Schutz vor Angriffen durch USB Devices

Posted on Veröffentlicht in Blog, Security News Tagged with , , , ,

Schutz vor Angriffen durch USB Devices

USB Devices und USB-Speichermedien sind mit fast jedem Gerät kompatibel. Sie sind aus unserem beruflichen und privaten Alltag kaum noch wegzudenken. Vermutlich deshalb ist diese Technik ein beleibtes Einfallstor für Angreifer. Mailware-Angriffe und Datenverlust sind die Folge.
Der Angriff mit einem USB Device benötigt physischen Zugang zum System und / oder die Arglosigkeit des Anwenders. Mit dem letzteren ist nachweisbar am einfachsten. Damit können auch Systeme angegriffen werden, die ohne Netzwerkzugang sind, in einem abgetrennten Netzwerksegment stehen oder durch eine Firewall geschützt sind, wie zum Beispiel Steuerungssysteme oder Produktionsanlagen. Antivirensysteme bieten hier nur geringen Schutz.

Datenlecks durch nicht genehmigter USB-Hardware sind unter den Top 3. Unternehmensdaten können ohne großen Aufwand aus der Umgebung der Unternehmung gebracht werden. Sicherheitsmechanismen für Netzwerke und Email-Verkehr greifen an dieser Stelle nicht. Des Weiteren werden die Daten auf der USB-Hardware oft nicht ausreichend oder gar nicht verschlüsselt. Die kleinen USB-Speichermedien gehen auf Grund ihrer geringe Größe gerne verloren. Durch den geringen Wert im Gegensatz zu Smartphones oder Computer-Hardware ist die Aufmerksamkeit sehr gering.

Ein ausgearbeitetes Sicherheitskonzept ist notwendig, um die Risiken so weit wie es geht einzugrenzen und trotzdem die Benutzerfreundlichkeit so weit wie möglich zu erhalten.

Angriffe über einen USB Devices starten meist über die Autostartfunktion des Systems. Einige dieser Schädlinge können von Antivirenprogrammen erkannt werden, dabei wird die Autostart-Funktion, von Programmen auf externen Medien, unterbunden. Für Windows gibt es ein Update (KB971029) das die Ausführung von Autostart unterbindet. Neuere Schadsoftware versucht diese Maßnahmen zu umgehen.

Beim Einstecken des Gerätes erkennt der USB-HUB anhand der Device-ID die Art des Gerätes. Diese Device-ID kann modifiziert werden, so dass verschieden Geräte simuliert werden. Das heißt, auch wenn bestimmte Geräte gesperrt sind, kann so die Einstellung überlistet werden. Ein Controller wird dabei so modifiziert, dass der das Gerät als Netzwerk-Interface erkennt und entsprechend konfiguriert. Eine weitere Möglichkeit ist, ein Tastatur-Interface zu simulieren. Auf der Hardware werden Tastenanschläge hinterlegt, die entsprechende Skripte ausführen. Solche Programme sind ohne großen Aufwand im Internet zu bekommen.

Einen hundertprozentigen Schutz vor Angriffen durch USB Devices gibt es nicht. Natürlich müssen die Mitarbeiter mit Awareness-Kampagnen sensibilisiert und die Gefahren erklärt werden. Gerade mit Hinblick, das verschenkte und unbekannte Geräte ein sehr hohes Risiko bergen. Prozesse und Verfahren bei Sicherheitsvorfällen und Verlusten von Speichermedien, die die Folgen abschwächen, müssen etabliert werden. Wichtig ist es bei der Formulierung auf einfache Verständlichkeit auch für Nicht-Fachleute zu achten und praktikable Maßnahmen zu finden, die den Benutzer nicht in seiner täglichen Arbeit behindern.

Das komplette Ausschalten von Systemen bei Nichtbenutzung trägt ebenfalls zu einer Verbesserung des Sicherheitsniveaus bei. Somit können Rechner nicht durch aktivieren des Ruhezustands angegriffen werden. Das deaktivieren der „Wake On LAN-Funktion“ verhindert, dass Systeme durch einstecken eines Devices aktiviert werden und schadhafter Code ausgeführt wird. Abgeschottete virtuelle Maschinen tragen bei privaten Systemen oder sehr kleinen Unternehmungen ebenfalls zu einer Verbesserung des Schutzes bei.

Daten auf Festplatten und Devices müssen Verschlüsselt werden. Das kann entweder durch Betriebssystem eigene Bordmittel erfolgen oder durch Anwenden von Programmen von Drittanbietern. USB Devices mit eigenen Verschlüsselungsmechanismen, deren Code auf dem eigene Device gespeichert wird, sollten verwendet werden. USB-Sticks, bei denen der Code über eine eigene Tastatur eingegeben wird, sind schon für unter 40 Euro zu haben. Siehe auch Test USB Device.

Selbstverständlich sollte sein, dass stehts aktuelle Virenscanner und Sicherheitsmechanismen aktiviert sind. Sie verhindern zumindest, dass bereits bekannter Schadcode ausgeführt oder aus dem Internet nachgeladen wird.

Zusammenfassung:

Da sich ein Verbot von USB-Speicher und Geräten in einer Unternehmung nicht durchsetzen lässt und auch nicht durchführbar ist, müssen geeignete Maßnahmen ergriffen werden. Einen einen einfachen Schutz, Angriffe über USB-Schnittstellen zu verhindern, gibt es nicht, Es muss immer ein Zusammenspiel von verschieden Mechanismen, am besten in einem Maßnahmen-Katalogen sein. Es müsse organisatorische, prozessuale und technische Maßnahmen Hand in Hand greifen, um einen bestmöglichen Schutz zu erreichen.

 

Wir wünschen Ihnen viel Erfolg!

mabunta