Sicherheitslücken beim USB Bus
Unsicherer Bus

Jörg Geiger, Matthias Ott,
SicherheitSicherheitsmanagementWorkspaceZubehör

Lücken beim USB-Port

Sicherheitslücken beim USB Bus

Mit einem hinterhältigen Security-Test deckten Experten bei einer Kreditgenossenschaft auf, wie unsicher ungeschützte USB-Ports sind. Auf dem Firmengelände verteilten sie 20 scheinbar verlorene USB-Sticks. 15 davon wurden gefunden und in Firmenrechner gesteckt. Was die unehrlichen Finder nicht wussten: Auf den Sticks waren Keylogger versteckt, die munter Login-Daten, Passwörter und Systeminfos per E-Mail versenden. Der Test zeigt, welches Gefahrenpotenzial in ungeschützten USB-Ports steckt. So können über die Schnittstelle entweder Schad-Software per USB-Stick, iPod oder Speicherkarte eingeschleppt oder sensible Firmendaten gestohlen werden. Das Problem dabei: Windows XP kennt keine wirksamen Mechanismen, den Zugriff auf USB-Ports wirksam, aber gleichzeitig flexibel abzusichern. PCpro zeigt, wie Sie USB-Ports schützen.

BIOS-Einstellungen USB-Start abschalten

Schalten Sie im BIOS, das natürlich passwortgeschützt ist, die Bootfähigkeit von USB-Medien ab. Denn alle Windows-Sicherheitseinstellungen sind nutzlos, wenn der Datendieb den Rechner über einen USB-Stick zum Beispiel mit einer Linux-Version neu bootet. Die Mini-Distribution Damn Small Linux lässt sich auch auf USB-Sticks installieren und startet PCs dann unabhängig vom installierten Windows. Komfortabler geht das sogar noch mit Windows-basierten Boot-Medien. Meist sind die Einstellungen unter Boot Settings zu finden, beim AMI BIOS etwa auch unter Removeable Drives. Die Radikalmethode, USB im BIOS komplett deaktivieren, ist zwar möglich, hat aber den Nachteil, dass dann auch USB-Mäuse und -Tastaturen nicht funktionieren.

Windows-Trick USB-Sticks nur lesbar

Windows XP bietet keine ausgefallenen Security-Features für USB-Ports an. Mit dem Service-Pack 2 können Administratoren jedoch den Lesezugriff von USB-Sticks erlauben. So lassen sich keine Daten auf den Stick kopieren und der Datenklau wird verhindert. Um dies umzusetzen, muss in der Registry der Schlüssel HKLM\System\ CurrentControlSet\Control\StorageDevicePolicies angelegt werden. In diesem Ast können Sie dann per Kontextmenü den DWORD-Wert WriteProtect anlegen. Setzen Sie ihn auf den Wert 1 und starten Sie neu.

USB Sicherheitsmaßnahmen

Sicherheitslücken beim USB Bus

Software-USB-Wächter Zugriffskontrolle über Windows

Mit Zusatz-Software wie USB-Port-Administration von WDW Consulting (www.wdw-con sulting.de) lernt Windows gezielt Regeln für den USB-Zugriff. Der Admin bestimmt, wie welcher Nutzer auf USB-Geräte zugreifen darf. USB-Geräte werden gemäß ihrer Funktionalität in Klassen eingeteilt und im Test ohne Ausnahme angezeigt. Mäuse und Tastaturen befinden sich in Klasse 3, Speichermedien in Klasse 8, Drucker in Klasse 7. Über Drag and Drop werden die Benutzer oder Benutzergruppen zu dem entsprechenden Gerät (USB-Stick) hinzugefügt. Jeder autorisierte Nutzer kann dann ohne Einschränkungen einen Stick benutzen. Bei allen anderen Usern passiert beim Einstecken eines USB-Sticks in den PC nichts. Die Einzellizenz kostet 15 Euro.

Hintergrund-Wächter Drivelock für Firmen

Ein sehr umfangreiches Tool ist Drivelock von Centertools (www.drivelock.de). Das Programm arbeitet versteckt im Hintergrund und wird erst aktiv, wenn ein USB-Stick oder MP3-Player an den Rechner gestöpselt wird. Wie ein Spamfilter arbeitet es mit Black- und White-Lists, also mit explizit verbotenen und erlaubten USB-Geräten. So kann beispielsweise die Digitalkamera weiterhin an dem Rechner angeschlossen werde, der USB-Speicherstick am selben Port ist dagegen nutzlos. Eine Reporting-Funktion dokumentiert genau, welcher Nutzer wann worauf zugreift. Drivelock ist in erster Linie für Firmen mit mehr als 25 Mitarbeitern gedacht. Die Mindestbestellmenge an Lizenzen beträgt 25, eine Lizenz kostet 25 Euro.

Sicherheit bei PCMCIA und Cardreadern

Sicherheitslücken beim USB Bus

Nicht nur USB ist betroffen Firewire, PCMCIA und Cardreader

Was für den USB-Port gilt, trifft auch auf die anderen Schnittstellen im Rechner wie Firewire, Parallel-Port oder Bluetooth zu. Über jede I/O-Schnittstelle, über die Daten gesendet und empfangen werden, kann theoretisch unerlaubt zugegriffen werden. Auch für diese Schnittstellen hat Windows keine Security-Tools an Bord; die Software-Industrie hat aber Tools parat, die eine Rechte- und Zugriffskontrolle erlauben. So kann das bereits oben genannte Programm USB-Port-Administration die Nutzung von Firewire- und PCMCIA-Geräten sowie DVD- und CD-Rom-Laufwerken steuern.

Windows Vista schützt USB-Ports

Microsoft legt mit Windows Vista bei den Security-Funktionen nach. Über Gruppenrichtlinien lassen sich gezielt USB-Geräte für den Zugriff sperren und erlauben. Stecken Sie das Gerät an und wählen Sie es im Gerätemanager aus. Über das Kontextmenü und Eigenschaften können Sie bei Details die Hardware-ID auswählen. Kopieren Sie die erste Zeile in eine Textdatei und speichern Sie sie ab ? die ID ist später nötig. Klicken Sie das Gerät im Gerätemanager mit der rechten Maustaste an und wählen Sie Deinstallieren. Öffnen Sie über den Windows-Button mit mmc gpedit.msc den Gruppenrichtlinien-Editor. Unter Computer-Konfiguration wählen Sie Administrative Templates/System und dann Device Installation. Wählen Sie Prevent installation of devices not described by other policy und setzen Sie ihn über das Kontextmenü auf Enabled. Das Gleiche machen Sie mit dem Eintrag Allow administrators to override device installation policy. Schließen Sie den Editor, starten Sie eine Kommandozeile und tippen Sie den Befehl gpupdate /force ein. Im letzten Schritt wählen Sie die Richtlinie Allow installation of devices that match any of these device IDs aus und setzen sie auf Enabled. In die Liste kopieren Sie dann die Hardware-ID des zu erlaubenden USB-Sticks.

USB-Lücken

Sicherheitslücken beim USB Bus

USB-trojaner Slurp

Slurp 2.0 ist ein Trojaner, der sich auf den Einfall in Systeme per USB-Stick spezialisert hat. Die Schadroutine startet automatisch von U3-Sticks und saugt vertrauliche Daten ab.

USB-Sicherheit in Firmen

Nach einer Umfrage des Security-Unternehmens Pointsec (www.pointsec.com) haben nur 34 Prozent der britischen Unternehmen Sicherheitsstrategien für mobile Datenspeicher definiert. Der Rest ignoriert das Problem noch (befragt wurden 250 IT-Verantwortliche).


Die iPod-Lücke

Apples kultiger Player iPod steht nicht nur als Namenspatron für Podcasts bereit, sondern hat sich auch bei Datendieben einen Namen gemacht. Der neueste Trend heißt Podslurping und bezeichnet das Absaugen über USB.

USB-Schutz im Detail

Sicherheitslücken beim USB Bus

XP-Defizit

Windows XP kann den Zugriff auf USB-Ports nicht an Benutzerkonten binden. So ist es nicht möglich, zu sagen, Nutzer A darf seinen USB-Stick verwenden, Nutzer B aber nicht.

Device Pro 2006

Das Programm verwaltet den Zugriff auf fast alle Geräte, die man an den PC anschließen kann, etwa USB-Sticks, Speicherkarten oder Bluetooth- Adapter. Die Rechte können auf Benutzer- oder Gruppen-ebene angepasst werden. Bis Ende September können zehn Lizenzen kostenlos von der Webseite geladen werden. www.devicepro.de

Sicherheitstest

Darkreading.com führt einen Sicherheitstest mit 20 USB-Sticks durch. Nachzulesen ist der Artikel vom 7. Juni auf der Internetseite unter der Rubrik Host Security. www.darkreading.com

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus