Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Logitech: Schwerwiegende…

Funktioniert auch kabelgebunden...

  1. Thema

Neues Thema Ansicht wechseln


  1. Funktioniert auch kabelgebunden...

    Autor: -Jake- 08.07.19 - 14:20

    ... wenn man physischen Zugriff auf die Tastatur bekommt. Einfach irgendwo im Gehäuse einen Mikrocontroller einbauen der die Eingaben nach Hause sendet. Man könnte sowieso auch den PC manipulieren etc... also das würde ich nicht als zusätzliche Gefahr einstufen.

    Problematischer ist das schon das sie kabellos ausgelesen werden können, wenn man das Pairing mitschneidet. Allerdings auch nicht wirklich überraschend, wie soll denn der verschlüsselte Kanal sicher aufgebaut werden? Wenn sie mit festen Schlüsseln arbeiten muss der private Key irgendwo in der Hardware oder Firmware stecken und kann immer mit mehr oder weniger großem Aufwand extrahiert werden. Das der Benutzer manuell etwas eingeben muss würde wahrscheinlich nicht angenommen werden.

  2. Re: Funktioniert auch kabelgebunden...

    Autor: Ford Prefect 08.07.19 - 14:41

    > Allerdings auch nicht wirklich überraschend, wie soll denn der verschlüsselte Kanal sicher aufgebaut werden?

    Vielleicht so wie bei Bluetooth? WIFI? SSL? PGP? Das ist doch ein gelöstes Problem.



    2 mal bearbeitet, zuletzt am 08.07.19 14:44 durch Ford Prefect.

  3. Re: Funktioniert auch kabelgebunden...

    Autor: quasides 08.07.19 - 15:53

    -Jake- schrieb:
    --------------------------------------------------------------------------------
    Allerdings auch nicht wirklich
    > überraschend, wie soll denn der verschlüsselte Kanal sicher aufgebaut
    > werden?

    lol der war gut. das ginge ganz einfach mittels asynchroner verschlüsselung.
    da wäre der jeweilige key nur auf dem jeweiligen endgerät.
    also empfänger hat öffentliches cert und key und tastatur das selbe.
    keyboard sended cert an empfänger der verschlüsselt mit diesem keyboard entschlüsselt mit seinem key und das ganze umgekehert.

    damit müssen niemals schlüssel ausgetauscht werden.
    zum entschlüsseln bräuchtest du dann zugriff auf beide.
    das beste aber ist das man cert/keycombo dynmiasch generieren kann um so schlüssel zu wechseln, damit hilft dann auch physischer zugriff nicht mehr viel. den key den du gestern ausgelesen hast ist dann recht schnell obsolet

  4. Re: Funktioniert auch kabelgebunden...

    Autor: MarcusK 08.07.19 - 16:09

    und woher willst du wissen das keine MiD da ist?

    Bei einer Tastatur könnte man den Key einfach eingeben.
    Bei einer Maus könnte man ein Muster was auf dem Bildschirm gezeigt wird zeichnen.

    Sieht halt umständlich aus, aber könnte sicherer sein.

  5. Re: Funktioniert auch kabelgebunden...

    Autor: -Jake- 08.07.19 - 18:39

    Ford Prefect schrieb:
    --------------------------------------------------------------------------------
    > > Allerdings auch nicht wirklich überraschend, wie soll denn der
    > verschlüsselte Kanal sicher aufgebaut werden?
    >
    > Vielleicht so wie bei Bluetooth? WIFI? SSL? PGP? Das ist doch ein gelöstes
    > Problem.

    Bei Wifi muss der Nutzer den PSK über andere Wege verteilen und eingeben. Bei TLS hat jeder Server einen privaten Key, der unter allen Umständen geheim bleiben muss. Bei PGP braucht jeder Teilnehmer seinen geheimen Key... außerdem müssen die Zertifikate/publicKeys verifiziert werden. Wie willst du das realisieren wenn beide Teile in freier Wildbahn sind?
    Bei Bluetooth kenne ich das Protokoll nicht im Detail, aber jedenfalls gab es auch schon unzählige MitM Angriffe darauf.
    Das wirkt immer einfacher als es ist wenn man es wasserdicht implementieren will. Ein Angreifer kann mit höherer Sendeleistung beim Pairing die Gegenstelle spielen, wenn das nicht durch die Authentifizierung auffällt kann er alles mitlesen... Wie schon geschrieben, den Key dazu willst du weder in die Teile einbauen noch immer den Nutzer manuell eingeben lassen. Bitte einmal den ganzen Beitrag lesen.

  6. Re: Funktioniert auch kabelgebunden...

    Autor: -Jake- 08.07.19 - 18:44

    MarcusK schrieb:
    --------------------------------------------------------------------------------
    > Bei einer Tastatur könnte man den Key einfach eingeben.
    > Bei einer Maus könnte man ein Muster was auf dem Bildschirm gezeigt wird
    > zeichnen.
    >
    > Sieht halt umständlich aus, aber könnte sicherer sein.

    Ja, so könnte es gehen. Wobei man einen Treiber bräuchte der den Key/Muster auf dem PC generiert und anzeigt. Ich hätte keine Lust für jedes Gerät sowas erstmal zu installieren. Direkt im Linux Kernel (wie das normalerweise der Fall ist) würde das ja auch schlecht funktionieren

  7. Re: Funktioniert auch kabelgebunden...

    Autor: HeroFeat 09.07.19 - 00:07

    Also bei Bluetooth Tastaturen musste ich bereits oft eine auf dem Bildschirm angezeigte Ziffernfolge eingeben. Da scheint es also sowas zu geben. Und bei Mäusen müsste man halt tatsächlich mit Maus Bewegungen arbeiten. Das Problem dürfte aber hier die Kompatibilität mit älteren Systemen sein. Jedoch sehe ich Tastaturen als stärkere Sicherheitslücke an. Da gibt man ja Passwörter und dergleichen ein. Die Maus kann zwar auch übernommen werden. Aber damit ein Skript ohne Feedback dort schädliche Eingaben vornehmen kann muss man schon ganz schön viel richtig machen. Fenster sind ja nicht immer in der gleichen Position, Bildschirme sind unterschiedlich groß, die Skalierung ist unterschiedlich und so weiter. Wenn all das bekannt ist, dann kann der Angreifer das auch eben lokal machen. Er muss ja sowieso vor Ort gewesen sein. Und die Maus Bewegungen auf dem Bildschirm ist längst nicht so interessant wie die Tastatureingaben.

  8. Re: Funktioniert auch kabelgebunden...

    Autor: mifritscher 09.07.19 - 07:13

    @HeroFeat: Das gilt, wenn man über die Mausverbindung keine Tastendrücke einschleußen kann - woran ich so meien Zweifel habe.

  9. Re: Funktioniert auch kabelgebunden...

    Autor: HeroFeat 09.07.19 - 14:20

    Ja man wird über die Maus auch Tastendrücke einschleusen und aufzeichnen können. Aber man müsste eben doch Recht viel Glück haben, das die Mausbewegungen genau dahin gehen wo man sie braucht. Und man nicht einfach irgendwo in die Luft klickt. Das ist ja das weswegen ich die Maus als nicht so dramatisch ansehe, wenn die Daten abgegriffen werden können. Der Angreifer müsste dann ja schon eine Kamera auf den Bildschirm richten oder aber die Display Auflösung, Skalierung und Position der einzelnen Fenster kennen. Da gibt es einfachere Methoden einen Rechner anzugreifen.

  10. Re: Funktioniert auch kabelgebunden...

    Autor: sadan 04.09.19 - 15:58

    Keyloggen kann man vl nicht wenn nur ne maus angeschlossen ist. Da der treiber aber maus und tastatur als eines sieht können über den mausadapter tastatur befehle gesendet werden. Damit kann wiederum schadsoftware um die kabelgebundene tastatur abzugreifen, einfach nachgeladen werden.
    Naja. Bei mir überwiegt noch immer komfort. Lebe am land. Wer mich hier per sowas angreift würde mich sowieso angreifen :)da es keine massentechnik sondern gezielter angriff ist sollte das bedrohungspotenzial für normalbürger gering sein. In ner bank etc. wirds damit jedoch gefährlich.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Impactory GmbH, Darmstadt (Home-Office)
  2. Universität Konstanz, Konstanz
  3. Statistisches Bundesamt, Wiesbaden
  4. BWI GmbH, Rostock

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-12%) 52,99€
  2. (-70%) 5,99€
  3. (-67%) 3,30€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

  1. Google: Pixel 4 entsperrt auch bei geschlossenen Augen
    Google
    Pixel 4 entsperrt auch bei geschlossenen Augen

    Googles neue Pixel-4-Modelle haben keinen Fingerabdrucksensor mehr, sondern nur noch eine Gesichtsentsperrung. Diese basiert auf Infrarotwellen, was vermeintlich sicher ist - allerdings müssen die Augen des Nutzers nicht geöffnet sein, was ein Problem ist.

  2. Arbeitsspeicher: Gskill bringt DDR4-4000 mit scharfer CL15-Latenz
    Arbeitsspeicher
    Gskill bringt DDR4-4000 mit scharfer CL15-Latenz

    Hoher Takt und niedrige Latenz: Von Gskill kommt eine optimierte Version des Trident Z mit DDR4-4000 und CL15-16-16-18. Der Speicher eignet sich für schnelle CPUs wie den Core-i9-9900K oder den Ryzen 9 3900X.

  3. Mailinglisten: Yahoo Groups wird deutlich eingeschränkt
    Mailinglisten
    Yahoo Groups wird deutlich eingeschränkt

    Mit kurzer Vorwarnzeit wird der Service Yahoo Groups massiv eingeschränkt. Bald können keine neuen Dateien mehr hochgeladen werden, bestehende Daten werden größtenteils im Dezember gelöscht.


  1. 16:17

  2. 15:56

  3. 15:29

  4. 14:36

  5. 13:58

  6. 12:57

  7. 12:35

  8. 12:03