externe Lösung für die Überprüfung von USB-Sticks
 

Hallo Trojis,
ich wende mich an euch da Google bei bei meinen Versuchen eine Lösung zu finden versagt.

Ich wurde nun bereits mehrfach von Personen angesprochen für eine Lösung einen USB-Stick von Kunden/Patienten etc. auf Viren zu überprüfen. Leider habe ich namentlich auch keinen Oberbegriff für diese Suche und daher erhalte ich eher Lösungen von Google geschmissen für einen Rettungs/Recover-USBStick.

Ich traf bereits jemanden der mir verriet dass es eine externe Lösung gibt (in Form eines kleinen Cubes mit 4 USB-Ports) welche die Daten auf dem USB-Stick in eine oder mehrere .PDFs verpackt und in ein lokales Verzeichnis verschiebt. Leider wusste auch dieser nicht mehr wie so ein Cube heißt oder wo man ihn bekommen (Hersteller). Es ist mit Sicherheit auch nicht die super Lösung aber ich denke bereits so ist es eine Erste-Hilfe-Maßnahme und somit wäre ich daran wirklich interessiert.


Ich würde mich also freuen wenn ihr mir bei dieser Suche behilflich sein könntet und vielleicht, sofern es bereits Erfahrung mit solch einen Gerät gibt, auch ein paar Tipps/Empfehlungen geben könntet.


// Falls es hierzu bereits Threads gibt tut es mir Leid einen weiteren darüber aufgemacht zu haben, gleiches falls es im falschen Unterforum ist. Auch hier bin ich in der SuFu einfach nicht fündig geworden :balla:


Vielen Dank im Vorfeld für jede Teilnahme an diesem Thread! :dankeschoen:

Letztendlich wäre so ein "Cube" wieder eine proprietäre Lösung, d.h. sobald der Hersteller das Interesse verliert (oder pleite geht) fehlen euch die Antiviren Signaturen.

Aus meiner Sicht die einzig vernünftige und sichere Lösung: ein Linux auf einem dedizierten Rechner in dem man den Stick erstmal öffnet und scant. (Viele AV Anbieter bieten AV Software an die unter Linux nach Windows Schädlingen sucht. Dies wird z.B. für Mailserver gerne genutzt).

Dort hat man dann auch die Möglichkeit die Autostart Datei des Sticks zu deaktivieren und eventuelle verdächtige Dateien auf eine Seite wie Virustotal hochzuladen.

Eine kostengünstige Lösung wäre auf die C't Disinfec't zu warten die jetzt im März oder April neu herauskommen dürfte, in der Regel drei etablierte AV Programme und das Recht die Signaturen ein Jahr zu aktualisieren enthält. Für den ganz normalen C't Heftpreis eine sehr kostengünstige Sache.

Bei Virenscanner in Linux installiert bekomm ich Bauschmerzen. Die meisten AVs machen unixoide Systeme eher kaputt :balla:

Und irgendwie hab ich den Eindruck, dass hier wieder vergessen wird, dass ein Virenscanner niemals alle Schädlinge finden kann also keine 100% Rate haben kann.

Man kann aber den Stick erstmal mit Linux sichten und dann legitime saubere Files dann zentral auf nem Fileserver ablegen. Auf diesem kommt man mit Windows ja auch wieder rauf. Sofern es nicht reicht, einfach mit dem Linux-System das Dokument zu öffnen.

Wenn jemand meint sein eigenes Linux mit einem Echtzeitscanner laufend prüfen zu müssen (wie unter Windows) stimme ich dir zu.

Wenn aber unter Linux Scanner nur Dateien prüfen die für Windows Geräte gedacht sind (Mailserver, Samba Server) sehe ich das ganz anders.

Die C't ist ein besonderes Ding, da haben sich Heise Redakteure viel Mühe gemacht diverse AV Scanner in ein Ubuntu so einzubauen dass auch ein Laie davon (USB Stick oder notfalls CD) booten kann, AV scans auf der Windows Installation durchführen kann und die Daten leicht jemandem zugänglich machen kann der etwas davon versteht (Logdateien kopieren, Teamviewer starten ...).

Das und ein Jahr Signaturupdates für AV Scanner wie typischerweise Bitdefender und Kaspersky ... für den Preis des ganz normalen C't Hefts.

Daher bin ich auch so ein Fan davon. Selbst die Grundeinstellungen sind super, ClamAV ist grundsätzlich ausgeschaltet ;)

Gerade meine anderen Kollegen raten von diesen Live-AV-Systemen komplett ab. Und ich finde das auch zu Recht:

1. hat ein AV ein false positive löscht es rücksichtslos die Datei - es gibt dann kein Log darüber und der Laie, dem dieses AV-Rescue-System empfohlen wurde, steht dann im Regen mit einem nobooter und vermutlich komplett defektem System da

2. können wir im TB die Kisten auch so reinigen und für Kontrollscans kommt dann sowas wie Malwarebytes, ESET Online oder Emsisoft Emergeny Kit zum Einsatz

Hat Larusso erst letztens hier gepostet => http://www.trojaner-board.de/184332-...ml#post1639184


Also ich finde wenn wir hier in diesem Fall dem TO "fjet" ne zweite Kiste mit Linux empfehlen, dann ein fest installiertes wie zB Ubuntu MATE.

Die Live-Systeme haben auch den gravierenden Nachteil, dass sie vom Patchstand her eingefroren sind. D.h. irgendwann ist das System veraltet. Ein installiertes System kann man immer updaten über die Paketverwaltung.

Stimmt für alle, außer für die Disinfec't.

Die "mounted" die Windows Platten erstmal nur "readonly" und generiert nur Logs. Wer den Artikel im Heft liest liest dass man diese Logs mit jemandem der sich auskennt durchsprechen soll bevor man was löscht.

Die Disinfec't basiert auf Ubuntu und ist dazu gedacht auf bootbarem USB Stick installiert zu werden, d.h. es aktualisiert sich sowohl das Betriebssystem als auch die Virensignaturen.

Generell teile ich eure Kritik dieser Live Systeme, bei Disinfec't gilt sie ausnahmsweise nicht, sonst hätte ich die auch nicht empfohlen.

Wenn der TE ein "normales" Linux installiert muss er evtl. die Lizenzen für die AV Updates separat bezahlen, dann wird es definitiv teurer als die paar Euro fürs Heft, außerdem erfordert es recht gute Kenntnisse unter Linux AV Scanner so zu installieren dass sie nicht nerven (unter Windows kann ich AV Scanner gar nicht so installieren, da hänge ich komplett von den Auswahlboxen des AV Herstellers ab).

Daher mein Vorschlag.

Also kurz: deine Vorbehalte sind berechtigt, bei Disinfec't haben die Heise Redakteure aber gründlich gearbeitet so dass diese Probleme da nicht auftreten.

Ganze Artikel lesen? :wtf: das macht doch kein DAU :blabla:

Deswegen mountet die Disinfec't read only. Dann kann ein DAU auch nix löschen.

Disinfec'T löscht übrigens nie sondern benennt nur um (glaube .virus). D.h. auch der Super DAU kann bei Fehlalarmen die Datei wiederherstellen wenn er die Kiste erst mal write gemounted hat. Bei der Disinfec't muss man sich schon arg anstrengen (z.B. die Registry editieren oder Systemdateien löschen) um sich das System zu verballern.

Grüße,

Bereits dieser eine von mir unbedachte Punkt hat mich bereits von der Idee hinter solch einen Cube nun wieder abschrecken lassen. Wenn ich solch ein Gerät bei den "großen" Herstellern nicht finde dann 1. vermutlich auch zurecht und 2. möchte ich keinen von einer evtl. bald fallen gelassenen kleinen Bude kaufen. Vielen Dank für die vielen tollen Beiträge.

Selbst ein großer Hersteller wäre da keine Garantie:

Denk an Windows Phone, angeblich ein gutes System, aber eine Sackgasse.
Oder an all die Samsung Handys die ein Schweinegeld kosten und spätestens nach zwei Jahren keine Sicherheitsupdates mehr bekommen (bin da sehr enttäuscht).

Generell muss man mit "Lock In" Lösungen extrem aufpassen, dann lieber etwas unter eigener Kontrolle, auch wenn es erst mal mehr Arbeit ist.

Wenn es so mehr Arbeit macht, dann kann man einen zweiten Rechner mit installiertem Linux nehmen und die Dokumente erst da sichten. Wenn die Dateien ok sind kann man sie bei Bedarf ja auf ein Fileserver schieben sodass man mit dem Windows-Rechner wieder drankommt OHNE den Stick zu benutzen.


Keine Frage das ist umstänlich, aber Sicherheit war noch nie bequem.

Ganz platt: das ist das was ich an Stelle des Threaderstellers tun würde:

Erstmal Disinfec't auf einem Uralt Rechner installieren, auf dem die verdächtigen USBs inspizieren, "autorun.inf" etc. lahmlegen und dann die Daten aufs Netz schieben.

Wenn Disinfec't mal nichtmehr angeboten werden sollte ein "normales" Linux (Ubuntu, Mate, Suse wasauchimmer) installieren und eine Lizenz eines AV Herstellers des geringsten Misstrauens erwerben. Den Scanner dann auf "on demand" stellen und ein udev Script das beim Einstecken eines Sticks automatisch den Scan startet.

Ist mehr Arbeit als die Disinfec't, daher würde ich den Aufwand auch erst treiben wenn ich weiß dass die Kollegen mitmachen. Falls die Kollegen Kundensticks nach wie vor "einfach in ihre WinDose" einstecken nützt der schönste Linux Rechner nichts.

Und nein, Linux ist für Windows Nutzer nicht mehr umständlich zu benutzen, umlernen muss nur derjenige der die Linux Kiste administriert- für reine Klick Nutzer verhält es sich so dass die meisten gar nicht merken dass sie Linux verwenden.

Ich meinte nicht, dass Linux umständlich ist, sondern dieser Workflow: nämlich den Stick erstmal nur an einem Linux-Rechner anzuschließen. Und da braucht man keinen Virenscanner um die Officedatei zu sichten. No

Aber wer diesen Aufwand nicht gehen will, muss halt mit dem Risiko leben wenn er ungeprüft gleich die Sticks in ein Windows-Rechner steckt

Wenn es nur darum geht, eine aktive Infektion zu bereinigen, und wenn der Stick nicht bootbar sein soll oder so, kann man doch einfach eins von folgenden Sachen machen:
a) Alle Dateien und Order, die man behalten will, irgendwo zwischenspeichern, Stick formatieren, Daten wieder drauf.
b) Versteckte Dateien sichtbar machen, alle Dateien und Ordner im Wurzelverzeichnis, die man nicht explizit behalten will, löschen.

Dann kann natürlich noch irgendeine verseuchte .exe oder was im Verzeichnisbaum vergraben liegen, aber das kann man dann ja auch unter Windows mit scannen oder halt, wenn man den entsprechenden Ordner öffnet und da unbekannte oder ausführbare Dateien sieht, die dann löschen. Die werden ja nicht mehr automatisch gestartet.

Ich glaube wir übersehen in der Diskussion eine Sache:
Ich glaube fiet sucht etwas das er Computerlaien in die Hand geben kann. Also Stick in nen Cube, warten, grünes Licht geht an, Stick ist sauber.

Daher mein Vorschlag mit Disinfec't oder einem "normalen" Linux mit AV Scanner: Stick rein, Scanner starten, Scanner sagt ist OK, Daten auf das Netzlaufwerk ( oder man schreibt eben ein Script das das automatisch tut).

Ich glaube nicht dass fiets Klientel sich zutraut selbst zu beurteilen ob Daten "sauber" sind wie es für viele hier (gerade Cosinus) kein Problem wäre.

Ich verstehe die Frage, bzw. die Angst ( die auch mit spielt ) nicht ganz !

Die Löhsungsvorschlge, mit Linux schon.

Aber was ist nun ein USB- Stick, USB Drive, etc...???

Ein Speichermedium, wie die fest eingebaute Festplatten, und andere Speicher Medien.

Da könnte JA überall MALWARE sich einniesten, und eventuelle unerkannt bleiben.

Aber ein gutes AV - Programm vor Ort installiert, auf einem Windows Rechner reicht wirklich nicht aus ?

Und 100 % Sicherheit gibt es eh nicht.

Oder man macht das ganze in eienr VM, Sandboxy.....

THN

Fiets Bedenken sind absolut berechtigt. Wenn er seine Kollegen überzeugen kann wäre ein separater Computer mit billiger Hardware zur Prüfung von USB Sticks absolut sinnvoll.

Nicht nur wegen Schadsoftware, sondern evtl. auch wg. "Scherzbolden" die so etwas als USB Stick einstecken:
https://www.heise.de/newsticker/meld...e-3630150.html

In Kurzform: diese Firma verkauft Dinger die aussehen wie handelsübliche USB Speichersticks, die eingesteckt aber mit Kondensatoren und einer Spule eine Überspannung auf den USB Port legen die in der Regel das ganze Gerät schrottet. Es gibt bestimmt auch kranke Leute die es für einen Scherz halten anderen solche "Sticks" unterzujubeln.

W_Dackel, beim Stick (der dir gehört und nicht bootbar sein soll) brauchst du doch nicht zu wissen, ob Dateien "sauber" sind. Was du nicht kennst und brauchst, kommt weg. Auch die sauberen ".Trash000" und "System Volume Information".
Kann halt nur sein, dass du z.B einen ChipInstaller-Download "kennst und brauchst". Aber ein Stick mit so was drauf wird dann halt noch mal unter Windows gescannt, er ist ja keineswegs mehr bein bloßen Anstecken gefährlich.

Trojanerhunter hat einfach den Ausgangspost nicht gelesen.

Es geht darum dass Fiet und seine Kollegen Daten von Kunden und Lieferanten auf deren USB Sticks erhalten und gerne testen würden ob diese Daten Schaden anrichten bevor sie die Sticks in Rechner die in ihrem Firmennetz stecken einstecken.

Wir haben also USB Sticks mit komplett unbekanntem Gefährdungspotential und Kollegen die evtl. nicht so IT affin sind wie die Foris hier. Das erfordert ein ganz anderes Vorgehen als das was ein Fori z.B. mit einem gefundenen Stick tun würde um den Besitzer zu finden.

Andere Lösung: USB nicht mehr akzeptieren, sondern andere Wege für den Datenaustausch finden zB E-Mail (gerne auch signiert und verschlüsselt) und als einziges erlaubtes Dokumentenformat PDF im Anhang.

Notfalls müssen für größere Datenmengen halt wieder DVDs gebruzzelt werden. Oder man einigt sich auf einen (S)FTP-Zugang, aber supereinfach und gleichzeitig sicher hoch drei ist ein Widerspruch, das geht nicht.

Den Sinn von DvDs bzw. CDs begreife ich in dem Zusammenhang nicht. Eine Scheibe kann zwar kaum deinen Rechner grillen wie der ESD Stick den ich oben verlinkt habe, aber wenn der Kunde die Dateien draufbrennt kann auch so ein Datenträger verseucht sein.

Du wirst dich erinnern dass man sogar .pdf mit Schadsoftware verseuchen kann. Ob das genutzt wird wisst Ihr TB Helfer besser als ich.

(S)FTP kannst du im Umgang mit nicht-IT Affinen Leuten vergessen, da wirst du einen Server einrichten müssen auf den die Leute Dateien per Browser hoch- oder runterladen können- und das wäre zum Beispiel eine gute Lösung (wird z.B. von einer lokalen Bank hier in der Gegend genau so gemacht).

Würd mich noch interessieren welche Lösung Fiet jetzt in seinem Betrieb vorgeschlagen hat.

Eine selbst gebruzzelte DVD war ja auch nur ein Vorschlag von vielen. Aber man hat da nicht so einen Gefahrenpotenial wie bei Sticks. Die Dokumente können verseucht sein, das stimmt. Aber das hast du egal über welches Austauschverfahren immer irgendwie. Nur halt eben das Problem mit dem rechnergrillenden Stick fällt weg und eine Gefahr eines Autorun-Schädlings wird auf einer selbstgebruzzelten Disc wohl auch nicht da sein.

Man solltesollte jetzt auch nicht nicht Teufel an die Wand malen sonst könnte man zum Schluss kommen, dass man die Rechner samt Internetanschluss am besten gleich einmottet :D

Klar, mit PDF kann man auch Exploits transportieren. Deswegen würde ich auch immer raten einen alternativen PDF-Betrachter zu verwenden. Unter Windows zB den PDF-XChange Viewer. Unter Linux hat sich hier bei mir Atril durchgesetzt, aber der ist auch vorinstalliert bei meiner Ubuntu MATE Installation.

Eine selbst gebruzzelte DVD war ja auch nur ein Vorschlag von vielen. Aber man hat da nicht so einen Gefahrenpotenial wie bei Sticks. Die Dokumente können verseucht sein, das stimmt. Aber das hast du egal über welches Austauschverfahren immer irgendwie. Nur halt eben das Problem mit dem rechnergrillenden Stick fällt weg und eine Gefahr eines Autorun-Schädlings wird auf einer selbstgebruzzelten Disc wohl auch nicht da sein.

Man solltesollte jetzt auch nicht nicht Teufel an die Wand malen sonst könnte man zum Schluss kommen, dass man die Rechner samt Internetanschluss am besten gleich einmottet :D

Klar, mit PDF kann man auch Exploits transportieren. Deswegen würde ich auch immer raten einen alternativen PDF-Betrachter zu verwenden. Unter Windows zB den PDF-XChange Viewer. Unter Linux hat sich hier bei mir Atril durchgesetzt, aber der ist auch vorinstalliert bei meiner Ubuntu MATE Installation.