Was nun? letztendlich kann mein Jondos-USB noch nachträglich infiziert werden. Also nur noch DVD nutzen?
http://www.heise.de/newsticker/meldung/ ... 81098.html
USB-Jondos-DVD
Re: USB-Jondos-DVD
Du weisst was alles mit einer firmware laeuft?
Das hat doch mit den USB sticks nur am Rande zu tun.
Es ginge genauso mit grakas,netzwerkkarten usw.und das weiss man seit langem.
Gegen die NSA kann ich mich evtl. mit dem selber bauen meines pcs schuetzen-nur eben nicht gegen die Chinesen,denn dort werden die meissten Komponenten gebaut.
Genommen haben sie die usb sticks mit Sicherheit deswegen weil die halt fast ueberall als "schnelles,bequemes Transportmittel"eingesetzt werden.
Zudem sind diese controller chips in nur sehr wenigen Varianten eingebaut und das vereinfacht diese Art der Attacke.
Das eigendliche Problem liegt aber doch darin verborgen das die Firmware derart unsicher(meist?)aufgebaut ist-keine Verschluesselung und keine Signierung!
Fraglich halt nur-geht das Uberschreiben der Firmware remote und silent(unbemerkt vom user),oder muss ich physischen Zugriff auf den Stick haben?
Btw. dein DVD Laufwerk hat auch eine Firmware
Edith sagte mir ich sollte noch einmal etwa nachliefern,um zu zeigen wie lange diese Moeglichkeit schon bekannt ist
https://en.wikipedia.org/wiki/CIH_%28computer_virus%29
Dann auch u.a bei Black Hat 2012 noch einmal
http://www.tweakpc.de/news/24928/raksha ... -firmware/
http://www.extremetech.com/computing/13 ... y-computer
deswegen ja auch die Forderung der Gutachter bei dem NSA Ausschuss da sich Europa(Deutschland)eine eigene IT-Industrie schaffen muss\sollte.
Btw. nicht zu verwechseln mit dem Halloween hoax
http://arstechnica.com/security/2013/10 ... s-airgaps/
Das hat doch mit den USB sticks nur am Rande zu tun.
Es ginge genauso mit grakas,netzwerkkarten usw.und das weiss man seit langem.
Gegen die NSA kann ich mich evtl. mit dem selber bauen meines pcs schuetzen-nur eben nicht gegen die Chinesen,denn dort werden die meissten Komponenten gebaut.
Genommen haben sie die usb sticks mit Sicherheit deswegen weil die halt fast ueberall als "schnelles,bequemes Transportmittel"eingesetzt werden.
Zudem sind diese controller chips in nur sehr wenigen Varianten eingebaut und das vereinfacht diese Art der Attacke.
Das eigendliche Problem liegt aber doch darin verborgen das die Firmware derart unsicher(meist?)aufgebaut ist-keine Verschluesselung und keine Signierung!
Fraglich halt nur-geht das Uberschreiben der Firmware remote und silent(unbemerkt vom user),oder muss ich physischen Zugriff auf den Stick haben?
Btw. dein DVD Laufwerk hat auch eine Firmware
Edith sagte mir ich sollte noch einmal etwa nachliefern,um zu zeigen wie lange diese Moeglichkeit schon bekannt ist
https://en.wikipedia.org/wiki/CIH_%28computer_virus%29
Dann auch u.a bei Black Hat 2012 noch einmal
http://www.tweakpc.de/news/24928/raksha ... -firmware/
http://www.extremetech.com/computing/13 ... y-computer
deswegen ja auch die Forderung der Gutachter bei dem NSA Ausschuss da sich Europa(Deutschland)eine eigene IT-Industrie schaffen muss\sollte.
Btw. nicht zu verwechseln mit dem Halloween hoax
http://arstechnica.com/security/2013/10 ... s-airgaps/
Re: USB-Jondos-DVD
Tja, gegen den Problemkreis BIOS/firmware(+Treiber?)/microcode helfen Livesysteme auch nicht. OpenSource waere da vielversprechend da es sich dabei um sehr kleine Programme handelt die viel leichter zu ueberpruefen sind als etwa ein ganzer Kernel.
Konkret zum usb-stick:
2 Varianten:
--vorab kompromittiert, zB durch Vendor. Schwierig, sich dagegen zu schuetzen.
--nachtraegliche Kompromittierung, beschraenken wir uns einmal auf Kompromittierung ueber Netzwerk(physischen Zugang schliessen wir erstmal aus). Dagegen kann man sich schuetzen. Einfach mit <toram> booten und den Stick abziehen BEVOR man an irgendein Netz geht. Dann erst wieder nach erfolgtem <shutdown> anstecken. Und das strikt immer so machen.
Hm. Gibt es eigentlich eine Moeglichkeit mit einem forensischen livesystem nachtraeglich angesteckte Geraete und deren firmware unter die Lupe zu nehmen; was die machen und was nicht?
!:: wenn ich hier irgendwo falsch liege dann bitte richtigstellen
Konkret zum usb-stick:
2 Varianten:
--vorab kompromittiert, zB durch Vendor. Schwierig, sich dagegen zu schuetzen.
--nachtraegliche Kompromittierung, beschraenken wir uns einmal auf Kompromittierung ueber Netzwerk(physischen Zugang schliessen wir erstmal aus). Dagegen kann man sich schuetzen. Einfach mit <toram> booten und den Stick abziehen BEVOR man an irgendein Netz geht. Dann erst wieder nach erfolgtem <shutdown> anstecken. Und das strikt immer so machen.
Hm. Gibt es eigentlich eine Moeglichkeit mit einem forensischen livesystem nachtraeglich angesteckte Geraete und deren firmware unter die Lupe zu nehmen; was die machen und was nicht?
!:: wenn ich hier irgendwo falsch liege dann bitte richtigstellen
Re: USB-Jondos-DVD
Halte ich persoehnlich sogar fuer Unmoeglich.xg27 wrote:Tja, gegen den Problemkreis BIOS/firmware(+Treiber?)/microcode helfen Livesysteme auch nicht. OpenSource waere da vielversprechend da es sich dabei um sehr kleine Programme handelt die viel leichter zu ueberpruefen sind als etwa ein ganzer Kernel.
Konkret zum usb-stick:
2 Varianten:
--vorab kompromittiert, zB durch Vendor. Schwierig, sich dagegen zu schuetzen.
Erinnere dabei auchan durch NSA abgefangene part sendungen von(Cisco parts?),die nach Austausch\Umbau an den Empfeanger gingen.
Irgendwie kapiere ich nicht,was du meinst?--nachtraegliche Kompromittierung, beschraenken wir uns einmal auf Kompromittierung ueber Netzwerk(physischen Zugang schliessen wir erstmal aus). Dagegen kann man sich schuetzen. Einfach mit <toram> booten und den Stick abziehen BEVOR man an irgendein Netz geht. Dann erst wieder nach erfolgtem <shutdown> anstecken. Und das strikt immer so machen.
So ein infizierter stick koennte auch weitere im pc verbaute usb componenten bereits infiziert haben-somoit egal ob der nun nur"offline"eingesteckt ist oder nicht.
Hmm...bei windoof gibt es den "device manager"-das liesse sich evtl. bei der Installation auslesen und als log zum Vergleich spaeter heranziehen o sich da etwas unerwuenschtes in's system eingenistet hat.Hm. Gibt es eigentlich eine Moeglichkeit mit einem forensischen livesystem nachtraeglich angesteckte Geraete und deren firmware unter die Lupe zu nehmen; was die machen und was nicht?
"Was etwas macht"-tja,eine "Tastatur"ist eine tastatur"und eine "netzwerkkarte"ist eine"netzwerkkarte"-auch wenn die nur emuliert wird.Oder?
dito!:: wenn ich hier irgendwo falsch liege dann bitte richtigstellen
Re: USB-Jondos-DVD
Ja. Aber dazu muss er eben schon vorab infiziert sein. Das wahre Problem ist natuerlich wenn andere Geraete (usb- oder nicht),die ich im online-Betrieb brauche, kompromittiert werden. Dann aber ist nicht sosehr das Problem dass sie den Stick infizieren sondern dass sie das in RAM laufende Betriebssystem kompromittieren. Der erwaehnte Problemkreis BIOS/firm-treiber/microcode eben.Ochnö wrote:Irgendwie kapiere ich nicht,was du meinst?--nachtraegliche Kompromittierung, beschraenken wir uns einmal auf Kompromittierung ueber Netzwerk(physischen Zugang schliessen wir erstmal aus). Dagegen kann man sich schuetzen. Einfach mit <toram> booten und den Stick abziehen BEVOR man an irgendein Netz geht. Dann erst wieder nach erfolgtem <shutdown> anstecken. Und das strikt immer so machen.
So ein infizierter stick koennte auch weitere im pc verbaute usb componenten bereits infiziert haben-somoit egal ob der nun nur"offline"eingesteckt ist oder nicht.
Re: USB-Jondos-DVD
Also, wenn der Angriff sein Salz wert ist dann werden alle relevanten outputs des normalen Betriebssystems entsprechend getuerkt. Daher, vielleicht mit einem forensic system das nachtraeglich angesteckte Geraet nur proben ohne es wirklich in Betrieb zu nehmen....Ochnö wrote: Hmm...bei windoof gibt es den "device manager"-das liesse sich evtl. bei der Installation auslesen und als log zum Vergleich spaeter heranziehen o sich da etwas unerwuenschtes in's system eingenistet hat.
"Was etwas macht"-tja,eine "Tastatur"ist eine tastatur"und eine "netzwerkkarte"ist eine"netzwerkkarte"-auch wenn die nur emuliert wird.Oder?
Keine Ahnung, was da geht und was nicht....
Eine Tastatur ist eine Tastatur; aber eine Tastatur die von selbst was eintippt ist mehr als das.
Re: USB-Jondos-DVD
Das OS wird hier bei diesem Angriff nicht angegriffen-es werden USB|HID devices compromittiert und umfunktioniert!
Das OS und deine Eingaben werden "lediglich ausspioniert"
Das ist ja auch der Grund warum da kein snake oil hilft und wer hat schon dauernd wireshark o.ae. am laufen.Oder wohlmoeglich eine whitelist wohin sich die Kiste nur hin verbinden darf...
Bei mir finde ich bspw. auf meinem,lappy 7 USB hubs+5 weitere devices.Unter HID finden sich 9 devices+ein HID keyboard,nebst einem PS/2 keyboard.
Keine Ahnung ob die sich seit der erst Installation nun "ungewollt"vemehrt haben.
so etwas wie unter win den device manager gibt es doch auch unter *.nixen?Meinte so etwas bei meinen Testen schon gesehen zu haben.
Woher soll was denn merken das die tastatur von"Geisterhand"betaetigt wird und nicht von dir-denn die laeuft mit deinen rechten?
Abgesehen davon ist das Ding ja nur ein bsp.(Machbarkeit)und zum ausspionieren nicht noetig-es reicht ja die virtuelle netzwerkarte die deine Eingaben=speziell PW loggt und bei Gelegenheit weitersendet.
Das OS und deine Eingaben werden "lediglich ausspioniert"
Das ist ja auch der Grund warum da kein snake oil hilft
und wer hat schon dauernd wireshark o.ae. am laufen.Oder wohlmoeglich eine whitelist wohin sich die Kiste nur hin verbinden darf...Bei mir finde ich bspw. auf meinem,lappy 7 USB hubs+5 weitere devices.Unter HID finden sich 9 devices+ein HID keyboard,nebst einem PS/2 keyboard.
Keine Ahnung ob die sich seit der erst Installation nun "ungewollt"vemehrt haben.
so etwas wie unter win den device manager gibt es doch auch unter *.nixen?Meinte so etwas bei meinen Testen schon gesehen zu haben.
??? Ja was isse denn?Eine Tastatur ist eine Tastatur; aber eine Tastatur die von selbst was eintippt ist mehr als das.
Woher soll was denn merken das die tastatur von"Geisterhand"betaetigt wird und nicht von dir-denn die laeuft mit deinen rechten?
Abgesehen davon ist das Ding ja nur ein bsp.(Machbarkeit)und zum ausspionieren nicht noetig-es reicht ja die virtuelle netzwerkarte die deine Eingaben=speziell PW loggt und bei Gelegenheit weitersendet.
Re: USB-Jondos-DVD
virtuelle netzwerkkarten usw erfordern eine zusaetzliche konfiguration des Betriebssystems(Kompromittierung). Und das kann ueber die Geistertastatur erfolgen (sollte normalerweise root-rechte brauchen). Und dass <das-und-das> eingetippt wurde kann der user merken, denn er weiss dass er es nicht selbst eingetippt hat. Vorausgesetzt, es wird dem user gemeldet dass <das-und-das> eingetippt wurde. Ich wuerde davon ausgehen dass die entsprechenden log-eintraege des laufenden BS unterdrueckt werden, wohl auch bei einem *nix unterdrueckt werden(koennen).Auch dazu muss das BS kompromittiert werden.Die Kompromittierung kann natuerlich nur in RAM und jedesmal aufs Neue erfolgen; dann ist sie (bei fixinstalliertem BS) nicht auf der Platte dedektierbar.Ochnö wrote:??? Ja was isse denn?Eine Tastatur ist eine Tastatur; aber eine Tastatur die von selbst was eintippt ist mehr als das.
Woher soll was denn merken das die tastatur von"Geisterhand"betaetigt wird und nicht von dir-denn die laeuft mit deinen rechten?
Abgesehen davon ist das Ding ja nur ein bsp.(Machbarkeit)und zum ausspionieren nicht noetig-es reicht ja die virtuelle netzwerkarte die deine Eingaben=speziell PW loggt und bei Gelegenheit weitersendet.
-
sfasfdfadfsfsad
- Posts: 63
- Joined: Sat May 24, 2014 21:27
Re: USB-Jondos-DVD
da ist die NSA schon weiter um böse USB-Sticks zu verhindern, wenn der Analyst mal zum Kaffee-Automaten muss, mit eingetragenem Patent 
http://www.google.com/patents/US8414314
http://www.google.com/patents/US8414314
Re: USB-Jondos-DVD
Sorry-aber die kann schon bereits fertigkonfiguriert installiert werden.Was soll da noch konfiguriert werden?Ist ja keine wLan geschichte wo ich erst noch das pw fuer den accesspoint\router haben muesste.xg27 wrote: virtuelle netzwerkkarten usw erfordern eine zusaetzliche konfiguration des Betriebssystems(Kompromittierung). Und das kann ueber die Geistertastatur erfolgen (sollte normalerweise root-rechte brauchen). Und dass <das-und-das> eingetippt wurde kann der user merken, denn er weiss dass er es nicht selbst eingetippt hat. Vorausgesetzt, es wird dem user gemeldet dass <das-und-das> eingetippt wurde. Ich wuerde davon ausgehen dass die entsprechenden log-eintraege des laufenden BS unterdrueckt werden, wohl auch bei einem *nix unterdrueckt werden(koennen).Auch dazu muss das BS kompromittiert werden.Die Kompromittierung kann natuerlich nur in RAM und jedesmal aufs Neue erfolgen; dann ist sie (bei fixinstalliertem BS) nicht auf der Platte dedektierbar.
@sfasfdfadfsfsad-da scheinen DE admins praktischer veranlagt.
Die loesen dies Problem ganz einfach mit Heissklebepistolen.
Nur schlecht-wenn die an einem USB Anschluss aufgeladen werden muessen..
http://www.heissklebepistolen-tests.de/ ... -test.html
