USB-Geräte - "plötzliche" Bedrohung

Published on December 13, 2018

USB-Geräte - "plötzliche" Bedrohung

    Eine neue Studie von Honeywell fand heraus, dass austauschbare USB-Laufwerke "plötzlich" eine Bedrohung darstellen, die als "signifikant und absichtlich" bezeichnet wird, um industrielle Prozesssteuerungsnetzwerke zu schützen.



    Der Bericht gibt an, dass mindestens eine Datei, die die Sicherheit bedrohte, von 44% der analysierten USB-Laufwerke erkannt und blockiert wurde.Ein Viertel (26%) der gefundenen Dateien konnte zu ernsthaften Schäden führen, wodurch die Bediener die Möglichkeit verlieren, den Fortschritt der Vorgänge zu sehen oder zu kontrollieren. Zu den erkannten Bedrohungen gehörten TRITON, Mirai und verschiedene Formen des Stuxnet-Wurms. Eine vergleichende Analyse ergab auch, dass herkömmliche Anti-Malware-Tools bis zu 11% der erkannten Bedrohungen nicht erkennen konnten.


    In Anbetracht dessen, dass die traditionelle Aufgabe, den Zugriff auf Unternehmensnetzwerke zu schützen und einzuschränken, traditionell mehr Aufmerksamkeit als die Kontrolle von Geräten ist, wird die Anfälligkeit von Organisationen für austauschbare USB-Speicher noch offensichtlicher.


    Sie werden jedoch oft zu wenig beachtet. Ein sensationelles Thema, das die Präsidentschaftswahlen 2016 in den USA begleitete, war das Hacken des Mailservers der Demokratischen Partei (DNC) mit Diebstahl zahlreicher Korrespondenz. Nach Angaben von Demokraten und Beamten wurde aus Rumänien gehackt, und russische Hacker oder Sonderdienste beteiligten sich an dem Fall, um zu versuchen, in die Wahlen einzugreifen - und alle anderen Fassungen sind nichts weiter als eine "Verschwörungstheorie".


    Alternative StudieDer technische Hintergrund des Skandals wurde von unabhängigen Teams qualifizierter Experten mit Erfahrung in den Bereichen Intelligenz, Forensik und Forensik durchgeführt. Die Schlussfolgerungen der Experten beruhten auf einer Schätzung des Volumens des angeblich rissigen Materials und der Datenübertragungsrate. Die Analyse der Metadaten ergab, dass am Abend des 5. Juli 2016 1976 Megabytes an Daten vom DNC-Server heruntergeladen wurden. Die Operation dauerte 87 Sekunden, was eine Datenübertragungsrate von 22,7 MB / s bedeutet. Gleichzeitig erlaubte kein Internet-Diensteanbieter, der vom Hacker 2016 genutzt werden konnte, die Datenübertragung in dieser Geschwindigkeit sowie durch die transatlantische Übertragung nach Rumänien. Die höchsten durchschnittlichen ISP-Geschwindigkeiten im ersten Halbjahr 2016 wurden von den Anbietern Xfinity und Cox Communications erreicht und lagen durchschnittlich bei 15,6 bzw. 14,7 MB / s. Spitzengeschwindigkeiten mit höheren Geschwindigkeiten wurden intermittierend aufgezeichnet, erreichen jedoch nicht die erforderlichen 22,7 Megabyte pro Sekunde. Dies bedeutet, dass die Geschwindigkeit, die für externes Hacking erforderlich ist, immer noch unerreichbar ist, was die Theorie des Hackens des Mail-Servers von außen widerlegt.


    Gleichzeitig ist eine Geschwindigkeit von 23 MB / s eine typische Übertragungsrate bei Verwendung eines USB 2-Flash-Laufwerks! Außerdem glauben Experten, dass die Menge der gestohlenen Daten für die Übertragung über das Internet zu groß ist. All dies lässt den Schluss zu, dass der Diebstahl von Daten vom DNC-Mail-Server durch eine Person erfolgte, die physischen Zugriff auf den Server hatte, indem sie Daten auf ein externes USB-Laufwerk übertrug.


    Vor nicht allzu langer Zeit wurde eine weitere sehr interessante Studie von australischen Experten der Universität von Adelaide veröffentlicht. Sie haben mehr als 50 Computer und externe USB-Hubs getestet und festgestellt, dass mehr als 90 Prozent von ihnen Informationen an ein externes USB-Gerät übertragen, das bei der Datenübertragung kein direktes Ziel ist. „ Es wurde angenommen , dass, da die Informationen nur auf dem direkten Weg zwischen dem USB-Gerät und dem Computer übertragen werden, ist es von potenziell kompromittiert Geräten geschützt ist “, - sagte Yuval Yarom « Aber unsere Forschung hat gezeigt , dass , wenn ein böswilliger Gerät, mit benachbarten Ports auf einem einzigen Derselbe externe oder interne USB-Hub können diese vertraulichen Informationen möglicherweise von einem böswilligen Gerät erfasst werden". Forscher haben herausgefunden, dass in einem USB-Hub ein Übersprechen ausläuft, wie etwa die Verteilung von Wasser in Rohren. Dies bedeutet, dass Sie die benachbarten Ports eines USB-Hubs verwenden können, um Daten böswillig zu stehlen. Um die Hypothese zu bestätigen, verwendeten die Forscher ein modifiziertes, kostengünstiges Gerät mit einem steckbaren USB-Anschluss, um jeden Tastenanschlag von einer nahegelegenen USB-Tastaturschnittstelle zu lesen. Danach wurden die erfassten Daten per Bluetooth an einen anderen Computer gesendet.


    Sowohl eine Studie einer australischen Universität als auch eine Analyse des Mail-Leakings von einem DNC-Server weisen direkt darauf hin, dass die Tendenz der letzten Jahre, das mit der Verwendung von USB-Geräten verbundene Bedrohungsrisiko durch Datenlecks zu vergessen und zu unterschätzen, völlig falsch oder sogar schädlich ist. Ja, heute laufen Messenger und Cloud-Speicher, aber die gute alte USB-Schnittstelle und ein primitives Flash-Laufwerk für ein paar Gigabyte stehen jedem potenziellen Angreifer in jeder Organisation zur Verfügung. Dies bedeutet, dass ihre Verwendung zum Diebstahl vertraulicher Informationen immer noch relevant ist einfacher und effizienter als ein Angriff durch den Außenumfang oder durch die Daten und die Post durch die Wolken. Darüber hinaus sollte die Möglichkeit eines Malware-Angriffs von einem austauschbaren USB-Laufwerk als potenzielle Bedrohung berücksichtigt werden.


    Für einige Organisationen, die die Bedrohung durch USB seit vielen Jahren ignoriert haben, tritt das Problem immer noch auf. Wie sie sagen, besser später als nie. So hat IBM im Frühjahr 2018 seinen Mitarbeitern die Verwendung von Wechselspeichergeräten verboten . In einem Newsletter für Mitarbeiter des Global CIO berichtete Shamla Naidoo, dass das Unternehmen " den Datentransfer auf alle tragbaren tragbaren Datenträger (USB, SD-Karte, Flash-Laufwerk) ausweitet.". Als Argument wurde ein möglicher finanzieller und Reputationsschaden durch Verlust oder falsche Verwendung von Wechselspeichermedien angeführt. Der Ansatz wurde radikal gewählt - einfach USB verbieten. Gleichzeitig wurden die Entwickler aufgefordert, ihren eigenen cloudbasierten Synchronisations- und Austauschdienst zum Speichern und Übertragen von Daten zu verwenden.


    Ein weiteres Monster der Weltwirtschaft, der Online-Händler Amazon.com, im Namen der Betrugsbekämpfung von Mitarbeitern, der Insider-Informationen mit unabhängigen Anbietern verschmolz, entließ mutmaßliche Mitarbeiter in den USA und Indien, weil sie angeblich illegal Zugang zu Insider-Informationen erhalten hatten. Um Betrug und Lecks zu vermeiden, hat das technische Personal von Amazon die Suche in der internen Datenbank eingeschränkt und die Verwendung von USB-Anschlüssen verboten.


    Wir wissen nicht, welche Methoden und Werkzeuge für die USB-Blockierung von IBM und Amazon ausgewählt wurden. Angesichts der Informationen, die IBM in Erwägung zieht, können Ausnahmen beim Sperren des USB-Anschlusses für einzelne Mitarbeiter vorgesehen werden. Dies ist kaum ein DLP-Produkt mit allen Funktionen.


    Leider funktionieren viele Lösungen, die als DLP positioniert sind, immer noch mit der USB-Schnittstelle und sind über diese auf Geräte-Manager-Ebene verbunden, indem Sie einfach das Gerät auf Anwendungsebene trennen oder den Start des Gerätetreibers verhindern. Eine solche "Verteidigung" ist nicht nur offen gesagt schwach, sondern auch potenziell gefährlich, da sie ein falsches Sicherheitsgefühl erzeugt - und sicherlich keinesfalls die Malware daran hindern kann, den Computer von einem USB-Flash-Laufwerk aus anzugreifen.


    Durch die flexible Kombination von Überwachungsfunktionen und Zugriffskontrolle auf Geräte, die über die USB-Schnittstelle angeschlossen sind, und die Steuerung der USB-Schnittstelle selbst wird eine qualitativ hochwertige Neutralisierung von Bedrohungen im Zusammenhang mit der USB-Schnittstelle erreicht, um Geräte zu steuern, die vom Betriebssystem nicht als Datenspeichergerät eingestuft werden, jedoch ein potenzieller Leckagekanal sind Infiltration von Daten oder Malware.


    Abschließend möchte ich darauf hinweisen, dass unser DeviceLock DLP- Produkt seit der 2003 veröffentlichten Version von DeviceLock 5.5 die vollständige Kontrolle über USB- und FireWire-Anschlüsse bietet. Mit DeviceLock DLP wird verhindert, dass Informationen von internen Eindringlingen über USB-Geräte, Wechseldatenträger, Festplatten und andere angeschlossene externe Geräte sowie über einen Druckkanal, E-Mail, Instant Messenger, Filesharing-Dienste und andere Datenübertragungskanäle gestohlen werden. Darüber hinaus bietet die Unterstützung für die Ereignisprotokollierung und das Kopieren von Schatten in DeviceLock DLP rechtliche Unterlagen und Nachweise für Zugriffsversuche und Fakten zum Kopieren bestimmter Daten.