the only Linux forum

• About this group
• Forums

• Home
• Groups
• the only Linux forum
• Forums
• Linux-Distribution
• Heise Online: Linux via USB zu kapern

• 
  Rolf Schaumburg    Group moderator

  The company name is only visible to registered members.

  Heise Online: Linux via USB zu kapern

  Hallo liebe Mitglieder (w/m),
  
  habe heute etwas überrascht diesen Artikel gelesen:
  
  http://www.heise.de/newsticker/meldung/Linux-via-USB-zu-kape...
  
  Auszug: MRW hat anscheinend sogar ein solches USB-Device zusammengebastelt und lästert in einem Tweet über "Linux plug&pwn". Der Spott trifft das Open-Source-System nicht ganz zu Unrecht – sind doch Pufferüberläufe auf Grund von strcpy() eigentlich ein Problem aus dem letzten Jahrtausend. So hat etwa Microsoft die Funktion bereits vor einigen Jahren auf die Liste der geächteten Funktionsaufrufe gesetzt; mit der Folge, dass Entwickler keinen Code mehr einchecken können, der die inkriminierte Funktion verwendet. Dass dieser Funktionsaufruf in einem Linux-Kernel-Treiber erst am 14.2.2011 durch das sicherere strlcpy() mit Längenprüfung ersetzt wurde, spricht nicht gerade für deren Qualität.
  Ob man sich diesem Spott nun anschließen will oder nicht ist jedem seine eigene Entscheidung. Ich persönlich halte ihn nicht für angebracht, wichtiger ist m.E. nach zu wissen dass es diese Sicherheitslücke gibt - die mit Sicherheit aber auch kurzfristig geschlossen werden wird - und entsprechend vorsichtig mit dem Zugang zu USB Ports umgegangen wird.
  
  Noch ein Hinweis aus eigener beruflicher Erfahrung: die Gefährdung durch bekannte Personen ist wesentlich größer als durch Unbekannte, die versuchen Zugang zum eigenen Rechner zu bekommen. Warum? Einem Bekannten erlaubt man i.d.R. ohne weiteres einen USB Stick an den eigenen Rechner anzuschließen, wenn dieser etwas interessantes zeigen will - Bilder, ein Video, ein Tabelle, ein Programm etc. - ohne zu wissen, dass der USB-Stick, den er irgendwo geschenkt bekommen hat, bereits mit Malware präpariert wurde. Und Hand auf's Herz, wie viel Prozent der Nutzer scannen zeitaufwendig ein externes Speichermedium beim einstecken erst einmal?
  
  Eine malwarefreie Woche wünscht
  Rolf Schaumburg
  
  • 08 Mar 2011, 09:39 am
  Rolf Schaumburg wrote: > Hallo liebe Mitglieder (w/m), > > habe heute etwas überrascht diesen Artikel gelesen: > > http://www.heise.de/newsticker/meldung/Linux-via-USB-zu-kapern-1203501.html > > > Auszug: MRW hat anscheinend sogar ein solches USB-Device > > zusammengebastelt und lästert in einem Tweet über "Linux plug&pwn". > > Der Spott trifft das Open-Source-System nicht ganz zu Unrecht – sind > > doch Pufferüberläufe auf Grund von strcpy() eigentlich ein Problem > > aus dem letzten Jahrtausend. So hat etwa Microsoft die Funktion > > bereits vor einigen Jahren auf die Liste der geächteten > > Funktionsaufrufe gesetzt; mit der Folge, dass Entwickler keinen Code > > mehr einchecken können, der die inkriminierte Funktion verwendet. > > Dass dieser Funktionsaufruf in einem Linux-Kernel-Treiber erst am > > 14.2.2011 durch das sicherere strlcpy() mit Längenprüfung ersetzt > > wurde, spricht nicht gerade für deren Qualität. > > Ob man sich diesem Spott nun anschließen will oder nicht ist jedem > seine eigene Entscheidung. Ich persönlich halte ihn nicht für > angebracht, wichtiger ist m.E. nach zu wissen dass es diese > Sicherheitslücke gibt - die mit Sicherheit aber auch kurzfristig > geschlossen werden wird - und entsprechend vorsichtig mit dem Zugang > zu USB Ports umgegangen wird. > > Noch ein Hinweis aus eigener beruflicher Erfahrung: die Gefährdung > durch bekannte Personen ist wesentlich größer als durch Unbekannte, > die versuchen Zugang zum eigenen Rechner zu bekommen. Warum? Einem > Bekannten erlaubt man i.d.R. ohne weiteres einen USB Stick an den > eigenen Rechner anzuschließen, wenn dieser etwas interessantes zeigen > will - Bilder, ein Video, ein Tabelle, ein Programm etc. - ohne zu > wissen, dass der USB-Stick, den er irgendwo geschenkt bekommen hat, > bereits mit Malware präpariert wurde. Und Hand auf's Herz, wie viel > Prozent der Nutzer scannen zeitaufwendig ein externes Speichermedium > beim einstecken erst einmal? > > Eine malwarefreie Woche wünscht > Rolf Schaumburg
• Post visible to registered members
• 
  Rolf Schaumburg    Group moderator

  The company name is only visible to registered members.

  Re^2: Heise Online: Linux via USB zu kapern

  Hi Marko,
  
  für mich ist die Ansage das es möglich ist über den Caiaq-USB-Treiber Aussage genug, das man nicht lästern sollte. Damit ist klar, das es sich hierbei nicht um ein grundsätzliches Problem in Form einer Schwachstelle in der Architektur handelt.
  Ein grundsätzliches Problem ist es schon, da überall wo "alsa" installiert ist auch "snd-usb-caiaq" installiert ist.
  
  • 08 Mar 2011, 10:26 am
  Rolf Schaumburg wrote: > Hi Marko, > > > für mich ist die Ansage das es möglich ist über den Caiaq-USB-Treiber > > Aussage genug, das man nicht lästern sollte. Damit ist klar, das es > > sich hierbei nicht um ein grundsätzliches Problem in Form einer > > Schwachstelle in der Architektur handelt. > > Ein grundsätzliches Problem ist es schon, da überall wo "alsa" > installiert ist auch "snd-usb-caiaq" installiert ist.
• Post visible to registered members
• Post visible to registered members
• 
  Thomas Wallutis    Premium Member

  The company name is only visible to registered members.

  Re^4: Heise Online: Linux via USB zu kapern

  Hi,
  
  Zudem betrachte ich das lokale Ausnutzen einer Schwachstelle nicht kritisch. Dumm wer andere so nah an seine Kiste lässt :)
  wer bist du und wann hat man dich gegen den echten MR ausgetauscht?
  
  Was mache ich, wenn der Kollege mir den Stick mit der Präsentation gibt? Wohin mit dem Laptop, wenn ich im Zug sitze und mal austreten muss?
  
  Die Haltung finde ich etwas kurzsichtig.
  
  Bis denn
  
  Thomas
  
  • 08 Mar 2011, 11:33 am
  Thomas Wallutis wrote: > Hi, > > > Zudem betrachte ich das lokale Ausnutzen einer Schwachstelle nicht > > kritisch. Dumm wer andere so nah an seine Kiste lässt :) > > wer bist du und wann hat man dich gegen den echten MR ausgetauscht? > > Was mache ich, wenn der Kollege mir den Stick mit der Präsentation > gibt? Wohin mit dem Laptop, wenn ich im Zug sitze und mal austreten > muss? > > Die Haltung finde ich etwas kurzsichtig. > > Bis denn > > Thomas
• Post visible to registered members
• 
  Thomas Wallutis    Premium Member

  The company name is only visible to registered members.

  Re^6: Heise Online: Linux via USB zu kapern

  Hi,
  
  wer bist du und wann hat man dich gegen den echten MR ausgetauscht?
   
  Bei mir hat sich dahin gehend nichts geändert ;)
  dann bin ich ja beruhigt.
  
  Was mache ich, wenn der Kollege mir den Stick mit der Präsentation gibt? Wohin mit dem Laptop, wenn ich im Zug sitze und mal austreten muss?
   
  Ich persönlich würde mehr als gerne auf so etwas verzichten und tue es auch.
  Demnach ist meine Haltung nicht kurzsichtig, sondern der Sicherheit gediegen.
  Ich wollte damit nur andeuten dass es immer Situationen gibt, bei denen man sein Gerät mal kurz nicht im Blick hat. Dazu braucht man sich auf einer Konferenz nur mal kurz umdrehen.
  
  Man kann sich zwar relativ leicht vor Ausnutzung schützen, aber peinlich ist die Verwendung solcher Funktionen schon.
  
  Bis denn
  
  Thomas
  
  • 08 Mar 2011, 11:43 am
  Thomas Wallutis wrote: > Hi, > > > > wer bist du und wann hat man dich gegen den echten MR ausgetauscht? > > > > Bei mir hat sich dahin gehend nichts geändert ;) > > dann bin ich ja beruhigt. > > > > Was mache ich, wenn der Kollege mir den Stick mit der Präsentation > > > gibt? Wohin mit dem Laptop, wenn ich im Zug sitze und mal austreten > > > muss? > > > > Ich persönlich würde mehr als gerne auf so etwas verzichten und tue > > es auch. > > Demnach ist meine Haltung nicht kurzsichtig, sondern der Sicherheit > > gediegen. > > Ich wollte damit nur andeuten dass es immer Situationen gibt, bei > denen man sein Gerät mal kurz nicht im Blick hat. Dazu braucht man > sich auf einer Konferenz nur mal kurz umdrehen. > > Man kann sich zwar relativ leicht vor Ausnutzung schützen, aber > peinlich ist die Verwendung solcher Funktionen schon. > > Bis denn > > Thomas
• 
  Rolf Schaumburg    Group moderator

  The company name is only visible to registered members.

  Re^4: Heise Online: Linux via USB zu kapern

  Rolf, das ist richtig. Hebelt aber aus meiner Sicht dennoch Linux nicht aus.
  Marko, das habe ich damit auch nicht sagen wollen, zumal diese kritische Funktion jetzt bald ausgewechselt sein wird.
  
  Und Sicherheit ist mein Business :)
  Sicherheit war mein Business, gehe jetzt lieber segeln :-))
  
  Zudem betrachte ich das lokale Ausnutzen einer Schwachstelle nicht kritisch. Dumm wer andere so nah an seine Kiste lässt :)
  Das ist ein weit verbreiteter Irrtum. Z.B. sind Gewohnheit, Neugierde, Bequemlichkeit etc. permanente, lokale Schwachstellen und werden kontinuierlich übersehen, weil sich alles nur auf die Bedrohung aus dem Internet konzentriert. Und ich wiederhole: lokal sind Bekannte gefährlicher als Fremde, diese werden i.d.R. argwöhnischer beobachtet, hingegen z.B. Arbeitskollegen, die die letzten Partybilder zeigen wollen, wird das Einstecken eines USB Sticks nicht verwehrt. Dem Kollegen auf besagter Party einen infizierten Stick unter zu jubeln ist wohl kein Problem.
  
  
  LG Rolf
  
  • 08 Mar 2011, 11:56 am
  Rolf Schaumburg wrote: > > Rolf, das ist richtig. Hebelt aber aus meiner Sicht dennoch Linux > > nicht aus. > > Marko, das habe ich damit auch nicht sagen wollen, zumal diese > kritische Funktion jetzt bald ausgewechselt sein wird. > > > Und Sicherheit ist mein Business :) > > Sicherheit war mein Business, gehe jetzt lieber segeln :-)) > > > Zudem betrachte ich das lokale Ausnutzen einer Schwachstelle nicht > > kritisch. Dumm wer andere so nah an seine Kiste lässt :) > > Das ist ein weit verbreiteter Irrtum. Z.B. sind Gewohnheit, > Neugierde, Bequemlichkeit etc. permanente, lokale Schwachstellen und > werden kontinuierlich übersehen, weil sich alles nur auf die > Bedrohung aus dem Internet konzentriert. Und ich wiederhole: lokal > sind Bekannte gefährlicher als Fremde, diese werden i.d.R. > argwöhnischer beobachtet, hingegen z.B. Arbeitskollegen, die die > letzten Partybilder zeigen wollen, wird das Einstecken eines USB > Sticks nicht verwehrt. Dem Kollegen auf besagter Party einen > infizierten Stick unter zu jubeln ist wohl kein Problem. > > > LG Rolf
• Post visible to registered members

• Back
• 1
• 2
• 3
• Next