Umgang mit USB Sticks und Linux Malware und Trojaner

[Trollkirsche]

Hallo,

Ich wollte euch fragen wie ihr den Umgang mit USB Sticks handhabt und welche Gefahren für euer Linux System dabei lauern.

1. Wie verhält es sich zb. mit einem mit FAT formattierten USB Stick? Kann man den sicher wieder in das Linux System einlesen, wenn man ihm selbst nicht mehr vertrauen kann?

Ich nehme mal an, wenn ich ihn in ein Windows System einstecke, ist die Gefahr einer Infektion mehr als gegeben. Wie verhält es sich mit Linux Systemen?

2. Wie siehts mit ext Systemen aus, auf denen kein Linux installiert ist, sich aber Dateien befinden? Wenn der USB Stick zb. ein ext4 System aufweist und ich ihn dann in meine Linux Distribution auf dem lokalen Rechner einstecke : Welche Faktoren und Gegebenheiten sind für eine Infektion entscheidend? Wie hoch ist die Infektionsgefahr dadurch?

Welche Techniken und Möglichkeiten gäbe es, von einem FAT oder EXT4 Dateisystem meine lokale Installation zu infizieren? Was kann man sicher tun, ohne eine Gefahr einzugehen?

[pferdefreund]

Wichtig ist, nicht vertrauenswürdige Sticks grundsätzlich mit -noexec zu mounten und möglichst dabei kein KDE oder sonstwas mit automount-funktion verwenden. Sinnvoll wäre hier pmount, damit man das nicht als root machen muss. Da Linux ja kein Autostart kennt und auch keine irgendwelchen .inis auf Wechseldatenträgern sollte so schon das gröbste abgefackelt sein.

[schwedenmann]

Hallo

Das schlimmst wären eigentlich, egal für welches OS, badusb, oder seit neuestem auch entsprechende USB-Kabel mit firmware. Alles andere wird m.M. nciht so heiß gegessen, wie es gekocht wird.


mfg
schwedenmann

[bluestar]

Welche Faktoren und Gegebenheiten sind für eine Infektion entscheidend? Wie hoch ist die Infektionsgefahr dadurch?

Die Sicherheit sitzt vor dem Bildschirm und entscheidet, was Er/Sie mit dem Inhalt eines Stickes, egal welches Dateisystem , tut.

Welche Techniken und Möglichkeiten gäbe es, von einem FAT oder EXT4 Dateisystem meine lokale Installation zu infizieren?

Unbekannte Sicherheitslücken im USB-Stack, im Dateisystem, Kernel, in der CPU, etc., usw.

Was kann man sicher tun, ohne eine Gefahr einzugehen?

Stick in die Hand nehmen und anschauen

[BenutzerGa4gooPh]

Stick in die Hand nehmen und anschauen

Schön, wenn es im DF was zu Lachen und zum Lernen gibt.

@Trollkirsche:
USB "durchreichen" an eine VM, die nach Prüfung der Dateien zurückgesetzt wird, könnte man auch in Erwägung ziehen.
(Windows Dateien kann man wohl auch unter Linux prüfen, ClamAV - aber mit nachgeladenen aktuellen (kostenpflichtigen?) Signaturen:
https://en.wikipedia.org/wiki/Clam_AntiVirus
Oder selbst recherchieren, denke da erst mal an Sophos (ehemals Astaro/DE, nun leider USA) und gebashte "Russen-Scanner" (Kasperski). K. A. was das so ratsam ist. Fefe belustigt mich oft bezüglich der sog. Schlangenöl-Industrie. Mir wäre jedenfalls lieber, meine persönlichen Daten wackeln zu Russen, Chinesen und Nordkoreanern, die mit deutschen bS ("Berechtigten Stellen" laut DE-Euphemismen in TKÜV usw.) und MI5..x und NSA/CIA/BKAs/LKAs nicht sonderlich perfekt zusammenarbeiten.

[bluestar]

@Trollkirsche:
USB "durchreichen" an eine VM, die nach Prüfung der Dateien zurückgesetzt wird, könnte man auch in Erwägung ziehen.

@Tollkirsche bitte bei Janas Vorschlag bedenken, dass hier natürlich auch wieder Sicherheitslücken in QEMU, VirtualBox, etc. eine potenzielle Angriffsfläche für den Schadcode auf dem USB-Stick bieten, also es bleibt nur beim analogen Anfassen und Anschauen deines USB-Sticks.

@Tollkirsche mal ernsthaft: mounten mit noexec und danach einen oder x-beliebig viele Virenscanner über die Daten laufen lassen und fertig ist dein gefühltes Sicherheitsniveau.

[rendegast]

In einem 08/15-Linuxsystem ist wohl kein Autorun-Mechanismus realisiert.
Von einem Daten!-Stick geht selbst mit automount erstmal keine Gefahr aus.

Die badusb-Thematik mit gefakten "Tastatur-Datenträgern" / "Datenträger-Tastaturen" betrifft eine Standard-Installation aber voll,
es ist erstmal keine Maßnahme vorgenommen resp. offen.
(Jedoch dürfte das Gros der badusb auf ein windows-System zielen)

Das Sperren unbekannter Tastaturen geht auf einem Linux per udev wie auch auf einem Windows,
auf einem Windows für einen unbedarften Benutzer mit etwas Info aus www imo einfacher.

Auf einem Linux wegen des wohl häufig laufenden ssh dürfte das Ersetzen einer ausgefallenen Tastatur einfacher sein als bei einem windows, dort müßte Zugriff auf das Remote-Registry / group-Policy eingerichtet sein.

[Trollkirsche]

Okay danke euch.

Im Grunde kann man also davon ausgehen, dass von reinen Datensticks nicht wirklich eine Gefahr ausgeht, erst recht nicht, wenn man die Sticks per Konsole und der Option -noexec mountet.
Den Tipp mit -noexec werde ich beherzigen, vielen Dank.

Es geht vor allem darum, Dateien auf einem USB Stick von der Arbeit im eigenen Heim-PC einlesen zu wollen, ohne das sich da was einnistet ins System. Ebenso MP3 Stick ausm Auto, den man ja auch unbeobachtet eingesteckt lässt.
Den möchte man ja hin und wieder mit neuer Musik bestücken und man weiss ja nie, wer sich daran in der Zwischenzeit bemächtigt hat. Ja ich weiss, klingt paranoid, aber man weiss ja nie.

Würdet ihr in dem Falle den Stick einfach neu aufsetzen (neue partitionstabelle etc.) in einer usb live CD und ihn erst dann wieder im Normalsystem befüllen, um da sicher zu gehen? Dann müsste ja das Risiko = 0 sein, sehe ich das richtig?
Oder übertreibe ich da ?

[DeletedUserReAsG]

… wer sagt dir, dass nicht dein Livesystem manipuliert worden ist? Gegen sowas wie Bad-USB hilft das umherfuhrwerken auf dem Datenbereich übrigens nix.

[geier22]

Es geht vor allem darum, Dateien auf einem USB Stick von der Arbeit im eigenen Heim-PC einlesen zu wollen, ohne das sich da was einnistet ins System.
Ebenso MP3 Stick ausm Auto, den man ja auch unbeobachtet eingesteckt lässt.

Das eine Problem hatte ich in meiner Aktiven Zeit so gelöst: Es ging meist um an die 100 Seiten "dicke" Dokumente. Ich hab die in Word
(damals noch mit RC4 128 bits) verschlüsselt und mir per Mail nach Hause geschickt.
Komplett verschlüsseln war damals in der Firma noch nicht möglich.

"unbeobachtet eingesteckt lässt" Meinst du wirklich da kommt der Mann mit dem Schlapphut, knackt dein Liebstes und manipuliert deinen
armen Stick?

Die eigentlich Frage ist: Was treibst du auf deiner Windows Partition, was du nicht auch unter Debian machen kannst.
Wo hast du z.B. deine mp3- Dateien her?
Bist du in irgendwelchen Stream Portalen unterwegs vielleicht auch noch mit dem "vernetzen" Smartphone ?
Usw usw.
Downloads dieser Art finden bei mir grundsätzlich in einer "kastrierten" Win 7-VM statt (bis vor kurzen war das noch XP )
Auch bei Downloads sollte man genau wissen, ob die "Quellen" vertrauenswürdig sind, was aber auch die Erfahrung mit sich bringt .
Bevor diese Dateien Linux "betreten dürfen", sind drei Scanner drüber gelaufen. Was zumindest eine kleine Sicherheit gibt.
Allerdings hab ich seit ca. 10 Jahren damit keine Probleme mehr, geprüft wird aber trotzdem. Ja ja die Quellen

Wie schon viele gesagt haben: Die größte Gefahr für den Computer sitzt vor dem Rechner. Hier muss überlegt werden wie man sich
im Internet bewegt und was man lieber sein lassen sollte.

Gegen manipulierte Firmware gleich wo sie sich befindet wird man sich nicht schützen können.
Man muss sich deshalb darum auch keinen Kopf machen, außer sich einschlägig zu informieren.
Durch eingehende Information kann man eventuell die eine oder andere Klippe umschiffen.

......Und natürlich mit Linux unterwegs zu sein. Weil man sich da in einem kleinen elitären Zirkel befindet, der für Cyberkriminelle zur Zeit
kaum interessant ist.

Edit:

Wer es noch nicht gefunden hat:
Eine deprimierende Auflistung von verwundbaren "Devices" aber es gibt anscheinend auch welche, die nicht zu manipulieren sind
Aber so richtig verstehe ich die Seite und die dort enthaltenen Infos nicht. (Aufklärung ??)
https://opensource.srlabs.de/projects/badusb

[schwedenmann]

Hallo

Man benutzt für seine Sticks usbguard, bei Sid ist es afaik in den repos

https://access.redhat.com/documentation ... g-usbguard

Dann werden "gefundene" USB-.Sticks abgewiesen und der user muß' Hirn aktivieren.

Ist ne nette Sache, damit kann man auch verhindern, da andere unbeabsichtigt, oder beabsichtigt, per USB-Stick am PC rumpfuschen

mfg
schwedenmann

[uname]

Den gesteigerten Schutz alleine durch die Verwendung von Linux statt Windows wirst du bei Windows nie erreichen. Wie in der Medizin: Man muss anfangen die Ursachen zu bekämpfen und nicht die Symptome. Die Frage aber auch die Diskussion ist an dieser Stelle ziemlich unnötig.

[geier22]

Man benutzt für seine Sticks usbguard, bei Sid ist es afaik in den repos

Gibt es inzwischen auch für Stable und Testing

The USBGuard software framework helps to protect your computer against rogue USB devices (a.k.a. BadUSB) by implementing basic whitelisting and blacklisting capabilities based on device attributes.

Na ja .. vor unbekanntem Sticks kann man sich so natürlich schützen.
Wenn ich die Anleitung für usbguard lese, scheint das - soweit ich das verstehe - ausschließlich um den Access zu gehen
Viel Interessanter - mir nicht klar - wo und wie wird die Firmware manipuliert ?

Wenn es Hersteller-seitig auf "Direktive" geschieht hat man eh keine Chance.

Kann ja nicht in den Media Markt gehen und einen nicht manipulierten Stick verlangen

Wenn es vom Betriebssystem aus geschieht, muss die Software ja da irgendwann mal hingekommen sein. Aber wie?

Ich denke, wenn man seine Sticks bei sich behält (nicht mal weitergeben oder von einem Kumpel ausborgen),
sollte man sich auf der halbwegs sicheren Seite befinden.

Der usbguard kann da zusätzlich helfen -auch in der Familie - , wenn Sohnemann mal wieder mit den neusten Spielen
auf dem von einem Kumpel geborgten USB- Stick das Netzwerk verseuchen will

Die Frage aber auch die Diskussion ist an dieser Stelle ziemlich unnötig.

Finde ich gar nicht.
Hatte zwar schon mal was von BadUSB gehört, aber dieser Thread gab den Anlass dazu, mich mal genauer zu informieren.
----> Wieder was gelernt

[Taomon]

Mal eine zugebenermaßen naive Frage, kann man solche badusb sticks nicht erkennen wenn man mit usb-devices raussucht, welche treiber sich an den Schnittstellen angehangen haben? Oder mit udevadm was erforschen?

Ahnungsloser Taomon