USB-Jondos-DVD

Ideen zu allem, was nützlich wäre. Vorschläge und Tipps zur JonDonym-Programmierung.
microsoft
Posts: 531
Joined: Tue Jun 14, 2011 3:07

USB-Jondos-DVD

Post by microsoft » Thu Jul 31, 2014 21:47

Was nun? letztendlich kann mein Jondos-USB noch nachträglich infiziert werden. Also nur noch DVD nutzen?


http://www.heise.de/newsticker/meldung/ ... 81098.html

User avatar
Ochnö
Posts: 1738
Joined: Sat Nov 06, 2010 16:03

Re: USB-Jondos-DVD

Post by Ochnö » Fri Aug 01, 2014 6:10

Du weisst was alles mit einer firmware laeuft?
Das hat doch mit den USB sticks nur am Rande zu tun.
Es ginge genauso mit grakas,netzwerkkarten usw.und das weiss man seit langem.
Gegen die NSA kann ich mich evtl. mit dem selber bauen meines pcs schuetzen-nur eben nicht gegen die Chinesen,denn dort werden die meissten Komponenten gebaut.

Genommen haben sie die usb sticks mit Sicherheit deswegen weil die halt fast ueberall als "schnelles,bequemes Transportmittel"eingesetzt werden.
Zudem sind diese controller chips in nur sehr wenigen Varianten eingebaut und das vereinfacht diese Art der Attacke.
Das eigendliche Problem liegt aber doch darin verborgen das die Firmware derart unsicher(meist?)aufgebaut ist-keine Verschluesselung und keine Signierung!

Fraglich halt nur-geht das Uberschreiben der Firmware remote und silent(unbemerkt vom user),oder muss ich physischen Zugriff auf den Stick haben?
Btw. dein DVD Laufwerk hat auch eine Firmware ;)

Edith sagte mir ich sollte noch einmal etwa nachliefern,um zu zeigen wie lange diese Moeglichkeit schon bekannt ist

https://en.wikipedia.org/wiki/CIH_%28computer_virus%29

Dann auch u.a bei Black Hat 2012 noch einmal
http://www.tweakpc.de/news/24928/raksha ... -firmware/

http://www.extremetech.com/computing/13 ... y-computer

deswegen ja auch die Forderung der Gutachter bei dem NSA Ausschuss da sich Europa(Deutschland)eine eigene IT-Industrie schaffen muss\sollte.

Btw. nicht zu verwechseln mit dem Halloween hoax ;)

http://arstechnica.com/security/2013/10 ... s-airgaps/

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: USB-Jondos-DVD

Post by xg27 » Fri Aug 01, 2014 8:46

Tja, gegen den Problemkreis BIOS/firmware(+Treiber?)/microcode helfen Livesysteme auch nicht. OpenSource waere da vielversprechend da es sich dabei um sehr kleine Programme handelt die viel leichter zu ueberpruefen sind als etwa ein ganzer Kernel.

Konkret zum usb-stick:

2 Varianten:
--vorab kompromittiert, zB durch Vendor. Schwierig, sich dagegen zu schuetzen.

--nachtraegliche Kompromittierung, beschraenken wir uns einmal auf Kompromittierung ueber Netzwerk(physischen Zugang schliessen wir erstmal aus). Dagegen kann man sich schuetzen. Einfach mit <toram> booten und den Stick abziehen BEVOR man an irgendein Netz geht. Dann erst wieder nach erfolgtem <shutdown> anstecken. Und das strikt immer so machen.


Hm. Gibt es eigentlich eine Moeglichkeit mit einem forensischen livesystem nachtraeglich angesteckte Geraete und deren firmware unter die Lupe zu nehmen; was die machen und was nicht?



!:: wenn ich hier irgendwo falsch liege dann bitte richtigstellen

User avatar
Ochnö
Posts: 1738
Joined: Sat Nov 06, 2010 16:03

Re: USB-Jondos-DVD

Post by Ochnö » Fri Aug 01, 2014 9:18

xg27 wrote:Tja, gegen den Problemkreis BIOS/firmware(+Treiber?)/microcode helfen Livesysteme auch nicht. OpenSource waere da vielversprechend da es sich dabei um sehr kleine Programme handelt die viel leichter zu ueberpruefen sind als etwa ein ganzer Kernel.

Konkret zum usb-stick:

2 Varianten:
--vorab kompromittiert, zB durch Vendor. Schwierig, sich dagegen zu schuetzen.
Halte ich persoehnlich sogar fuer Unmoeglich.
Erinnere dabei auchan durch NSA abgefangene part sendungen von(Cisco parts?),die nach Austausch\Umbau an den Empfeanger gingen.
--nachtraegliche Kompromittierung, beschraenken wir uns einmal auf Kompromittierung ueber Netzwerk(physischen Zugang schliessen wir erstmal aus). Dagegen kann man sich schuetzen. Einfach mit <toram> booten und den Stick abziehen BEVOR man an irgendein Netz geht. Dann erst wieder nach erfolgtem <shutdown> anstecken. Und das strikt immer so machen.
Irgendwie kapiere ich nicht,was du meinst?
So ein infizierter stick koennte auch weitere im pc verbaute usb componenten bereits infiziert haben-somoit egal ob der nun nur"offline"eingesteckt ist oder nicht.
Hm. Gibt es eigentlich eine Moeglichkeit mit einem forensischen livesystem nachtraeglich angesteckte Geraete und deren firmware unter die Lupe zu nehmen; was die machen und was nicht?
Hmm...bei windoof gibt es den "device manager"-das liesse sich evtl. bei der Installation auslesen und als log zum Vergleich spaeter heranziehen o sich da etwas unerwuenschtes in's system eingenistet hat.
"Was etwas macht"-tja,eine "Tastatur"ist eine tastatur"und eine "netzwerkkarte"ist eine"netzwerkkarte"-auch wenn die nur emuliert wird.Oder? ;)


!:: wenn ich hier irgendwo falsch liege dann bitte richtigstellen
dito ;)

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: USB-Jondos-DVD

Post by xg27 » Fri Aug 01, 2014 10:23

Ochnö wrote:
--nachtraegliche Kompromittierung, beschraenken wir uns einmal auf Kompromittierung ueber Netzwerk(physischen Zugang schliessen wir erstmal aus). Dagegen kann man sich schuetzen. Einfach mit <toram> booten und den Stick abziehen BEVOR man an irgendein Netz geht. Dann erst wieder nach erfolgtem <shutdown> anstecken. Und das strikt immer so machen.
Irgendwie kapiere ich nicht,was du meinst?
So ein infizierter stick koennte auch weitere im pc verbaute usb componenten bereits infiziert haben-somoit egal ob der nun nur"offline"eingesteckt ist oder nicht.
Ja. Aber dazu muss er eben schon vorab infiziert sein. Das wahre Problem ist natuerlich wenn andere Geraete (usb- oder nicht),die ich im online-Betrieb brauche, kompromittiert werden. Dann aber ist nicht sosehr das Problem dass sie den Stick infizieren sondern dass sie das in RAM laufende Betriebssystem kompromittieren. Der erwaehnte Problemkreis BIOS/firm-treiber/microcode eben.

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: USB-Jondos-DVD

Post by xg27 » Fri Aug 01, 2014 10:32

Ochnö wrote: Hmm...bei windoof gibt es den "device manager"-das liesse sich evtl. bei der Installation auslesen und als log zum Vergleich spaeter heranziehen o sich da etwas unerwuenschtes in's system eingenistet hat.
"Was etwas macht"-tja,eine "Tastatur"ist eine tastatur"und eine "netzwerkkarte"ist eine"netzwerkkarte"-auch wenn die nur emuliert wird.Oder? ;)
Also, wenn der Angriff sein Salz wert ist dann werden alle relevanten outputs des normalen Betriebssystems entsprechend getuerkt. Daher, vielleicht mit einem forensic system das nachtraeglich angesteckte Geraet nur proben ohne es wirklich in Betrieb zu nehmen....

Keine Ahnung, was da geht und was nicht....


Eine Tastatur ist eine Tastatur; aber eine Tastatur die von selbst was eintippt ist mehr als das.

User avatar
Ochnö
Posts: 1738
Joined: Sat Nov 06, 2010 16:03

Re: USB-Jondos-DVD

Post by Ochnö » Fri Aug 01, 2014 10:47

Das OS wird hier bei diesem Angriff nicht angegriffen-es werden USB|HID devices compromittiert und umfunktioniert!
Das OS und deine Eingaben werden "lediglich ausspioniert"
Das ist ja auch der Grund warum da kein snake oil hilft ;) und wer hat schon dauernd wireshark o.ae. am laufen.Oder wohlmoeglich eine whitelist wohin sich die Kiste nur hin verbinden darf...

Bei mir finde ich bspw. auf meinem,lappy 7 USB hubs+5 weitere devices.Unter HID finden sich 9 devices+ein HID keyboard,nebst einem PS/2 keyboard.
Keine Ahnung ob die sich seit der erst Installation nun "ungewollt"vemehrt haben. ;)

so etwas wie unter win den device manager gibt es doch auch unter *.nixen?Meinte so etwas bei meinen Testen schon gesehen zu haben.
Eine Tastatur ist eine Tastatur; aber eine Tastatur die von selbst was eintippt ist mehr als das.
??? Ja was isse denn?
Woher soll was denn merken das die tastatur von"Geisterhand"betaetigt wird und nicht von dir-denn die laeuft mit deinen rechten?
Abgesehen davon ist das Ding ja nur ein bsp.(Machbarkeit)und zum ausspionieren nicht noetig-es reicht ja die virtuelle netzwerkarte die deine Eingaben=speziell PW loggt und bei Gelegenheit weitersendet.

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: USB-Jondos-DVD

Post by xg27 » Fri Aug 01, 2014 11:27

Ochnö wrote:
Eine Tastatur ist eine Tastatur; aber eine Tastatur die von selbst was eintippt ist mehr als das.
??? Ja was isse denn?
Woher soll was denn merken das die tastatur von"Geisterhand"betaetigt wird und nicht von dir-denn die laeuft mit deinen rechten?
Abgesehen davon ist das Ding ja nur ein bsp.(Machbarkeit)und zum ausspionieren nicht noetig-es reicht ja die virtuelle netzwerkarte die deine Eingaben=speziell PW loggt und bei Gelegenheit weitersendet.
virtuelle netzwerkkarten usw erfordern eine zusaetzliche konfiguration des Betriebssystems(Kompromittierung). Und das kann ueber die Geistertastatur erfolgen (sollte normalerweise root-rechte brauchen). Und dass <das-und-das> eingetippt wurde kann der user merken, denn er weiss dass er es nicht selbst eingetippt hat. Vorausgesetzt, es wird dem user gemeldet dass <das-und-das> eingetippt wurde. Ich wuerde davon ausgehen dass die entsprechenden log-eintraege des laufenden BS unterdrueckt werden, wohl auch bei einem *nix unterdrueckt werden(koennen).Auch dazu muss das BS kompromittiert werden.Die Kompromittierung kann natuerlich nur in RAM und jedesmal aufs Neue erfolgen; dann ist sie (bei fixinstalliertem BS) nicht auf der Platte dedektierbar.

sfasfdfadfsfsad
Posts: 63
Joined: Sat May 24, 2014 21:27

Re: USB-Jondos-DVD

Post by sfasfdfadfsfsad » Fri Aug 01, 2014 16:06

da ist die NSA schon weiter um böse USB-Sticks zu verhindern, wenn der Analyst mal zum Kaffee-Automaten muss, mit eingetragenem Patent :-D

http://www.google.com/patents/US8414314

User avatar
Ochnö
Posts: 1738
Joined: Sat Nov 06, 2010 16:03

Re: USB-Jondos-DVD

Post by Ochnö » Fri Aug 01, 2014 17:02

xg27 wrote: virtuelle netzwerkkarten usw erfordern eine zusaetzliche konfiguration des Betriebssystems(Kompromittierung). Und das kann ueber die Geistertastatur erfolgen (sollte normalerweise root-rechte brauchen). Und dass <das-und-das> eingetippt wurde kann der user merken, denn er weiss dass er es nicht selbst eingetippt hat. Vorausgesetzt, es wird dem user gemeldet dass <das-und-das> eingetippt wurde. Ich wuerde davon ausgehen dass die entsprechenden log-eintraege des laufenden BS unterdrueckt werden, wohl auch bei einem *nix unterdrueckt werden(koennen).Auch dazu muss das BS kompromittiert werden.Die Kompromittierung kann natuerlich nur in RAM und jedesmal aufs Neue erfolgen; dann ist sie (bei fixinstalliertem BS) nicht auf der Platte dedektierbar.
Sorry-aber die kann schon bereits fertigkonfiguriert installiert werden.Was soll da noch konfiguriert werden?Ist ja keine wLan geschichte wo ich erst noch das pw fuer den accesspoint\router haben muesste.

@sfasfdfadfsfsad-da scheinen DE admins praktischer veranlagt.
Die loesen dies Problem ganz einfach mit Heissklebepistolen.
Nur schlecht-wenn die an einem USB Anschluss aufgeladen werden muessen..
http://www.heissklebepistolen-tests.de/ ... -test.html
:lol:

Post Reply