31.07.14 12:01 Uhr
 9.838
 

Datenexperten entdecken verheerende USB-Sicherheitslücke

Datenexperten vom Sicherheitsunternehmen Security Research Labs haben eine neue Angriffsmöglichkeit entwickelt, wodurch die komplette Kontrolle über einen fremden Rechner erlangt werden kann.

Da dabei lediglich die Firmware eines USB-Gerätes manipuliert werden muss, können solche Angriffe relativ unbemerkt stattfinden - ohne dass es bisher eine sinnvolle Gegenwehr gibt. Bis eine Abwehrmöglichkeit gefunden wird, seien sämtliche USB-Geräte unsicher, so die Sicherheitsexperten.

Das Angriffsszenario soll erstmalig auf der IT-Sicherheitskonferenz Black Hat 2014 vorgeführt werden.


Videoplayer auf dieser Seite ausblenden
WebReporter: the_reaper
Rubrik:   High Tech
Schlagworte: Entdeckung, Sicherheitslücke, Manipulation, USB
Quelle: golem.de

DAS KÖNNTE DICH AUCH INTERESSIEREN

Google: Schadsoftware auf Android-Geräten gefunden
BND will 150 Millionen Euro ausgeben, um Messenger wie WhatsApp zu entschlüsseln
Bei Netflix kann man nun auch Filme und Serien downloaden

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

23 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
31.07.2014 12:11 Uhr von Jlaebbischer
 
+6 | -30
 
ANZEIGEN
Kommentar ansehen
31.07.2014 13:13 Uhr von Omega-Red
 
+10 | -1
 
ANZEIGEN
Ich meine bereits vor ein paar Monaten von Angriffen über USB Geräte und SD Karten gelesen zu haben...
Kommentar ansehen
31.07.2014 13:15 Uhr von Hirnrissmal2
 
+19 | -3
 
ANZEIGEN
Hallo,
das ist ein alter Hut!
Diese Sicherheitslücke ist mindestens schon 1 Jahr bekannt!!!!
Kommentar ansehen
31.07.2014 13:28 Uhr von advicer
 
+13 | -0
 
ANZEIGEN
Wahrscheinlich hat aber keiner Gebrauch davon gemacht, also muss man das dringend ein weiteres Mal an die Öffentlichkeit bringen. Ist halt so, dass man den bösen Buben alles mindestens zwei mal sagen muss ;-)
Kommentar ansehen
31.07.2014 13:31 Uhr von TK-CEM
 
+14 | -1
 
ANZEIGEN
@ Vorposter:
Kann mich dem nur anschließen. Das größte Sicherheitsrisiko kommt nicht von außen, sondern von innen eines jeden Unternehmens. USB-Stick rein - und schon werden dem Hacker alle Türen und Tore des Systems geöffnet, wenn er die entsprechende Schadsoftware einspielt. Für Schüler bereits eine beliebte Möglichkeit, die eigenen Fähigkeiten zu testen.

Dumm nur für alle Unternehmen, die das nicht ernst nehmen und sich dann wundern, dass ihre Systeme gehackt oder ausspioniert werden. Allerdings ein uraltes Problem - fing schon mit Disketten an, ging weiter mit beschreibbaren CDs bis heute USB-Sticks. Nur können die Schäden heute wie die Speichermedien bedeutend größer sein.

Außerdem sind nicht die USB-Geräte unsicher, sondern diejenigen, die sie benutzen. Ein kleiner, aber feiner Unterschied.

So what - it´s my project only.

[ nachträglich editiert von TK-CEM ]
Kommentar ansehen
31.07.2014 13:55 Uhr von Robeuten_II
 
+5 | -3
 
ANZEIGEN
Das ist keine Sicherheitslücke - man kann nun einmal nicht nur Speichersticks über USB anschließen, und dann ist es ein leichtes, z.B. einen Minicomputer über USB anzuschließen, und dem Rechner vorzugauckeln, das USB device wäre eine Tastatur...
Ganz einfach; keine fremden USB-Sticks annehmen. Wenn jemand von mir eine Datei braucht, kriegt er die entweder per email, oder auf einem Stick von mir (der dann sofort bei Rückgabe formatiert wird). Habe schon die irrwitzigsten Viren auf USB-Sticks von Kollegen gefunden...

[ nachträglich editiert von Robeuten_II ]
Kommentar ansehen
31.07.2014 13:56 Uhr von El-Diablo
 
+7 | -0
 
ANZEIGEN
Was denkt ihr wie STUXNET in die iransichen Atomanlagen gelangt ist?
http://de.wikipedia.org/...

USB stick als werbegeschenk, vor der Anlage gefundener usb stick, den man aus neugier mal anschließt...
Kommentar ansehen
31.07.2014 14:05 Uhr von p75
 
+2 | -0
 
ANZEIGEN
Was ist daran jetzt neu und verheerend und eine Sicherheitslücke?

Wie schon geschrieben - man kann natürlich einen USB-Stick bauen, der sich als Tastatur ausgibt und irgendwelche Befehle eintippt. Die tippt er aber dann in dem Moment ein, in dem er eingesteckt wird - und davon sollte der Anwender sehr wohl etwas mitbekommen.

Das ist keine ´verheerende Sicherheitslücke´, sondern ganz normales Verhalten eines USB-Ports.
Kommentar ansehen
31.07.2014 14:13 Uhr von the_reaper
 
+3 | -1
 
ANZEIGEN
@TK-CEM & p75: der unterschied ist, dass es sich hier nicht um malware handelt, welche von antivirenprogrammen erkannt und abgewehrt werden können. der usb-standard müsste grundlegend geändert werden, ansonsten nimmt das system die aktivitäten nicht als angriff wahr. das macht die sicherheitslücke so verheerend.
Kommentar ansehen
31.07.2014 14:16 Uhr von p75
 
+2 | -0
 
ANZEIGEN
"dass es sich hier nicht um malware handelt, welche von antivirenprogrammen erkannt und abgewehrt werden können."

Natürlich nicht! Wie in aller Welt sollte das System denn erkennen, dass das angeschlossene Gerät keine Tastatur ist! Aber das ist doch nicht neu! Man konnte auch vor 15 Jahren schon wissen, dass sich ein USB-Stick als Tastatur ausgeben kann!
Kommentar ansehen
31.07.2014 14:16 Uhr von ms1889
 
+1 | -8
 
ANZEIGEN
das weiss man schon länger!

habe grade den laptop eines freundes hier stehen (sagt keinen mux mehr)... hatte von einem bekannten nen film von usb übertragen und scho war beim nächsten start das gerät tot. werde wohl hdds ausbauen und manuell löschen müssen und das bios neu aufspieln müssen.

[ nachträglich editiert von ms1889 ]
Kommentar ansehen
31.07.2014 14:54 Uhr von ThomasHambrecht
 
+3 | -3
 
ANZEIGEN
Wir müssen auch viele USB-Sticks, Karten, Festplatten oder CDs von Kunden anschließen, und denen was draufspielen. Das Problem haben sicher viele Firmen.
Dazu nimmt man am besten einen älteren separaten isolierten Laptop oder PC, auf dem nichts außer dem Betriebssystem und einem Virus-Programm installiert ist - und macht einen Viren-Test, bevor man das Netzwerkkabel anschließt und dem Kunden die Daten einspielt.
Kommentar ansehen
31.07.2014 17:05 Uhr von bigpapa
 
+0 | -2
 
ANZEIGEN
Zitat : "Datenexperten vom Sicherheitsunternehmen Security Research Labs haben eine neue Angriffsmöglichkeit entwickelt"

Ist doch schön das die Hacker von gute bezahlten Profis Hilfe bekommen, wie sie einfachen Menschen die PC´s killen können.

Oder wie sagte mal ein Drogendealer : "Wenn kein Markt da ist muss man einen schaffen."

Wieso erfinden diese schlauen Leute nicht einfach was, was ein normalen PC sicher macht. Würde ein Milliardenschaden verhindern. Aber dann auch Ihre Jobs.

Da erfinde ich doch lieber was was den andern Schaden zufügt, aber mein Job erhält ?

Oder sehe ich da was falsch.

Gruß

BIGPAPA
Kommentar ansehen
31.07.2014 18:47 Uhr von mort76
 
+0 | -0
 
ANZEIGEN
bigpapa,
das Problem ist eher, daß beispielsweise Produzenten aus China, USA etc. sowas von vornherein in die Firmware einbauen könnten...mit Hackern hat das weniger zu tun als mit Industriespionage bzw. Sabotage wie eben beim erwähnten STUXNET.
Ich meine mich da an eine entsprechende Warnmeldung hier vor ca. 2 Jahren erinnern zu können.
Kommentar ansehen
31.07.2014 18:56 Uhr von The Roadrunner
 
+1 | -1
 
ANZEIGEN
An die Datenexperten: dieses ganze ist schon vor 10 Jahren auf dem Chaos Computer Congress in Berlin gezeigt worden. Ist aber auch schön, dass es bei den Leuten so langsam ankommt.
Kommentar ansehen
31.07.2014 19:34 Uhr von bigpapa
 
+3 | -0
 
ANZEIGEN
@mort76

Ich kenne das Beispiel von den Wlan-Chips im Toaster.

Wer sich als Privatmann bei der heutigen Chip-Technik noch sicher glaubt ist eh ein Trottel.

Mich stört nur das die lt. News das die den Mist ENTWICKELT haben. Wenn es das Elend nicht gibt, braucht man auch keine Gegenmaßnahme.

Und lt. einiger Kommentare hier, gibt es das Elend ja schon seit X-Jahren. Logische Schlussfolgerung "Die hätten besser den Markt beobachtet, und Gegenmaßnahmen entwickelt".

Und Angriffe mit USB-Sticks auf Firmennetzwerke sind so alt wie die Teile selbst. Stick verseuchen, in der Lobby eines großen Hotels "verlieren". und dann nur noch warten, welchen Laptop man zuerst übernimmt. (Das ist übrigens die Zusammenfassung eines Berichtes der schon im Free-TV lief).

Die einfachste (nein nicht sichere aber besser als nix) Methode ist an ein PC den Autostart für ALLES auszuschalten. Besonders CD´s und USB-Sticks. So Kleinigkeiten helfen schon gar nicht so schlecht.

Und was die ganze Panik angeht.
Einfach sichere Treiber schreiben, die bei so Sachen ZU machen.
Aber heutzutage sind Treiber bei einen Mainboard nur "lästiges Beiwerk" an den man als Hersteller nix verdient. Da geht es nach den Motto "Hauptsache funktioniert".

Gruß

BIGPAPA
Kommentar ansehen
31.07.2014 23:30 Uhr von tvpit
 
+0 | -1
 
ANZEIGEN
Diese USB Sicherheitslücke gab es bei Win´95 jedenfalls noch nicht.
Kommentar ansehen
01.08.2014 01:03 Uhr von lou-heiner
 
+3 | -0
 
ANZEIGEN
@ms1889
"habe grade den laptop eines freundes hier stehen (sagt keinen mux mehr)... hatte von einem bekannten nen film von usb übertragen und scho war beim nächsten start das gerät tot. werde wohl hdds ausbauen und manuell löschen müssen und das bios neu aufspieln müssen."

ich hab selten so lachen müssen wie grad eben. ich gebe dir den rat das gerät eine fachfirma zu geben bevor du dich ganz lächerlich machst. aber bitte komm net zu mir. ich könnte nochmal in lachen ausbrechen.

hdd ausbauen und bios neu aufspielen weil er nen avi überspielt hat, und genau deswegen macht er nun keinen mux mehr....... boahahahahaha. ich geh kaputt.

[ nachträglich editiert von lou-heiner ]
Kommentar ansehen
01.08.2014 01:36 Uhr von ms1889
 
+0 | -5
 
ANZEIGEN
well...eine fachfirma wird da nicht mehr helfen als ich...

und es gibt sehr wohl vieren die den speicher im bios benutzen...aber egal...hochmut kommt vor dem fall...wobei it idoten ja nicht entlassen werden, da man nix besseres findet (sehe ich in meiner firma).

ich habe berichtet was mein freund gesagt hat... kaputt ist der speichercontroler im cpu ;)..neuer cpu einstecken und gut is...ist ein amd...die werden sehr heiß...da er ihn öfter im bett benutzt... weiter muß ich wohl nix sagen

[ nachträglich editiert von ms1889 ]
Kommentar ansehen
01.08.2014 05:32 Uhr von imaginaer2k
 
+0 | -2
 
ANZEIGEN
Ja das kenne ich hatte ein Mac-book amd edition. Letztenz ist das ax Register und die alu kaput gegangen ich hasse amd-cpu,s. Aber hab gehört soll en source geben um die alu neu zu erstellen. Naja jetzt habe ich ne Intel cpu reingemacht. Achja bevor ich es vergesse, ich bin der beste auf dem Gebiet (in meinem Block).

[ nachträglich editiert von imaginaer2k ]
Kommentar ansehen
01.08.2014 10:22 Uhr von lou-heiner
 
+3 | -0
 
ANZEIGEN
genau
du hast die amd raus und ne intel reingemach.
und dann haste das ax register das kaputt ging ersetzt. ZU HILFE!!!!!!
wenn du der beste im block bist will ich den miesesten net kennen lerne.

@ms. kauf dir ganz viel ahnung. mehr kann ich zu deinem gelaber nicht sagen.
aber wie du ja schon selber gemerkt hast hat das angebliche virenproggi auf dem stick nix gemacht....... da musste echt nixmehr sagen ausser das das ganz peinlich für dich war.

[ nachträglich editiert von lou-heiner ]
Kommentar ansehen
01.08.2014 10:55 Uhr von bigdaddy2
 
+0 | -1
 
ANZEIGEN
Naja, ich lösche entweder die Software die auf einem neu gekauften Stift ist oder formatiere ihn gleich, den scheiß auf den stiften braucht eh keiner.

wer solche Programme installiert ist selber schuld. Und die Betriebssysteme erkennen usb stifte automatisch und Sicherheits Software kauft man sich.
Kommentar ansehen
02.08.2014 04:07 Uhr von bigpapa
 
+1 | -0
 
ANZEIGEN
hihi :)

Das macht doch aua.

Für ein Bios-Update brauch man keine Festplatte. Im Gegenteil die ist manchmal sogar hinderlich :) Ein USB-Stick reicht völlig aus. Firmware ins Hauptverzeichnis und GO.

Der einzige Grund eine Festplatte auszubauen ist, wenn die Festplatte beschädigt ist. Rettungstools laufen einfach viel besser, wenn der Kandidat am USB-Port hängt UND NUR DA.

3.) Ich vermute das das eh kein Virus war, sondern ein defekter USB-Stick der in ein Billig-Board eingesteckt wurde, Die Schutztechnik des USB-Port durchbrochen hat, und das Mainboard gekillt. Ich selbst habe auf die Weise, auch mal 2 USB-Ports verloren auf den Mainboard. ( Deshalb beide weil meist 2 an den selben Pins hängen intern).

Seit den Tag bevorzuge ich übrigens USB-Hubs mit eigene Stromversorgung.

Fakt ist. der USB-Port liefert 5 Volt (500 mA bei USB-2.0) wenn man dann Plus + Minus Kurz schließt knallt es halt.
Und das kann auch unbeabsichtigt durch defekte Sticks passieren. Ist SEHR selten, aber passiert halt.

@ Der3Geist
Gibt das bei den heutigen USB-Tastaturen dann kein "Krieg der Kerne" ich dachte immer das nur 1 Tastatur aktiv sein kann. Ich gebe allerdings zu, das ich das noch nie getestet habe ;(
Gruß

BIGPAPA

Refresh |<-- <-   1-23/23   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


SCHLIESSEN

Willst Du die Seite wirklich verlassen?


DAS KÖNNTE DICH AUCH INTERESSIEREN

"Football Leaks" deckt zweifelhaftes Geschäftsgebaren im Profi-Fußball auf
Volker Beck ohne sicheren Listenplatz für die Bundestagswahl
Chipanlagebauer Aixtron: Obama blockiert Übernahme durch chinesischen Investor


...oder unseren und keine aktuellen News mehr verpassen?