Endpoint Protector Appliance: Datenklau verhindern fur Windows und Mac

 

BadUSB: Gefahren, Risiken und Schutzmaßnahmen

In den letzten Tagen tauchen in den Medien vermehrt Beiträge über den sogenannten BadUSB auf.

badusb-threats-risks-and-how-to-protect-yourself

BadUSB ermöglicht theoretisch die Manipulation von USB Geräten mit Viren oder sonstiger Malware. Im Klartext heißt das, ein Angreifer kann die Firmware einer gewöhnlichen USB Hardware, die einen kleinen Mikroprozessor enthält, verändern und mit Malware verseuchen. Der Vorgang verwandelt das USB Gerät im weiteren in ein manipulatives Werkzeug auf Ihrem Computer.

In der Realität sind solche Angriffe äußerst kompliziert, aber nicht unmöglich. Die Sicherheitsexperten, die nun auf diese potentielle Gefahr aufmerksam gemacht haben, verwenden für gewöhnlich einen bestimmten USB Speicherstick (für den sie über die Firmware verfügen) und manipulieren ihn.

Als Folge trickst das Gerät Ihren Computer aus, tarnt sich als Tastatur und führt Befehle aus. Der Rechner kann dabei nicht unterscheiden, ob die Befehle von Ihnen oder dem manipulierten USB Stick stammen. Beides sieht für Ihren Computer identisch aus. Wird ein USB Gerät modifiziert, mit dem der Angreifer nicht vertraut ist, erschwert das die Manipulation zusätzlich.

Die Gefahr ist real, doch existiert sie schon ebenso lange wie die Technologie USB selbst, nämlich seit über einem Jahrzehnt. Ausgenutzt wird hier eine Schwäche des USB Standards sowie der meisten Betriebssysteme wie Windows. Weil das Betriebssystem keine Option beinhaltet, die die Firmware von USB Hardware verifiziert, vertraut es darauf, dass ein angeschlossenes Gerät auch wirklich das ist, was es „behauptet“ zu sein. Bei ausführbaren Dateien (.exe), kann Ihr Betriebssystem mit einem Prozess namens „Code Signing“ prüfen, ob es sich um eine vertrauenswürdige Datei handelt.
„Code Signing“ zur Überprüfung der Firmware eines USB Gerätes ist dagegen nicht verfügbar.Ist ein Angriff mit der BadUSB-Methode erfolgt, kann Ihr Computer mit jeder Art von Malware infiziert werden. Die Schadsoftware wird dann von Ihrem Anti-Virus Programm erkannt – oder eben nicht. Wie auch immer: An diesem Punkt ist es ohnehin zu spät, denn Ihr Computer wurde bereits Ziel eines Angriffs. Bis die Schadsoftware entfernt ist, können Stunden, Tage oder Wochen vergehen.

Was Sie tun können, um sich zu schützen.

    • Schließen Sie nur USB Geräte an Ihren Computer an, deren Hersteller Sie kennen (z.B. Tastaturen und Mäuse von Herstellern wie Logitech) und die aus einer vertrauenswürdigen Quelle stammen.
    • Verwenden Sie eine Lösung für Gerätekontrolle. Damit überwachen Sie die Verwendung aller an Ihren Computern angeschlossenen Geräte. Mit einem unserer nächsten Updates werden wir eine Funktion verteilen, die BadUSB erkennt und dadurch entstehende Risiken eliminiert.
    • Halten Sie Ihre Anti-Malware Lösung immer auf dem neusten Stand

Bitte beachten Sie, dass es sich momentan lediglich um ein theoretisches Konzept handelt. Bisher sind keine Informationen über tatsächliche Angriffe mit der BadUSB-Methode bekannt.

Flame: wie funktioniert das Virus?

Laut Experten der Sicherheitsfirma BitDefender verbreitet sich das Flame-Virus über mobile Speichergeräte wie z.B. USB-Sticks. Sobald an einem infizierten Computer mit Internetverbindung ein Speicherträger angeschlossen wird, kopiert sich die Malware auf das Gerät. Wird der Stick an einem anderen Endpunkt (z.B. einem Rechner mit höchst sensiblen Daten und ohne Internetverbindung) wieder verwendet, zieht sich Flame die Daten und kann sie bei erneuter Verbindung zum Internet an seine Entwickler bzw. den Kommando- und Kontroll-Server übermitteln. Unverdächtige Angestellte werden also unwissentlich für Datentransporte missbraucht und ermöglichen Datendiebstahl aus geschützten und unzugänglichen Umgebungen. Diese Vorgehensweise erinnert an den Drogenschmuggel, wo sogenannte „Drogen-Maultieren“ einsetzt werden um Zölle oder ähnliches zu passieren.

Flame wurde so konfiguriert, dass Word-, PowerPoint- und Excel-Dateien zuerst auf den „Maultier-Datenträger“ kopiert werden. Wenn anschliessend noch genügend Speicherplatz vorhanden ist kommen CAD- und JPEG-Dateien an die Reihe.

 

Zum Artikel auf infoworld.com: http://www.infoworld.com/t/malware/flame-stashes-secrets-in-usb-drives-195455

USB-Ports als Sicherheitslücke?

Ein auf all-about.security.de veröffentlichter Artikel von Detlef Weidenhammer (GAI NetConsult GmbH) beschäftigt sich mit dem Thema Sicherheit an USB-Schnittstellen.

Dank den USB-Geräten sei es in den letzten Jahren immer einfacher geworden immer größere Datenmengen schnell zu verschieben. Und das bei immerzu fallenden Preisen. Risiken für die Sicherheit (Daten schmuggeln, Datendiebstahl etc.) sind da vorprogrammiert. Doch was tun: USB-Geräte im Unternehmen gänzlich verbieten? Strenge Richtlinien definieren?

Detlef Weidenhammer nennt folgende (technische) Alternativen (Quelle: http://www.all-about-security.de/security-artikel/endpoint-sicherheit/dlp-data-loss-prevention/artikel/13758-usb-universal-security-backdoor/?type=98):

  • Physisches Sperren der USB-Ports
  • USB-Ports im BIOS deaktivieren
  • Zugriff auf die USB-Treiber sperren
  • USB-Ports nur ReadOnly zulassen
  • USB-Ports in den Gruppen Policies sperren
  • Autorun unterbinden
  • USB-Geräte generell mit AV-Scannern prüfen
  • Data Leakage Protection Tools einsetzen
  • Verschlüsselungslösungen einsetzen
  • Endpoint-Security Lösungen einsetzen

Hier finden Sie den Originalartikel.

Ex-Mitarbeiter klauen SunPower hochsensible Daten per USB-Stick

SunPower, Hersteller von Solarpaneelen mit Hauptsitz im Silicon Valley, wurden fehlende Sicherheitvorkehrungen bei der Verwendung tragbarer Speichergeräte zum Verhängnis: abtretende Mitarbeiter stahlen dem Unternehmen per USB-Stick sensible und äusserst wertvolle Daten aus dem Intranet. Bei den Dieben handelte es sich um Angestellte, die vor einem Wechsel zum Konkurrenten SolarCity standen und  Unternehmensstrategien, Vertriebsinformationen sowie Markt- und Finanzanalysen vom alten Arbeitsplatz entwendeten. Damit verstiessen Sie gegen von ihnen unterzeichnete Vertragsbestimmungen. SunPower leitete gegen die mutmasslichen Täter rechtliche Schritte ein.

Der Fall wirft die Frage auf, wie sich Unternehmen vor internen Gefahren für die Datensicherheit schützen können. Eine Lösung zur Steuerung und Überwachung der Geräteaktivität an Computerschnittstellen hätte Abhilfe schaffen können.

Justia.com, ein US-Portal für Rechtsfragen und aktuelle Gerichtsprozesse, widmete dem Vorfall einen Artikel:

http://techlaw.justia.com/2012/02/14/sunpower-sues-solarcity-and-ex-employees-over-trade-secrets-alleging-theft-of-ten-of-thousands-of-files/

Softwarediebstahl per externer Festplatte bei US Notenbank

Fehlende Sicherheitsvorkehrungen bei der Verwendung von mobilen Speichergeräten wurden der US-Notenbank Federal Reserve Bank zum Verhängnis. Der chinesische Hacker Bo Zhang hat eine 10 Millionen Dollar teure Software zur Überwachung von Regierungs- und Behördenzahlungen per externer Festplatte entwendet. Als Motiv gab er an, die Finanzsoftware für private Zwecke nutzen zu wollen. Mittlerweile wurde er gegen eine 200.000 Dollar-Kaution aus der Haft entlassen.

In letzter Zeit waren die USA wiederholt Ziel von chinesischen und russischen Cyberkriminellen geworden. Dennoch stuft das FBI Zhangs Fall nicht als Spionageangriff sondern lediglich als „gewöhnlichen“ Diebstahl ein.

Die österreichische Tageszeitung Wirtschaftsblatt berichtete über den Softwarediebstahl: http://www.wirtschaftsblatt.at/home/schwerpunkt/itnews/TechNews/programmierer-stahl-software-der-us-notenbank-504555/index.do?_vl_pos=r.1.NT

Lösung für Schnittstellensicherheit verhindert Hackerangriffe durch Teensy Boards

Teensy Boards sind ein beliebtes Hilfsmittel für Hacker. Sie werden als Maus oder Tastatur erkannt, imitieren diese Eingabegeräte und platzieren Schadsoftware auf dem jeweiligen Rechner. Kürzlich kam mit dem Teensy++ 2.0 ein neues Produkt dieser Familie auf den Markt.

Der Mikrocontroller wird per USB Kabel an einen gewöhnlichen USB Port angeschlossen. CoSoSys, Hersteller von Sicherheitslösungen für Computerschnittstellen, bietet mit dem Endpoint Protector 4 ein Produkt an, welches Teensy Boards (Teensy 2.0 und Teensy++ 2.0) als eigene Geräteklasse identifiziert. Das erlaubt eine gezielte Steuerung der Verwendung von Teensy Boards, wie aus einem Newsletter von CoSoSys hervorgeht

USB Sticks in schweizer Firmen werden nur selten vor Missbrauch geschützt

Nur gerade 4 von 10 schweizer Unternehmen haben eine Sicherheitslösung zum Schutz der firmeneigenen USB Sticks im Einsatz. Obwohl das Thema Sicherheit in der Schweiz traditionell einen hohen Stellenwert besitzt bleibt also noch Verbesserungspotenzial. Dies geht aus einer Studie von Kingston und Ponemon Research hervor.

Zum Umgang mit mobilen Speichergeräten in ihren Firmen wurden fast 3000 in der IT Branche tätige Personen aus mehreren europäischen Ländern befragt. Richtlinien, die den Gebrauch von USB Sticks regeln, fehlen häufig. So besteht die Gefahr, dass sensible Daten durch Diebstahl oder Verlust von Datenträgern an Unberechtigte gelangen. Klassenbester bei der Studie war Deutschland mit einem Anteil geschützter Geräte von gut 60%. Doch nicht überall sind Technologien wie die Verschlüsselung von Daten auf mobilen Speichergeräten so weit verbreitet: In Grossbritannien, Frankreich und Polen liegt die Quote bei lediglich 15% bis 27%.

Das schweizer Onlineportal „Inside-IT“ berichtete über das Thema:

http://www.inside-it.ch/articles/27575

Ausführlicher Testbericht zur Endpoint Protector 4 Appliance A20

Dezember 23rd, 2011 by Dutchman (0) Risikofaktor Mitarbeiter,Software,USB-Sicherheit

Auf Administrator.de wurde ein ausführlicher Testbericht zur Endpoint Protector 4 Appliance A20 veröffentlicht. Die kleine „out-of-the-Box“ Hardware-Lösung zum Schnittstellenschutz (z.B. USB, Firewire, CD/DVD) von CoSoSys schneidet dabei äusserst gut ab.

Der Testbericht kann unter folgendem Link nachgelesen werden:

http://www.administrator.de/index.php?content=177769

Auch die ARD berichtet über Spionage-Software

Die ARD berichtete gestern in den „Tagesthemen“ unter dem Titel „Deutsche Spionage-Software für Diktatoren“ über die Spionage-Software aus Deutschland. (siehe Blog-Eintrag vom 5. Dezember: Spionage-Software: Installation per gefälschtem iTunes Update)

 

Das Video zum Beitrag finden Sie hier.

 

Spionage-Software: Installation per gefälschtem iTunes Update

Eine deutsche Firma mit Sitz in München bietet „Einbruch-Software“ für Regierungsbehörden an. Die Software kann unter Anderem per gefälschtem iTunes-Update auf die Rechner von verdächtigen Personen geladen werden. So sollen Probleme bei der Überwachung umgangen werden, die beispielsweise durch verschlüsselte Kommunikation über das Internet entstehen. Wie schon beim Staatstrojaner ist auch hier nicht ganz klar, inwiefern solche Methoden gesetzeskonform sind. Die Hersteller der Spionage-Software verweisen darauf, sich an britisches Recht zu halten.

Es wird auch darüber informiert, wie die Software am besten auf dem Rechner eines Verdächtigten platziert wird. Der einfachste Weg führt über die USB-Schnittstellen des Rechners und ist äusserst einfach: Es genügt, einen USB-Stick mit der entsprechenden Software darauf an einem USB-Port anzuschliessen. Auch ohne Anmeldung am entsprechenden Rechner kann die Software darauf platziert werden.

Apple hat mittlerweile auf die Sicherheitslücke bei i Tunes reagiert und ein Update herausgegeben (iTunes Version 10.5.1). Damit soll es nicht mehr möglich sein, gefälschte Updates per „Man in the Middle“-Methoden anzubieten.

Spiegel Online berichtete über dieses Thema.