Moin allerseits!
Nach Lektüre der einzigen beiden zum Thema gefundenen Threads, möchte ich mein System so sicher wie möglich gegen diesen Kram machen.
Möchte mir jemand dabei helfen? Als Gegenleistung schreibe ich einen Artikel fürs Wiki.
Dankscheee schonmal
Gregor
Bad-USB
Re: Bad-USB
Keine Ahnung was man sonst noch so mit manipulierten USB-Geräten anstellen könnte, aber gegen heimliche USB Eingabegeräte habe ich mir ein kleines Skript und eine udev-Regel geschrieben: http://debianforum.de/forum/viewtopic.php?f=37&t=151777
(seit dem letzten Post dort habe ich mich aber nicht mehr damit beschäftigt, dh das Problem, dass so viele Events erzeugt werden und das Skript deshalb öfter aufgerufen wird, besteht nach wie vor. Abgesehen davon gefällt mir meine Lösung recht gut, weil dank der hohen Priorität, die Benachrichtigungen zumindest unter Gnome und e17 sichtbar bleiben bis man darauf klickt.)
Man kann das Laden/Zuweisen von Treibern für neue USB-Geräte auch deaktivieren
Quelle
Eine andere Möglichkeit wäre eine Whitelist für USB-Geräte, aber konkrete Lösung habe ich dafür noch keine gesehen.
(seit dem letzten Post dort habe ich mich aber nicht mehr damit beschäftigt, dh das Problem, dass so viele Events erzeugt werden und das Skript deshalb öfter aufgerufen wird, besteht nach wie vor. Abgesehen davon gefällt mir meine Lösung recht gut, weil dank der hohen Priorität, die Benachrichtigungen zumindest unter Gnome und e17 sichtbar bleiben bis man darauf klickt.)
Man kann das Laden/Zuweisen von Treibern für neue USB-Geräte auch deaktivieren
Code: Alles auswählen
# echo "0" > /sys/module/usbcore/parameters/authorized_default
Eine andere Möglichkeit wäre eine Whitelist für USB-Geräte, aber konkrete Lösung habe ich dafür noch keine gesehen.
Re: Bad-USB
Stimmt nichtsmutbert hat geschrieben:Keine Ahnung ...
Ich werde das mal durchgehen und machen. Für weitere Gegenmaßnahmen ist dann zumindest schonmal Zeit geschaffen.
Gruß
Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi und sog. Maker)
Re: Bad-USB
Hast Du das OP inzwischen nachgebessert oder steht das, was bei Dir läuft, irgendwo?smutbert hat geschrieben:...
Momentan wäre die Erledigung dieses Themas gerade ein willkommener Lückenfüller.
Gruß
Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi und sog. Maker)
Re: Bad-USB
Habe den ersten Beitrag dort gerade aktualisiert. Soweit funktioniert es bei mir, bei meiner Tastatur kommen aber nach wie vor 2 Benachrichtigungen, weil sie auch als 2 Geräte erkannt wird.
(Ist im Prinzip schon richtig so, sonst könnte sich ja auch eine gehackte Maus unerkannt zusätzlich als Tastatur anmelden oä, aber die Benachrichtigung könnte etwas eleganter ausfallen)
(Ist im Prinzip schon richtig so, sonst könnte sich ja auch eine gehackte Maus unerkannt zusätzlich als Tastatur anmelden oä, aber die Benachrichtigung könnte etwas eleganter ausfallen)
Re: Bad-USB
Ich habe ein Script geschrieben, welches
echo "1" > /sys/module/usbcore/parameters/authorized_default
ausführt und danach
sleep 30
damit ich in dieser Zeit meinen USB-Stick anzuschließen kann.
Nach dem sleep wird wieder zurückgesetzt.
echo "0" > /sys/module/usbcore/parameters/authorized_default
Somit kann niemand im Vorbeigehen etwas anstellen und der Xscreensaver sperrt ehe den Bildschirm nach kurzer inaktivität.
Bei Bedarf starte ich halt das Script, bevor ich einen USB-Stick anstecke.
echo "1" > /sys/module/usbcore/parameters/authorized_default
ausführt und danach
sleep 30
damit ich in dieser Zeit meinen USB-Stick anzuschließen kann.
Nach dem sleep wird wieder zurückgesetzt.
echo "0" > /sys/module/usbcore/parameters/authorized_default
Somit kann niemand im Vorbeigehen etwas anstellen und der Xscreensaver sperrt ehe den Bildschirm nach kurzer inaktivität.
Bei Bedarf starte ich halt das Script, bevor ich einen USB-Stick anstecke.