1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Keylogger-Vorfall: taz verschlüsselt…

Ja was soll auch sonst mit den USB Ports sein?

  1. Thema

Neues Thema Ansicht wechseln


  1. Ja was soll auch sonst mit den USB Ports sein?

    Autor: picaschaf 21.03.15 - 13:21

    Dicht machen und dann wie in so manchem Konzern wegen Einzelfällen die sich auch damit nie verhindern lassen werden die Produktivität halbieren und den Frust verdoppeln? Selbst die angesprochenen Unternehmen haben das mittlerweile kapiert und hören mit dem Mist wieder auf. Genauso wie einem Entwickler keinen root Zugang zum System geben, da kann man eigentlich gleich nach Hause gehen.

  2. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: unknown75 21.03.15 - 13:38

    Ich frage mich auch was das für ein USB-Port sein soll, gegen "physische" Angriffe kann man sowieso wenig machen. Gehäuse verblomben ist da schon das wirksamste Mittel.


    Root-zugang für Entwickler ist aber keine gute Praxis, selbst Admins sollten lieber mit sudo arbeiten als sich mit root einzuloggen. Entwickler gehören ins Jail!

  3. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: Moe479 21.03.15 - 13:42

    ersteres leider ja, das ist aber einem mangel an sicheren authentifizirungs methoden von usb geräten geschuldet.

    letzteres ist in den meisten fällen nicht notwendig, wenn es nicht gerade um treiber und os programmierung geht, wobei man dafür in deregel mindestens ein testgerät oder sogar einen park von diesen hat.



    1 mal bearbeitet, zuletzt am 21.03.15 13:56 durch Moe479.

  4. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: ad (Golem.de) 21.03.15 - 13:55

    picaschaf schrieb:
    --------------------------------------------------------------------------------
    > Dicht machen und dann wie in so manchem Konzern wegen Einzelfällen die sich
    > auch damit nie verhindern lassen werden die Produktivität halbieren und den
    > Frust verdoppeln? Selbst die angesprochenen Unternehmen haben das
    > mittlerweile kapiert und hören mit dem Mist wieder auf. Genauso wie einem
    > Entwickler keinen root Zugang zum System geben, da kann man eigentlich
    > gleich nach Hause gehen.

    Hängt davon ab was der Entwickler macht - beim Treiber entwickeln gehts sicher nicht - aber wenns jetzt PHP ist.. braucht mans nicht.

    Mit freundlichen Grüßen

    ad (Golem.de)

  5. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: unknown75 21.03.15 - 13:56

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > ersteres leider ja, das ist aber einem mangel an sichern authentifizirungs
    > methoden von usb geräten geschuldet.
    >
    > letzteres ist in den meisten fällen nicht notwendig, wenn es nicht gerade
    > um treiber und os programmierung geht, wobei man dafür in deregel
    > mindestens ein testgerät oder sogar einen park von diesen hat.

    +1
    zumal es VMs gibt, siehe OpenStack Artikel.

    https://www.golem.de/news/openstack-viele-brauchen-es-keiner-versteht-es-wir-erklaeren-es-1503-112814.html

  6. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: ad (Golem.de) 21.03.15 - 14:06

    picaschaf schrieb:
    --------------------------------------------------------------------------------
    > Dicht machen und dann wie in so manchem Konzern wegen Einzelfällen die sich
    > auch damit nie verhindern lassen werden die Produktivität halbieren und den
    > Frust verdoppeln?


    Sowas habe ich durchaus schon gesehen: http://www.lindy-usa.com/usb-port-blocker-pack-of-4-color-code-green-40451.html

    Letztlich stellt sich die Frage, wozu der normale schreibende Mitarbeiter eigentlich dort USB-Port oder gar Wechselmedien braucht. Maus und Tastatur gegen bei den meisten Desktops doch über PS/2, der Drucker und die Daten sind übers Netzwerk erreichbar.

    Klar, man kann nun sagen zum Aufladen mobiler Geräte, aber das lässt sich auch ohne Rechneranschluss realisieren. Bleiben Speicherkarten von Digitalkameras...

    Ist halt immer die Frage, wie bedrohlich ein Data Leak für die Organisation ist. Komplett dicht kriegt man nichts - selbst mit einem Data Loss Protection (DLP) System wie bei Office 2016 https://www.golem.de/news/microsoft-vorschauversion-von-office-2016-fuer-windows-erhaeltlich-1503-112990.html nicht.

    Mit freundlichen Grüßen

    ad (Golem.de)



    1 mal bearbeitet, zuletzt am 21.03.15 14:29 durch ad (Golem.de).

  7. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: picaschaf 21.03.15 - 14:20

    USB Ports kann man auch softwareseitig blockieren, das machen einige unserer Kunden, idR. die ab 500-1000 Mitarbeiter.

    Mit root Zugang meinte ich nicht tatsächlich den root User. Ich meinte allgemein Administrationsrechte ;) Sei es nun wirklich root, Administrator oder sudo. Unter Linux kann ich noch prefixen, da brauche ich tatsächlich nur als Treiberentwickler die Rechte. Aber unter Windows kann ich kaum etwas Sinnvolles installieren (ja, auch eine VM) ohne Administratorrechte.

  8. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: robinx999 21.03.15 - 15:14

    > Letztlich stellt sich die Frage, wozu der normale schreibende Mitarbeiter
    > eigentlich dort USB-Port oder gar Wechselmedien braucht. Maus und Tastatur
    > gegen bei den meisten Desktops doch über PS/2, der Drucker und die Daten
    > sind übers Netzwerk erreichbar.
    >
    Ja aber es gibt doch auch PS/2 Keylogger (werden einfach zwischen PC / Tastatur gehängt). Bis hin zur möglichkeit die Komplette Tastatur auszutauschen
    Also so lange man physischen Zugriff hat spielt es eigentlich keine Rolle ob man USB oder PS/2 für die Tastatur nutzt.
    Wenn man das Gehäuse einschließt und so zugriff auf die Anschlüsse verhindert könnte es helfen. Aber ist halt schwer sich gegen keylogger zur wehr zu setzen wenn man sie nicht erkennt.

  9. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: ChevalAlazan 21.03.15 - 15:22

    picaschaf schrieb:
    --------------------------------------------------------------------------------
    > Dicht machen und dann wie in so manchem Konzern wegen Einzelfällen die sich
    > auch damit nie verhindern lassen werden die Produktivität halbieren und den
    > Frust verdoppeln? Selbst die angesprochenen Unternehmen haben das

    Ich bin interessiert, wieso halbiert es die Produktivität wenn die USB-Ports geschlossen und Daten nur über eine Scanstation per USB eingespielt werden können?

    Insbesondere wenn man sich mal klar macht, dass die Mehrheit der Nutzer einfach inkompetent sind. Können nicht alle solche technischen Experten wie Du sein.

  10. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: picaschaf 21.03.15 - 15:38

    Eine Scanstation die die Daten des USB Stick prüft? 1. Müsste man der vertrauen und 2. Wenn die eine nur halb so große False-Positive Rate wie reguläre Virenscanner hat ist sie bereits für mich ausgeschieden. Wenn eine solche Scanstation lediglich verdächtiges Verhalten eines USB Stick feststellt ist sie mit modernen Sticks auch entweder aufgeschmissen oder der bösartige Stick ist klug genug diese zu erkennen.

    Vielleicht nicht Otto-Normal User, aber von einem Entwickler erwarte ich schon gewisses Expertenwissen. Meine Posts haben sich auf Entwickler bezogen wie man lesen kann.

  11. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: airstryke1337 21.03.15 - 16:16

    unknown75 schrieb:
    > Entwickler gehören ins Jail!
    hey, moment mal!

  12. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: airstryke1337 21.03.15 - 16:29

    picaschaf schrieb:
    > Aber unter Windows kann ich kaum etwas Sinnvolles installieren (ja, auch eine VM) ohne Administratorrechte.
    du meinst sicherlich _keine_ vm.
    genauso wie das problem doch eher ist, dass bei windows in der standartkonfiguaration zu inflationär mit administratorrechten umgegangen wird (UAE - schlimmer als sudo.), und man als standartbenutzer alles machen kann.



    1 mal bearbeitet, zuletzt am 21.03.15 16:44 durch airstryke1337.

  13. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: john4344 21.03.15 - 17:03

    Als Standard User kann man bei Windows auf keinen Fall alles machen ! Immer dieses gefährliche Halbwissen von Leuten die überhaupt keine Ahnung von Windows Dateisystem Security haben, die übrigens der normalen Unixoiden um Welten überlegen ist.
    Für normale USB Geräte kann man schon sehr lange Whitelists definieren. Auch für HIDs. Allerdings hilft das nix, wenn sich durch den Keylogger die HWID nicht ändert.

  14. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: airstryke1337 21.03.15 - 18:22

    john4344 schrieb:
    --------------------------------------------------------------------------------
    > Als Standard User kann man bei Windows auf keinen Fall alles machen ! Immer
    > dieses gefährliche Halbwissen von Leuten die überhaupt keine Ahnung von
    > Windows Dateisystem Security haben, die übrigens der normalen Unixoiden um
    > Welten überlegen ist.

    > Für normale USB Geräte kann man schon sehr lange Whitelists definieren.
    > Auch für HIDs. Allerdings hilft das nix, wenn sich durch den Keylogger die
    > HWID nicht ändert.

    *prust*
    okay ich weiss garnicht wo ich anfangen soll - also ersten bekomm ich bei windows locker ne elevated shell, zweitens wäre ich nicht so dumm die zone-id's in alternate datastreams zu speichern, drittens scheinst du "standartkonfiguration" nicht verstanden zu haben, viertens schreib ich einfach mal ein vb-script das deine userrechte so setzt wie ich das will,
    fünftens scheinst du "standartkonfiguration" sehr wohl doch verstanden zu haben, weil du von "normalen unixoiden" sprichst - aber es gibt sehr wohl sehr gut funktionierende ACLs unter jedem popeligen standart-linux.
    zugegebn, der posix-kern vom usermanagement im linux-kernel lässt einm den magen rumdrehn - aber hey, schau dir mal den windows kernel an. achso. kannst nicht.

  15. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: ChevalAlazan 21.03.15 - 20:32

    picaschaf schrieb:
    --------------------------------------------------------------------------------
    > Eine Scanstation die die Daten des USB Stick prüft? 1. Müsste man der
    > vertrauen und 2. Wenn die eine nur halb so große False-Positive Rate wie
    > reguläre Virenscanner hat ist sie bereits für mich ausgeschieden. Wenn eine
    > solche Scanstation lediglich verdächtiges Verhalten eines USB Stick
    > feststellt ist sie mit modernen Sticks auch entweder aufgeschmissen oder
    > der bösartige Stick ist klug genug diese zu erkennen.

    Du scheinst das Prinzip nicht ganz verstanden zu haben.
    USB-Stick wird in Scanstation gesteckt.
    Scanstation scannt Dateien und gibt diese frei.
    Dateien über Scanstation in zentrales Laufwerk des Benutzers auf dem Server kopieren.
    USB-Stick aus Scanstation rausziehen.
    Nutzer geht an seinen PC und greift auf sein Laufwerk zu.

    > Vielleicht nicht Otto-Normal User, aber von einem Entwickler erwarte ich
    > schon gewisses Expertenwissen. Meine Posts haben sich auf Entwickler
    > bezogen wie man lesen kann.

    Dummerweise kann man das nicht. Du nimmst nur am Schluss deines Post ein anderes Beispiel (Entwickler mit Root-Zugang) für "diesen Mist" den sich Unternehmen wegen "Einzelfällen" ausdenken.

    Aber ich frage noch mal: WO ist das Problem mit einer Scanstation? Wo halbiert es die Produktivität? Und wo verdoppelt es den Frust? Und von welchen Menschen redest du eigentlich die quasi durchgehend USB-Sticks brauchen um Daten hin und her zu senden? Also die Unternehmen die ich kenne, nutzen zentrale Laufwerke für die Dateien. Da braucht keiner irgendwelche Sticks wenn er einen andern PC nutzen will oder Daten intern verschicken will ohne Mail.

    Aber vielleicht ist diese Vorgehensweise für die USB-Stick-Fans einfach zu fortschrittlich...

  16. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: Wallbreaker 21.03.15 - 20:55

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Ja aber es gibt doch auch PS/2 Keylogger (werden einfach zwischen PC /
    > Tastatur gehängt). Bis hin zur möglichkeit die Komplette Tastatur
    > auszutauschen
    > Also so lange man physischen Zugriff hat spielt es eigentlich keine Rolle
    > ob man USB oder PS/2 für die Tastatur nutzt.
    > Wenn man das Gehäuse einschließt und so zugriff auf die Anschlüsse
    > verhindert könnte es helfen. Aber ist halt schwer sich gegen keylogger zur
    > wehr zu setzen wenn man sie nicht erkennt.

    Stimmt allerdings denn gerade die Angriffe via USB lassen sich nicht verhindern, ausser man würde den USB-Support im Linux-Kernel komplett deaktivieren. Dann gäbe es aber immer noch PS/2.
    Ist aber wie ich immer sage, am besten den Tower komplett in Beton hüllen, dann ist definitiv Ende mit Manipulation. Es wäre auch sehr von Vorteil, wenn es Gehäuse gäbe die nicht nur abschließbar wären, sondern die Ports im Innern belässt, sodass ein Einstecken nur durch das Öffnen des Gehäuses möglich wäre. Das könnte man noch mit einer Alarmvorrichtung übers Netzwerk kombinieren, die sofort meldet wenn Jemand das Gehäuse ohne Zustimmung öffnet. Eine andere Option wäre es, dies ohne Netzwerk mit einem Funkmodul inkl. eigener SIM-Karte zu realisieren, dass verantwortliche Personen direkt eine SMS bekommen, wenn an jenem Arbeitsplatz manipuliert wird. Und da der gewöhnliche Angestellte daran nichts verloren hat, sollte man diesem Mitarbeiter direkt kündigen.

  17. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: Wallbreaker 21.03.15 - 20:59

    john4344 schrieb:
    --------------------------------------------------------------------------------
    > Als Standard User kann man bei Windows auf keinen Fall alles machen ! Immer
    > dieses gefährliche Halbwissen von Leuten die überhaupt keine Ahnung von
    > Windows Dateisystem Security haben, die übrigens der normalen Unixoiden um
    > Welten überlegen ist.
    > Für normale USB Geräte kann man schon sehr lange Whitelists definieren.
    > Auch für HIDs. Allerdings hilft das nix, wenn sich durch den Keylogger die
    > HWID nicht ändert.

    Schon wieder diese Propaganda?

  18. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: root666 22.03.15 - 11:27

    ad (Golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Letztlich stellt sich die Frage, wozu der normale schreibende Mitarbeiter
    > eigentlich dort USB-Port oder gar Wechselmedien braucht. Maus und Tastatur
    > gegen bei den meisten Desktops doch über PS/2, der Drucker und die Daten
    > sind übers Netzwerk erreichbar.

    Was hilft PS/2 in diesem fall weiter? PS/2-Keylogger gibt es länger als den USB-Port!
    Man muss alle anschlüsse so verblompen, dass vorhandene Stecker nicht rausgezogen und mit einem Logger versehen werden können.

    Ansonsten würde es reichen wenn die Mitarbeiter vor Beginn ihrer Arbeit einfach eine Sichtkontrolle an ihrem Arbeitsgeträt vornehmen würden.

  19. Re: Ja was soll auch sonst mit den USB Ports sein?

    Autor: robinx999 22.03.15 - 13:41

    Da es ja auch Modelle zum Einbau in einer Tastatur gibt dürfte eine Sichtkontrolle auch Problematisch sein.
    Aber ist halt sehr problematisch das Gehäuse und auch die Tastatur selber so zu schützen das man nichts manipulieren kann.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. BEHG HOLDING AG, Berlin
  2. Lidl Digital, Neckarsulm
  3. msg DAVID GmbH, Braunschweig
  4. GILDEMEISTER Beteiligungen GmbH, Bielefeld

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 7,99€
  2. 6,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de