USB-Geräte und usbauth

Wie immer gilt, wer direkten Zugang zur Hardware hat und clever genug ist, kann sich auch Zugriff auf ein Gerät verschaffen. Da wird usbauth, usbguard o.ä. nur bedingt helfen. Das nächste Problem ist dann, einen sicheren Platz für die "freigegebene Tastatur" ( unter dieser dann hoffentlich nicht die Zugangsdaten stehen ), zu finden.

Naja, dabei geht es ja nicht unbedingt um öffentlich zugängige Computer oder RPis, sondern darum sich selbst vor seinem "Konsumrausch" zu schützen. Wenn man z.B. in Amazonien bestellt, weiß man oft nicht wo genau die Ware her kommt oder welchen Weg die ging, ist aber auch egal. Das neue Telefon oder eine Kamera oder einen Miusikplayer oder eine HDD oder das Display (um das es im Artikel ging) oder was auch immer einen USB-Anschluss hat, verbindet man früher oder später mit dem Computer um Daten rauf oder runter zu laden. An diesem Punkt kann usbauth einem den Hintern retten.

Quote from hyle

Naja, dabei geht es ja nicht unbedingt um öffentlich zugängige Computer oder RPis, sondern darum sich selbst vor seinem "Konsumrausch" zu schützen. Wenn man z.B. in Amazonien bestellt, weiß man oft nicht wo genau die Ware her kommt oder welchen Weg die ging, ist aber auch egal. Das neue Telefon oder eine Kamera oder einen Miusikplayer oder eine HDD oder das Display (um das es im Artikel ging) oder was auch immer einen USB-Anschluss hat, verbindet man früher oder später mit dem Computer um Daten rauf oder runter zu laden. An diesem Punkt kann usbauth einem den Hintern retten.

Für diesen Fall, um sich selbst vor sich zu schützen, würde ich das Ganze als hoffnungslos betrachten. Leider gibt es keine 100% Sicherheit bei gekauften Geräten, die in welcher Art auch immer, Daten austauschen. Da kannst Du selbst vor Ort, mit im Fachhandel gekauften Geräten, eine Überraschung erleben. Letztendlich bleibt es bei einer Abwägung zwischen Funktion und Risiko. Also entweder bewusst ( stets wachsam ) mit dem Risiko leben, oder darauf verzichten.

Du hast offenbar nicht nachgelesen, was usbauth macht oder kann. Bei den 100% bin ich voll bei Dir, aber gut 95% von dieser Art von Angriffen kann man damit abfangen.

Wer sich für IT-Sicherheit und deren Rechtebeschränkung an der eigenen Hardware interessiert, sollte/kann sich bei QubesOS einlesen - das ist ein OS mit restriktivem Ansatz und deckt damit fundiert alle möglichen Aspekte ab, natürlich auch den Ansatz, die USB-Ports gegen "Alles mögliche" abzusichern.

Prinzipiell finde ich die "Offenheit" der gängigen OS und auch die von Hardware gerade wie Raspi's auf der einen Seite angenehm (weil saumäßig bequem), auf der anderen Seite halt auch viel zu lax.
Booten und bereits beim Bootvorgang zu legitimieren (sonst gibt es nicht mal Zugriff auf die Datenträger) wäre meins. Und natürlich jedem "kritischen" Programm (wie z.B. Browser) einfache Einstellungen, auf was die zugreifen dürfen (in einer Anwenderverständlichen knappen Übersicht) - gerne auch differenziert restriktiv in verschiedenen Profilen - fände ich auch super. Die Ansätze von SELinux, AppArmor, Snap, Flatpak und Co sind einfach zu technisch und die Vorgaben zu allgemein.

Um zurück zu dem Thema zu kommen - ja, einen 100%igen Schutz wird das nicht bieten, aber wenn die Hürde nur hoch genug ist, dann ist der Schutz real "mehr als gut genug".

Wir hatten so etwas mit dem Aufkommen von USB schon in der Firma diskutiert. Damals gab es eine Software für Windows welche USB schützen sollte, auch über ein Whitelisting.

Damals ging es primär um Schutz vor Programmen, also Speichersticks.

Was dem Hersteller bei uns letztendlich den Hals gebrochen hat war die Tatsache das man Sticks Sperren konnte aber die neue Digicam zulassen. Als ich dann in die Cam eine Speicherkarte mit Testsoftware einlegte führte Windows dies aus. Die konnten die Speicherkarte in der Kamera nicht whitelisten. Entweder Kamera oder nicht.

Ist lange her.

Aber ja, für einen Badusb ganz nützlich, auch wenn ich jetzt eher bei meinen Notebooks statt dem PI eine Anwendung sehen würde.