Beitrag
von breakthewall » 23.03.2017 06:32:10
Hallo
Das Thema BadUSB ist an sich recht kompliziert, zumal man so gut wie nichts dagegen tun kann. Und der Grund dafür liegt bereits der Hardware zugrunde, die hier überhaupt keine Abgrenzung oder Absicherung vorsieht. Man kann auch nicht einzelne USB-Ports deaktivieren, und nur bspw. jene aktiv lassen wo eine Maus oder Tastatur dran hängt. Entweder sind alle an oder aus, mehr gibt es hier nicht. Um das Problem mit BadUSB zu beheben bedarf es besserer Hardware schon seitens des Mainboards, oder schlicht rigoros signierte Firmware auf USB-Sticks, sodass das zur Regel wird. Davon sind wir aber noch weit entfernt.
Es stimmt zwar das dieser Befehl neue Geräte ausschließt, aber schafft das nun Sicherheit? Nicht wirklich. Denn vorhandene Geräte können auch manipuliert werden, manche Tastaturen haben mitunter sogar noch USB-Ports und wären damit bereits autorisiert. Das generelle Problem ist eben, dass jedes Betriebssystem sowohl Mäusen als auch Tastaturen immer vertraut, und wenn ein BadUSB-Device eines von beidem simuliert, dann wird das immer funktionieren. Alternativ könnte man udev-Regeln erstellen, die je nach Bus nur bestimmte USB-Geräte als valide erkennen.
Nur das hat insofern einen Haken, weil es viele billige Geräte mit ein und derselben oder vielfach sogar mit überhaupt keiner Seriennummer geben kann, womit nicht mal eine echte Handhabe gegeben ist etwas sicher identifizieren zu können. Eine weitere Möglichkeit wäre GrSecurity, wodurch ebenso verhindert werden kann neue USB-Geräte zu registrieren bzw. zu nutzen. Nur das Grundproblem ist doch, dass man genau jene Geräte nutzen will, womit man diese auch wieder erlauben muss, und somit alle Tore wieder offen sind. Dagegen bei Systemen die man maximal abschotten kann, und erst gar nicht erforderlich ist hier jemals etwas anzuschließen, wäre das wieder etwas anderes.
Aus meiner Sicht gibt es nur eine mögliche Verteidigung, und das ist den PC schlicht und ergreifend unzugänglich zu machen, was auch vor etlichen anderen Gefahren schützt. Für BadUSB braucht man ohnehin lokalen Zugriff zum PC, womit generell schon eine schlechte Grundlage besteht, wenn es ein Angreifer bereits soweit geschafft hat. Dann helfen einem auch keine Regeln mehr im Betriebssystem, um Designprobleme der Hardware irgendwie zu kompensieren. Aber möglicherweise weis jemand auch noch andere Optionen.