Aktualisierungen als RSS-Feed oder im Changelog.

Privacy-Handbuch

Die Nutzung der USB-Schnittstellen ist weit verbreitet und bedenkenlos werden Speicher­medien (USB-Sticks oder USB-Festplatten), Kameras, Smartphones, Drucker und andere Peripheriegeräte an Computer angeschlossen. Zunehmend wird die USB Schnittstelle auch zum Aufladen von Geräten genutzt, die eigentlich keine Funktion in Zusammenhang mit dem Computer erfüllen (sollten).

Sogenannte BadUSB Devices müssen kaum Sicherheitshürden überwinden und auch keine 0-day Exploits einsetzen. Sie können die vielfältigen technischen Features neu kombinieren, um unschöne Dinge anzustellen. USB-Geräte (z.B. USB-Sticks von Fremden) können neben der sichtbaren Funktion (z.B. als Speichermedium) weitere verdeckte Funktionen enthalten, die man nicht bemerkt. Sie können sich heimlich als USB-Tastatur ausgeben und Kommandos senden oder sich als Netzwerkkarten ausgeben und den Datenverkehr umleiten. Ein besonderes Risiko sind USB-Sticks oder USB-Festplatten, die man bedenkenlos an unterschiedlichen Computern in verschiedenen Netzen nutzt. Bei Firewire (IEEE 1394) und Thunderbolt Schnittstellen ist das Risiko noch größer. Im Gegensatz zu USB wird bei diesen Schnittstellen keine Master-Slave Kommunikation genutzt. Über Firewire und Thunderbolt haben angeschlossene Geräte via DMA (Direct Memory Access) vollen Zugriff auf den Hauptspeicher des PC und können z.B. eine Kopie auslesen.

Hinweise zur Verbesserung der Sicherheit

  1. Ein USB-Stick, der an einen unbekannten Computer angeschlossen wurde, oder ein USB-Stick von Dritten ist immer als potentiell verseucht zu betrachten. Man kann das Risiko verringern, wenn man eine Live-DVD nutzt.
  2. Um Daten von USB-Sticks zu bearbeiten oder Fotos von der Digicam auf einer USB-Festplatte zu archivieren, kann man eine Live-DVD nutzen.
  3. Insbesondere sollte man eine Live-DVD nutzen, wenn man Daten aus der Firma zuhause bearbeiten und wieder mit in die Firma nehmen will.
  4. Zum Aufladen von Geräten kann man USB-Ladegeräte nutzen. Man muss nicht alles, was wie ein USB-Stecker aussieht, in den Computer einführen. Das BSI warnt sogar davor, E-Zigaretten via USB-Anschluss am Computer aufzuladen und rät ebenfalls zu einem USB-Ladegerät.
  5. USBGuard für Linux reglementiert die Nutzung von USB-Geräten. Es dürfen nur USB-Geräte genutzt werden, die in einer Whiteliste frei­gegeben wurden. Alle anderen USB-Spielzeuge werden blockiert. USBGuard ist in aktuellen Linux Distributionen wie Debian 9.0 (stretch) und Ubuntu ab 16.10 enthalten.
  6. Es gibt zahlreiche Freeware Tools, um USB-Schnittstellen unter Windows zu sperren. (z.B. den USB-Blocker von securityXploded.com)
  7. Wenn man Firewire nicht nutzt, sollte man die Firewire Schnittstellen deaktivieren.
    • Für Windows stellt MS einen Support Artikel bereit: Blockieren des SBP-2-Treibers und der Thunderbolt-Controller, um Bedrohungen für BitLocker zu reduzieren.
    • Unter Linux kann man prüfen, ob das System Firewire Schnittstellen beim Booten erkannt hat: > lspci | grep -i Firewire Wenn der Rechner Firewire Schnittstellen hat, dann kann man die Kernelmodule für diese Schnittstellen sperren. Man speichert eine Datei "firewire.conf" im Verzeichnis "/etc/modprobe.d/" mit folgendem Inhalt: blacklist firewire-ohci
      blacklist firewire-sbp2
      Danach führt man folgende Kommandos aus: > sudo depmod -ae
      > sudo update-initramfs -u
Lizenz: Public Domain