozu der ganze Aufwand?

Computer kann man viel einfacher infizieren. Es gibt riesige Botnetze, die mit Malware erschaffen werden, die im Gegensatz, zu dem hier beschriebenen komplexen Angriffsszenario, primitiv sind. Einfache Cyberkriminelle würden einen solchen Aufwand niemals betreiben, da sie viel leichter an Geld rankommen können.

Die Einzigen, denen jeder Aufwand recht ist weil sie über eine fast unbegrenztes Budget verfügen sind die Geheimdienste, wie die NSA oder das GCHQ. Bei nähere Betrachtung ist die Idee einer Datenübertragung über die Sound-Karte genial. Das Netzwerk wird üblicherweise überwacht, sodass eine unkontrollierte Datenübertragung auffallen würde. Noch besser wird das WLan überwacht, weil es häufigen Cyberangriffen ausgesetzt ist. Bleibt noch Bluetooth, welches häufig übersehen wird und genauso anfällig wie WLan ist. Allerdings reagieren viele Handys auf Bluetooth-Übertragungen. Wenn also viele unkontrollierte Bluetooth-Übertragungen stattfinden, werden die eher früher als später bemerkt, weil die Handys dauernd melden: „StationXY sendet – verbinden?“

big-office_cc-by-nc-nd_from_redteam

Typisches amerikanisches Großraumbüro.

Eine Übertragung per Ultraschall ist nicht hörbar und läuft nicht über die üblichen Netzwerk-Schnittstellen, die protokolliert werden können. Natürlich geht das Ganze nur über kurze Strecken, aber diese reichen aus, wenn es sich um Großraumbüros handelt, die in Amerika üblich sind. Dort gibt es in einem großen Raum häufig nur dünne Trennwände zwischen den Arbeitsplätzen. Somit können alle Rechner per Ultraschall ihre gesammelten Daten übertragen und nur ein einzelner Rechner muss diese dann geschickt durch das Netzwerk an den Geheimdienst zurücktunneln.
Genauso würde die NSA arbeiten, von der bekannt ist, dass sie Wirtschaftsspionage betreibt und strategische Rechner überall auf der Welt vorsätzlich für ihre Zwecke infiziert.

Fazit:

waorl-war-web_cc-by-nc-sa_from_watchingfrogsboilWenn die geschilderte Überwachung und die Auswertung von Dragos Ruiu zutreffend ist, wovon zum jetzigen Zeitpunkt auszugehen ist, dann halte ich es für das Wahrscheinlichste, dass er zufällig über einen neuartigen Cyberangriff der NSA gestolpert ist. Technisch ist das Beschriebene alles möglich und keine übermäßige Herausforderung. Allerdings ist die ganze Idee recht ungewöhnlich und Standard-IT-Experten würden wahrscheinlich niemals auf die Idee kommen, dass ein solcher Cyberangriff überhaupt machbar ist.

copyright-dvdMeine Mutter ist dank meiner administrativen Hilfe in ihrem Freundeskreis am besten mit IT ausgerüstet. Ihr Freundeskreis hält den neumodischen Kram überwiegend noch für Hexenwerk und arbeitet lieber mit aussterbender Analogtechnik aus dem letzten Jahrtausend.

Nur in einem Bereich war meine Mutter nicht auf der Höhe der Zeit. Sie hat immer noch mit einem VHS-Rekorder ihre Fernsehsendungen aufgezeichnet. Das lag wahrscheinlich auch daran, dass ich mich schon vor Jahren vom Fernsehkonsum verabschiedet habe. Filme und Dokumentationen schaue ich ausschließlich am Computer. Gelegentlich schaue ich mir Talkshows bei spannenden Themen bei YouTube oder in den Mediatheken der Sender an.

Weil es aber die VHS-Kassetten im Supermarkt nicht mehr zu kaufen gibt, brauchte meine Mutter etwas Neues und entschied sich, einen DVD- und Festplatten-Rekorder zu kaufen. Ich durfte das Gerät anschließen und einrichten, weil sie dazu keine Lust hat.

Da ich mich für Technik immer begeistern kann und so ein Gerät niemals für mich gekauft hätte, fand ich es recht spannend, damit einmal rumzuspielen und auszuprobieren was es so kann. Seine eigentliche Tätigkeit das Aufnehmen von Fernsehsendungen erfüllt das Gerät ganz gut. Alle sonstigen Funktionen sind aber sehr enttäuschend und bleiben weit unter den Möglichkeiten, die ein solches Gerät bieten könnte zurück.

Das Ganze fängt schon beim Einrichten an zu nerven, obwohl der Fernseher und der Rekorder beide von Panasonic sind, klappt die Programmübernehme vom Fernseher nicht. Wie soll sich denn jemals ein gemeinsamer Standard durchsetzen, wenn es die Hersteller nicht einmal schaffen innerhalb ihrer eigenen Produkte kompatibel zu bleiben?

Wenn man einen aufgenommen Film von der Festplatte auf eine DVD überspielen möchte, dann geht dies nur in einer hohen Geschwindigkeit, wenn man die Mpeg-Kodierung nicht ändert. Möchte man aber beispielsweise zwei Spielfilme auf eine DVD kopieren, dann geht das nur wenn man in Echtzeit die Filme umkodiert. Ja in Echtzeit! Also bei zwei Filmen mit ca. 2 Stunden muss man 4 Stunden auf die gebrannte DVD warten. So etwas ist wirklich entwürdigend, da es Routinen zur schnellen Umkodierung gibt, die Panasonic wahrscheinlich nicht implementieren wollte.

Eine spannende Funktion wäre es jetzt, wenn man eine DVD auf die Festplatte kopieren könnte. Dann könnte man sich eine DVD aus der Videothek ausleihen und später noch einmal anschauen. Doch auf Anhieb fand ich dazu keinen Eintrag im Menü. In einem Spezialmenü wurde ich aber fündig und man konnte in Echtzeit über die analoge Lücke die DVD kopieren. Klar wegen DRM und Urheberrecht darf man die DVD nicht digital kopieren.

Die umständliche DVD-Kopierfunktion kann ich ja noch nachvollziehen aber vom USB-Port konnte man gar nicht auf die Festplatte kopieren. Es wäre doch schön gewesen, wenn ich meiner Mutter ein paar Filme auf einem USB-Stick mitbringen könnte und diese dann auf die Festplatte im Rekorder kopiere, da sie Filme nicht am Computer anschauen mag. Bei dieser Funktion würde DRM keine Rolle spielen, da ich die Filme aus legalen Quellen im Internet bekommen kann. Warum also diese willkürliche Einschränkung vom Hersteller? Es scheint fast so, als wäre die Filmindustrie so mächtig, dass die Hersteller freiwillig die Funktionalität ihrer Geräte kastrieren.

Fazit

Es war gut, dass ich mich schon vor Jahren aus diesem Zirkus verabschiedet habe und alles nur noch über den Computer mache. Für so ein kastriertes Gerät, wäre mir mein Geld viel zu schade. Leider führt ein solches Verhalten der Industrie aber ganz massiv zur digitalen Spaltung. Wir Technikfreaks verabschieden uns aus der normalen Welt, weil wir nur noch angewidert sind von der Bevormundung und dem Kopierschutz. Ich wünschte mir es würde sich eine freie Plattform durchsetzen unter Linux. Dann könnte man leicht bedienbare Festplattenrekorder anbieten, die die gesamte mögliche Funktionalität erfüllen und wahrscheinlich würden dann auch Leute wie ich wieder zu Kunden werden, weil wir uns dann nicht mehr gegängelt vorkommen würden.

Vorsicht beim Datenaustausch mit sich wechselnden Partnern! - cc-by-nc-nd von Domenico Kiuz

Vorsicht beim Datenaustausch mit sich wechselnden Partnern!

Die USB-Schnittstelle eignet sich hervorragend zur Sabotage und Industriespionage, dies hat Stuxnet eindrucksvoll gezeigt. Das Problem ist nun, dass die USB-Schnittstelle über keinerlei Sicherheitsmechanismen verfügt. Ein unbekannter USB-Stick kann ausreichen, um ein System zu infiltrieren. Über die USB-Schnittstelle kann man die gesamte Hardware ansteuern und auf alle Daten zugreifen, ohne dass es der Anwender bemerkt.
Das tolle an USB ist, dass man auch an besonders gesicherte offline Systeme herankommt, denn auch diese müssen ja irgendwie konfiguriert werden oder Updates erhalten.
Wie Stuxnet nun gezeigt hat, kann man selbst in hochgesicherte Bereiche problemlos per USB eindringen. Ein normaler Anwender kann die daraus resultierenden Gefahren gar nicht mehr überblicken oder auch nur einschätzen.
Virus auf dem PC - cc-by-nc-sa von Mylla

Der Schaden kann schlimm sein, wenn der PC mit Viren verseucht ist.

Ein gefundener USB-Stick reicht aus. Sobald dieser an den PC angeschlossen wird, kann alles vorbei sein. Die Autostartfunktion von Windows ist dafür nicht notwendig, sollte aus Sicherheitsgründen aber dennoch immer deaktiviert sein. Ein manipulierter USB-Stick könnte sich als USB-Tastatur am Rechner anmelden und beliebige Kommandos an ihn senden, ganz wie eine Tastatur. Der Anwender bekommt davon nichts mit, wenn diese Kommandos geschickt ausgeführt werden. Man könnte auch per Werbegeschenk USB-Mäuse an bestimmte Schlüsselpositionen in Firmen versenden. Diese USB-Mäuse installieren dann beim Anschluss an den PC ihre Trojaner und ermöglichen den Zugriff von außen auf das gesicherte Firmennetzwerk.

Aber inzwischen hat ja fast alles eine USB-Schnittstelle. Wer kommt schon auf die Idee, dass der Fernseher verseucht sein könnte. Ein Film den man per USB am Fernseher gesehen hat kann unbemerkt dort Schadsoftware installieren. Diese verbreitet sich dann weiter über jeden weiteren USB-Stick, der am Fernseher angeschlossen wird.
Jedes Handy hat inzwischen eine USB-Schnittstelle. Ein manipuliertes USB-Ladegerät kann problemlos alle Daten vom Handy runterladen und einen Trojaner auf dem Handy installieren. Das Ladegerät kann dann auch gleich unbemerkt über das Stromnetz angesteuert werden und die erbeuteten Daten versenden.
Oder es wird ein teures Handy zum Testen zugesendet. Sobald es am PC angeschlossen wird, um das Adressbuch oder Termine abzugleichen, kann das Handys den PC übernehmen.

hacker inside

Keine Panik, die Hacker sind die Guten!

Die Komplexität eines PC kann schon lange nicht mehr von einem normalen Anwender überblickt werden. Es wäre sehr naiv zu glauben, dass ein normaler Anwender alle sich ständig ändernden Sicherheitslücken kennt und weiß wie er auf sie reagieren muss. Selbst das Betriebssystem auf dem neusten Stand zu halten, kann über die Auto-Update-Funktion zur Gefahr werden, denn wer weiß schon was da alles von wo nachinstalliert wird. Die Banken wissen dies längst. Wer aber beim Homebanking Probleme hat muss der Bank erst einmal nachweisen, dass er alles richtig gemacht hat. Dies ist unmöglich bei heutigen Systemen und die Homebanking-Software müsste ganz anders konstruiert sein, um auf diese Gefahren reagieren zu können. Statt dessen stellen viele Banken ihr Verfahren so um, dass sie die Transaktionscodes über das Mobilfunknetz senden. Wohl wissend, dass diese Übertragung nicht abhörsicher ist und das Handy auch eine sehr unsichere Plattform ist.

Auch der elektronische Personalausweis, kann nur so sicher sein, wie sein Lesegerät, das per USB angeschlossen wird. Von der Regierung ist es mehr als naiv zu erwarten, der Bürger könne ein sicheres System betreiben, auf dem er dann den neuen Personalausweis einsetzt. Identitätsdiebstahl wird, sobald das System verbreiteter und damit lohnender für Kriminelle ist, ein großes Problem werden.

Da Sicherheit auch immer eine Kostenfrage ist und Profit die einzige Antriebskraft im Kapitalismus ist, stehen uns unsichere Zeiten bevor.

Telefónica O2 eine Tochter des spanischen Telefónica-Konzerns hat Hansenet und damit die Marke Alice Anfang des Jahres übernommen. Stellt sich jetzt natürlich die Frage ob Alice in Alicante umbenannt wird?

Nach der Übernahme hat Alice an seine Bestandskunden einen Gutschein für einen kostenlosen O2-USB-Surfstick versendet, der keine weiteren Fixkosten hatte. Wie zu erwarten, gingen die Kunden in großen Scharen zu den O2-Shops um dieses verlockende Angebot abzuholen. Doch dort wurden sie erst einmal vertröstet. In einigen O2-Shops wurden Voranmeldungen angenommen, in anderen wurde man auf den 12. April hingewiesen. Während man von den Voranmeldungen nie wieder was hörte, waren in den wenigen O2-Shops, die tatsächlich beliefert wurden, die Sticks am nächsten Tag vergriffen. Dazu war von O2 zu hören, dass man von dem Ansturm überrascht war und darauf hinweist, dass auf dem Gutschein steht, dass die Sticks nur so lange verteilt werden wie das Angebot reicht. Bei so einem verlockenden Angebot ist ein Ansturm natürlich total überraschend.

Da O2 aber bei anderen Angeboten immer noch fleißig den Stick verteilt, drängt sich natürlich der Verdacht auf, dass man die Menge künstlich niedrig gehalten hat.

Der O2-Surfstick wird gratis verteilt - warum nicht an Alice-Bestandskunden?

Der O2-Surfstick wird gratis verteilt - warum nicht an Alice-Bestandskunden?

Warum jetzt das Ganze fragt sich der verärgerte Alice-Bestandskunde, der keinen Stick erhalten hat? Die Antwort findet man auf dieser Webseite von O2. O2 möchte gerne Adressen sammeln von Alice-Kunden, die an einem solchen Angebot interessiert sind um diese mit entsprechend zielgerichteter Werbung zu versorgen. Man sollte halt keinem zu guten Geschenk glauben, denn zu verschenken hat keiner etwas. Warum sollte man auch den Bestandskunden etwas schenken, die haben doch sowieso unterschrieben. In dem umkämpften Markt geht es für die Konzerne nur um die Neukundengewinnung.

[UPDATE]
Habe mal einige O2-Shop-Betreiber befragt zu den Surfsticks, die verteilt werden sollten. Leider wollte mir keiner offiziell etwas sagen. Inoffiziell haben mir verschiedene Betreiber folgendes erzählt.

Es wurden O2-Surfsticks für ca. 2% der von Alice angeschriebenen Kunden an die O2-Shops ausgeliefert. Die offensichtlich viel zu geringe Menge reichte nicht aus, um alle Shops in Hamburg zu beliefern. Viele wurden auf einen zweiten Liefertermin vertröstet, den es nicht gab. Die Shop-Betreiber sind verärgert darüber, dass Alice so wenig Sticks bereit gestellt hat und sie jetzt verärgerte Kunden haben.

Ich werde weiterhin versuchen von O2 etwas offizielles zu bekommen; so lange ist die Information oben als noch unbestätigtes Gerücht zu betrachten. Auch Alice habe ich angeschrieben und hoffe auf eine offizielle Antwort zu dem Thema.

Dass nur Alice an der Sache Schuld ist, kann ich nicht ganz nachvollziehen. Sicherlich trägt Alice die Hauptschuld an der Sache, wenn sich die Informationen oben bestätigen. Andererseits ist dies eine gemeinsam abgesprochene Werbeaktion, die beiden Marken schadet. Je mehr Surfsticks O2 verteilt, um so mehr kann man auch am Betrieb der Sticks verdienen. Man hätte also mehr Sticks günstiger für Alice bereit stellen können oder Alice die Werbeaktion unter den Bedingungen versagen können.

Falls ich weitere Informationen bekomme, schreibe ich sie hier ins Blog…