Channel Security

Fremde Hardware, die von Mitarbeitern oder Besuchern in das Unternehmen mitgebracht wird, kann zu einer Gefahr für das Unternehmen werden. Den Anfang macht die heute gebräuchlichste "Mitnahme-Hardware":

USB-Massenspeicher

USB-Massenspeicher verbinden große Kapazitäten und schnelle Zugriffszeiten mit oft sehr kleinen Abmessungen. Sie ermöglichen zwei Angriffe: Zum einen können darüber Schadprogramme eingeschleust, zum anderen großen Datenmengen unauffällig kopiert werden. Zum Einschleusen von Schadprogrammen muss der Angreifer meist nur einen entsprechend präparierten USB-Stick einem Mitarbeiter zuspielen. Dessen Neugier führt dann dazu, dass er den USB-Stick an seinem Arbeitsplatzrechner anschließt. Je nach Konfiguration startet der Schädling danach automatisch (Autorun/Autostart) oder wird vom Mitarbeiter beim Start eines anscheinend harmlosen Programms mit gestartet. Ebenso können durch präparierte Dateien Schwachstellen in Anwendungsprogrammen ausgenutzt werden. Zur Ausnutzung der AutoRun-Funktion zur Installation eines Virus siehe auch den 'Standpunkt Sicherheit' vom 24. September 2007. Autorun und Autostart sollten deshalb, wenn möglich, deaktiviert werden.

Sowohl böswillige Mitarbeiter als auch Eindringlinge, die sich Zugriff auf einen Rechner verschaffen konnten, können dafür vorbereitete USB-Massenspeicher verwenden, um automatisch bestimmte Daten auf den Massenspeicher zu kopieren. Dieser 'Podslurping' genannte Angriff ist ebenso einfach wie effektiv: Über die Autorun-Funktion von Windows wird ein Programm gestartet, das vorher festgelegte Dateien auf den Massenspeicher, z.B. einen USB-Stick oder MP3-Player, kopiert.

Ein USB-Gerät könnte außerdem außer der offiziellen Funktion weitere, versteckte Funktionen enthalten. Es könnte z.B. als Tastatur agieren und beim Anschluss an einen Rechner automatisch vorher festgelegte Angriffe durchführen. Da man einem solchen Gerät diese Funktion nicht ansieht, könnte z.B. eine explizit erlaubte, inzwischen präparierte USB-Festplatte beim Anschluss an einen Rechner zu einem Angriff führen.

Als naheliegendste Gegenmaßnahme bietet es sich an, die USB-Anschlüsse zu deaktivieren oder mechanisch unzugänglich zu machen. Konnte man früher bei Arbeitsplatzrechnern problemlos auf Diskettenlaufwerke verzichten, ist das beim USB-Anschluss zumindest heutzutage nicht mehr möglich, da er auch für den Anschluss von Tastatur und Maus benötigt wird. Da "gar kein USB-Anschluss" nicht möglich ist, muss eine feinere Lösung gefunden werden. Die einfachste Möglichkeit besteht darin, alle USB-Massenspeicher auf Betriebssystemebene zu verbieten. Eine entsprechende Anleitung für Windows XP gibt es hier. Danach können noch Tastatur und Maus genutzt werden, aber keine USB-Massenspeicher. Oft ist aber die Nutzung bestimmter Massenspeicher erwünscht, sodass eine genauere Steuerung, welche Geräte zugelassen sind und welche nicht, benötigt wird. In Windows Vista lässt sich der Zugriff auf USB-Geräte über die Gruppenrichtlinien relativ fein steuern. Zusatzprogramme, wie z.B. die im Bericht von der CeBIT 2006 vorgestellten, erlauben außer der Kontrolle von USB-Geräten auch die anderer Peripheriegeräte einschließlich Bluetooth oder WLAN.

Firewire-Geräte

Ein weiteres Problem sind Firewire-/IEEE1394-Geräte. Außer den gleichen Angriffsmöglichkeiten wie bei USB-Geräten stellen sie ein weiteres Risiko dar, das erstmals 2004 beschrieben wurde (PacSec/core04: 0wned by an iPod - hacking by Firewire; 21C3: Hacking with Fire; CanSecWest/core05: FireWire - all your memory are belong to us): Die OHCI-Spezifikation (Open Host Controller Interface) erlaubt Clients den direkten Zugriff auf den Speicher des Hosts. Dabei werden sämtliche Beschränkungen des Betriebssystems umgangen. Ein bösartiges Gerät kann nahezu beliebige Speicherbereiche lesen und schreiben. Dies kann ausgenutzt werden, um vertrauliche Daten wie z.B. Passwörter zu lesen, die eigenen Benutzerrechte zu erhöhen oder beliebigen Code einzuschleusen. Ein Angreifer, der Zugang zu einem Firewire-Port hat, kann dadurch die vollständige Kontrolle über das jeweilige Gerät erlangen. OHCI sieht Schutzfunktionen vor, die über Filter den Zugriff generell verhindern oder die Kontrolle dem Betriebssystem des Hosts übertragen. Diese sind jedoch teilweise nicht implementiert, schwierig zu konfigurieren oder arbeiten fehlerhaft.

Als Gegenmaßnahme bleibt, sofern Schutzfunktionen nicht vorhanden sind oder nicht korrekt funktionieren, nur die Möglichkeit, die Firewire-Schnittstelle zu deaktivieren oder mechanisch unzugänglich zu machen.

WLAN-Access-Points

Ein von einem Mitarbeiter zur eigenen Bequemlichkeit installierter WLAN-Access-Point stellt eine gefährliche Hintertür in das lokale Netz dar: Ein Angreifer kann darüber unter Umgehung sämtlicher Schutzfunktionen in das Netz eindringen. Dagegen helfen regelmäßige Kontrollen des Netzwerks auf fremde Geräte.

Ab der nächsten Folge geht es wieder um die Sicherheit von Webanwendungen, zuerst um Cross-Site-Request-Forgery.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Mobile Security - Notebooks und fremde Hardware"

• About Security #123: Mobile Security – Schutz für Notebooks
• About Security #124: Mobile Security – Schutz für Notebooks, Teil 2
• About Security #125: Mobile Security – Schutz für Notebooks, Teil 3
• About Security #126: Gefahren durch fremde Hardware