Bad-USB

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
GregorS
Beiträge: 3305
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Bad-USB

Beitrag von GregorS » 26.11.2014 17:52:50

Moin allerseits!

Nach Lektüre der einzigen beiden zum Thema gefundenen Threads, möchte ich mein System so sicher wie möglich gegen diesen Kram machen.

Möchte mir jemand dabei helfen? Als Gegenleistung schreibe ich einen Artikel fürs Wiki.

Dankscheee schonmal

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi und sog. Maker)

Benutzeravatar
smutbert
Beiträge: 8363
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Bad-USB

Beitrag von smutbert » 26.11.2014 19:09:00

Keine Ahnung was man sonst noch so mit manipulierten USB-Geräten anstellen könnte, aber gegen heimliche USB Eingabegeräte habe ich mir ein kleines Skript und eine udev-Regel geschrieben: http://debianforum.de/forum/viewtopic.php?f=37&t=151777
(seit dem letzten Post dort habe ich mich aber nicht mehr damit beschäftigt, dh das Problem, dass so viele Events erzeugt werden und das Skript deshalb öfter aufgerufen wird, besteht nach wie vor. Abgesehen davon gefällt mir meine Lösung recht gut, weil dank der hohen Priorität, die Benachrichtigungen zumindest unter Gnome und e17 sichtbar bleiben bis man darauf klickt.)

Man kann das Laden/Zuweisen von Treibern für neue USB-Geräte auch deaktivieren

Code: Alles auswählen

# echo "0" > /sys/module/usbcore/parameters/authorized_default
Quelle

Eine andere Möglichkeit wäre eine Whitelist für USB-Geräte, aber konkrete Lösung habe ich dafür noch keine gesehen.

Benutzeravatar
GregorS
Beiträge: 3305
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: Bad-USB

Beitrag von GregorS » 26.11.2014 19:27:28

smutbert hat geschrieben:Keine Ahnung ...
Stimmt nicht :-)

Ich werde das mal durchgehen und machen. Für weitere Gegenmaßnahmen ist dann zumindest schonmal Zeit geschaffen.

Gruß

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi und sog. Maker)

Benutzeravatar
GregorS
Beiträge: 3305
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: Bad-USB

Beitrag von GregorS » 02.12.2014 07:08:58

smutbert hat geschrieben:...
Hast Du das OP inzwischen nachgebessert oder steht das, was bei Dir läuft, irgendwo?

Momentan wäre die Erledigung dieses Themas gerade ein willkommener Lückenfüller.

Gruß

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi und sog. Maker)

Benutzeravatar
smutbert
Beiträge: 8363
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Bad-USB

Beitrag von smutbert » 02.12.2014 10:14:03

Habe den ersten Beitrag dort gerade aktualisiert. Soweit funktioniert es bei mir, bei meiner Tastatur kommen aber nach wie vor 2 Benachrichtigungen, weil sie auch als 2 Geräte erkannt wird.
(Ist im Prinzip schon richtig so, sonst könnte sich ja auch eine gehackte Maus unerkannt zusätzlich als Tastatur anmelden oä, aber die Benachrichtigung könnte etwas eleganter ausfallen)

tomi89
Beiträge: 269
Registriert: 21.08.2014 00:21:52

Re: Bad-USB

Beitrag von tomi89 » 04.12.2014 19:27:23

Ich habe ein Script geschrieben, welches

echo "1" > /sys/module/usbcore/parameters/authorized_default

ausführt und danach

sleep 30

damit ich in dieser Zeit meinen USB-Stick anzuschließen kann.

Nach dem sleep wird wieder zurückgesetzt.

echo "0" > /sys/module/usbcore/parameters/authorized_default

Somit kann niemand im Vorbeigehen etwas anstellen und der Xscreensaver sperrt ehe den Bildschirm nach kurzer inaktivität.

Bei Bedarf starte ich halt das Script, bevor ich einen USB-Stick anstecke.

Antworten