BadUSB-Frage

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
GregorS
Beiträge: 2518
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

BadUSB-Frage

Beitrag von GregorS » 23.03.2017 00:16:50

Hallo allerseits!

Neulich kam bei einem Freund ein ziemlich altes Thema zur Sprache: BadUSB.

Deshalb fand ich interessant, als ich heute über https://lwn.net/Articles/608503/ stolperte. Wenn ich das richtig verstanden habe, verhindert man mit

Code: Alles auswählen

echo "0" > /sys/module/usbcore/parameters/authorized_default
in /etc/rc.local, dass sich eine zusätzliche Tastatur am System anmelden kann, womit ein entsprechend manipulierter USB-Stick keine Chance hätte, sich an meinem System zu vergreifen.

Habe ich das so richtig verstanden? Funktioniert das nur dann, wenn auch die erste Tastatur via USB angeschlossen ist, oder funktioniert das auch mit Tastaturen mit PS/2-Stecker?

Vielen Dank vorweg!

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: BadUSB-Frage

Beitrag von breakthewall » 23.03.2017 06:32:10

Hallo

Das Thema BadUSB ist an sich recht kompliziert, zumal man so gut wie nichts dagegen tun kann. Und der Grund dafür liegt bereits der Hardware zugrunde, die hier überhaupt keine Abgrenzung oder Absicherung vorsieht. Man kann auch nicht einzelne USB-Ports deaktivieren, und nur bspw. jene aktiv lassen wo eine Maus oder Tastatur dran hängt. Entweder sind alle an oder aus, mehr gibt es hier nicht. Um das Problem mit BadUSB zu beheben bedarf es besserer Hardware schon seitens des Mainboards, oder schlicht rigoros signierte Firmware auf USB-Sticks, sodass das zur Regel wird. Davon sind wir aber noch weit entfernt.

Es stimmt zwar das dieser Befehl neue Geräte ausschließt, aber schafft das nun Sicherheit? Nicht wirklich. Denn vorhandene Geräte können auch manipuliert werden, manche Tastaturen haben mitunter sogar noch USB-Ports und wären damit bereits autorisiert. Das generelle Problem ist eben, dass jedes Betriebssystem sowohl Mäusen als auch Tastaturen immer vertraut, und wenn ein BadUSB-Device eines von beidem simuliert, dann wird das immer funktionieren. Alternativ könnte man udev-Regeln erstellen, die je nach Bus nur bestimmte USB-Geräte als valide erkennen.

Nur das hat insofern einen Haken, weil es viele billige Geräte mit ein und derselben oder vielfach sogar mit überhaupt keiner Seriennummer geben kann, womit nicht mal eine echte Handhabe gegeben ist etwas sicher identifizieren zu können. Eine weitere Möglichkeit wäre GrSecurity, wodurch ebenso verhindert werden kann neue USB-Geräte zu registrieren bzw. zu nutzen. Nur das Grundproblem ist doch, dass man genau jene Geräte nutzen will, womit man diese auch wieder erlauben muss, und somit alle Tore wieder offen sind. Dagegen bei Systemen die man maximal abschotten kann, und erst gar nicht erforderlich ist hier jemals etwas anzuschließen, wäre das wieder etwas anderes.

Aus meiner Sicht gibt es nur eine mögliche Verteidigung, und das ist den PC schlicht und ergreifend unzugänglich zu machen, was auch vor etlichen anderen Gefahren schützt. Für BadUSB braucht man ohnehin lokalen Zugriff zum PC, womit generell schon eine schlechte Grundlage besteht, wenn es ein Angreifer bereits soweit geschafft hat. Dann helfen einem auch keine Regeln mehr im Betriebssystem, um Designprobleme der Hardware irgendwie zu kompensieren. Aber möglicherweise weis jemand auch noch andere Optionen.

Benutzeravatar
GregorS
Beiträge: 2518
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: BadUSB-Frage

Beitrag von GregorS » 23.03.2017 19:36:20

breakthewall hat geschrieben:...
Vielen Dank für die ausführliche Antwort!

Wenn ich ein bisschen darüber nachgedacht und weitere Fragen habe, schlage ich wieder hier auf.

Gruß

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])

Antworten