USB (= Universal Serial Bus)

• Standard-Schnittstelle für alle Zwecke: Maus, Tastatur, Speicher, Kartenleser, Netz, ...
• Besonders populär USB-Memory-Sticks – neue Dimension für Wechselmedien hinsichtlich Bequemlichkeit (bequemer als CD, mehr Platz als Diskette) und Risiken
• Drei USB-Stick-Risiken:
  1. Mangelnde Export- (und Import-) Kontrolle
  2. USB-Dumper: Ausspähen fremder USB-Sticks
  3. Ausspähen fremder Rechner mit eigenem USB-Stick

1. Export und Import per USB-Stick

• Verhindert soll werden:
  • Export von vertraulichen Daten,
  • Import von Schadsoftware.
• Schnittstellensperren (wie bei Disketten- oder CD-Laufwerken) kaum realistisch.
• Windows: Keine Werkzeuge zur Zugriffssteuerung auf USB-Subsystem.
  • Externe Tools ziemlich umständlich und nicht »wasserdicht«.
  • Unter Linux: Mount-Berechtigungen können gesetzt werden, aber genaue Kontrolle ist »Fummelarbeit«.
• USB-Gerätekennung leicht manipulierbar: Zulässiges Gerät wird vorgetäuscht.
• Boot-Schutz leicht umgehbar (BIOS-Konfiguration): Vom Stick booten, Daten abziehen.

Fazit: Es gibt keinen 100%-igen Schutz gegen Import und Export über USB-Geräte außer bei einem »total verriegelten« PC.

2. USB-Dumper

• Ziel: Ausspähen fremder USB-Sticks auf dem eigenen Rechner.
• Methode: Beim Mounten eines USB-Sticks wird im Hintergrund der gesamte Inhalt kopiert (ein Image gezogen). Dieses kann später in Ruhe analysiert werden: Auch gelöschte Dateien werden wiederbelebt (mit Standardtools).
• http://www.secuobs.com/
• Idee alt:
  • Sicherheitssoftware zur Kontrolle von Mitarbeitern,
  • Übertragen von Kamera-Speichern auf PC.
  • Datei-Restaurierung ebenfalls »Uralt-Technik«.
• Auch passwortgeschützte Dateien meist im Klartext rekonstruierbar.

Besonderheiten

• »Flash Memory« (im USB-Stick) nur begrenzt oft beschreibbar.
• Daher möglichst gleichmäßige Nutzung durch Speichermanagement geregelt, insbesondere möglichst spätes Wiederbenutzen »gelöschter« Zellen.
• Folge: Gelöschte Dateien bleiben sehr lange erhalten!
• Sogar »Wipe« (z. B. von PGP) in der Regel erfolglos: »Überschriebene« Datei landet an anderem Speicherplatz.
  • Dieses Problem tritt auch bei »journaling file system« auf.
• Überschreiben des ganzen Speichers bei jedem Löschvorgang löscht sicher genug, aber nutzt die Zellen schneller ab.

Lösungsmöglichkeiten

• Niemals einen USB-Stick aus der Hand geben, auf dem einmal vertrauliche Daten gespeichert waren.
  • Außer nach zuverlässigem Überschreiben;
  • Unix: dd if=/def/urandom of=/mnt/usb
  • Besser: mit 1en überschreiben (?)
• Oder: Verschlüsselte Ablage vertraulicher Daten, z. B. in TrueCrypt-Container.
  • Achtung: »Never touch the keys on an untrusted computer!«
  • Besser Low-Tech-Lösung: Zwei USB-Sticks, einer »öffentlich«: nur harmlose Daten einer »privat«: verschlüsselt für vertrauliche Daten
  • Viel Disziplin nötig!

3. Aktiver USB-Angriff

Ausspähen fremder Rechner mit eigenem USB-Stick. Dieser enthält Malware, die mit Autorun oder als Virus in interessanter Datei ausgeführt wird. Szenario:

• Firmenangehöriger erhält USB-Stick als Werbegeschenk oder mit »wichtigen« Daten
  • (oder findet USB-Stick – 90% aller Finder probieren aus).
• Die Malware durchsucht Laufwerke und sendet interessante Daten über Tunnel (im Hintergrund) nach außen, (interessante Daten z. B.: Angebote der Konkurrenz)
• löscht sich anschließend spurlos selbst (auch auf Stick).

Literatur

• Der Landesbeauftragte für den Datenschutz Mecklenburg-Vorpommern; Der Bayerische Landesbeauftragte für den Datenschutz:
  Datensicherheit bei USB-Geräten. Stand 16.11.2004.
  [online unter http://www.datenschutz-bayern.de/technik/orient/usb.html; 20.1.2007]
• Xavier Poli:
  USBDumper 2 nouvelle version nouvelles fonctions ! 11/12/2006
  [online unter http://www.secuobs.com/news/11122006-usbdumper2.shtml; 20.1.2007]
• Bruce Schneier:
  USBDumper. Schneier on Security - A weblog covering security and security technology. August 25, 2006.
  [online unter http://www.schneier.com/blog/archives/2006/08/usbdumper_1.html; 20.1.2007]
• Steve Stasiukonis:
  Social Engineering, the USB way. June 7, 2006.
  [online unter http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1; 20.1.2007]