Ich richtete meinen eigenen Passbolt-Server in einem Docker auf Debian ein. Nach der Installation der entsprechenden Browser-Erweiterung im Firefox besitze ich nun eine Datei „passbolt-recovery-kit.asc“. Diese Datei soll ich extern sichern. Also kaufte ich einen SanDisk USB-Stick.
Auf der Verpackung prangt - wie leider nicht anders zu erwarten - „Made in China“.
Wie kann ich sicher sein, dass ich mir beim Einstecken des Sticks in mein Macbook mit aktuellem macOS 26.3.1 nicht irgend eine fiese chinesische Spionagesoftware einfange?
Gibt es irgendeine Möglichkeit herauszufinden, ob in dem Stick wirklich nur ein Speicherchip und die für den Betrieb des Speicherchips nötige Technik verbaut ist und nicht doch auch irgendwelche bösartige Software oder Hardware?
Sogenannte Bad USB Device Attacks (auf die du ja auch verlinkt hast) werden nicht in der Masse ausgerollt, denn wie sollte man den richtigen treffen. Von hak5 gibt es nicht nur Bad USB Devices sondern auch Malicious Cable Detector (Malicious Cable Detector by O.MG). Dieser Detector sollte zumindest einen Teil solcher Angriffe erkennen können.
Ziehmlich sicher bist du, wenn du den Stick auseinander baust oder röngst.
Aber ich sehe nicht, dass das Risiko hoch ist, es sei denn, jemand hat in die Supply Chain eingegriffen (bei einem Versandhändler).
Im Falle eines Bad USB Devices geht es nicht darum, dass das OS eine SW vom USB Stick startet (wie die alten autorun.inf Angriffe), sondern dass das USB Gerät eine andere Hardware emuliert und den Host angreift.
stimmt, ich habe nur darauf abgezielt das sich der Stick als Speicher meldet. Aber generell muss man halt sagen: Originalverpackt vom Händler sehr unwahrscheinlich, dass der Stick ne Falle ist.
Das kannst Du nicht. Selbst Dein Macbook kommt aus China und das Betriebssystem aus Amerika - beides Länder die in diesem Bereich negativ aufgefallen sind.
Wenn Du den Stick jedoch originalverpackt in einem anonymen Elektronik-Markt kaufst, sollte zumindest ein gerichteter Angriff auf Dich als Person ausgeschlossen sein.
Bei einem ungerichteten (Massen-)Angriff kannst Du hoffen, dass man das zumindest irgendwann aus der Presse mitbekommt.
Ergänzend kannst Du den Stick direkt neu formatieren und keinerlei vorher vorhandene Daten / Programme auf dem Stick öffnen um Dein persönliches Risiko weiter zu minimieren.
Bei originalverpackten USB-Sticks aus dem gewöhnlichen Handel ist jegliches Risiko (abgesehen von schlechter Leistung oder Qualität der Sticks!) sowieso ein (signifikant) anderes als wenn Dir ein Exemplar gezielt zugespielt wird!
Die Wahrscheinlichkeit ist so gering, dass man sich keine Sorgen machen muss. Wenn dich jemand SO hacken wollen würde, wäre ein 0-Day Angriff auf dich einfacher. Wenn du auf nochmal sicher gehen willst: geh in ein elektrohandel, und kauf dir einen USB Stick von hinten
Ja. In der Praxis schon. Zu denken geben kann einem aber durchaus folgendes: Vor vielen Jahren wurden USB Sticks mit recycelten Speicherchips aus z.B. Smartphones bestückt und dabei sind dann auch nicht immer die Daten vor gelöscht worden. Bekannt wurde der Fall eines USB Sticks, der in Europa verkauft wurde und auf dem der Benutzer Fotos eines chilenischen Führerscheins gefunden hat (siehe Artikel der FAZ von 2017 Rätselhafte Daten auf fabrikneuen USB-Sticks, mittlerweile hinter einer Paywall). In Anbetracht der aktuellen Speicherkrise kann der Anteil recycelter Speicherchips ansteigen und damit zumindest die Wahrscheinlichkeit, keinen leeren USB Stick zu bekommen. Dass dieser dann eine Malware hat ist sicherlich weniger wahrscheinlich als ein 6er im Lotto.
SanDisk ist ja kein Noname Hersteller. Die Frage an dich wäre doch: Welche Marke empfiehlst du?
Das kann man nicht oft genug sagen. Die University of Illinois hat 2015 hierzu eine Studie gemacht (https://zakird.com/papers/usb.pdf). Ergebnis: Es hat 6 Minuten gedauert bis der erste USB Stick an einem Rechner benutzt wurde.
Zu letzterem gibt es ein interessantes Beispiel aus den USA von 2020: USB Sticks, die in Wahrheit ein Bad USB Devices waren, wurden als eine Geschenk von Best Buy über die Post verteilt (Would You Exchange Your Security for a Gift Card?).
Das ist interessant. Ich kenne Intenso-Sticks vor allem als rebranded No-Name-China-Billigware… M. W. kaufen die die Sticks von ziemlich vielen verschiedenen Produzenten zusammen, sodass die Qualität sehr stark schwankt. (Das ist jedenfalls mein Kenntnisstand von vor über 10 Jahren - viel substantielle Quellen dazu habe ich bei einer Kurzrecherche aber nicht dazu gefunden.)
Insgesamt gehe ich aber davon aus, dass die billigen und die teuren Sticks zum ganzen Teil aus den gleichen Fabriken kommen…
Zur Ausgangsfrage: Eine brauchbare Lösung für Normalverbraucher, eine physische Manipulation eines USB-Sticks zu erkennen, gibt es nicht. Das Risiko ist aber m. E. hinreichend gering, wenn man originalverpackte Neuware im Massenhandel kauft. Wenn du Bedenken hast, dass auf dem Stick selbst Schadsoftware ist, würde ich den Stick erst mal nur an einem Linux-Live-System ohne Internet- und Netzwerkzugriff anschließen und einmal komplett formatieren. Das ist prinzipiell auch bei Endgeräten mit vorinstalliertem OS zu empfehlen - schon wegen der ganzen Bloatware der Hardwarehersteller. Viel mehr kannst du als normaler User eigentlich nicht machen.
)