{"id":166582,"date":"2015-09-17T01:42:00","date_gmt":"2015-09-16T23:42:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=166582"},"modified":"2022-05-16T19:06:10","modified_gmt":"2022-05-16T17:06:10","slug":"fail-elsevier-verteilt-aktiven-usb-dongle-mit-webumleitung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2015\/09\/17\/fail-elsevier-verteilt-aktiven-usb-dongle-mit-webumleitung\/","title":{"rendered":"Fail: Elsevier verteilt aktiven USB-Dongle mit Webumleitung"},"content":{"rendered":"

\"\"Die Marketing-Aktion der niederl\u00e4ndischen Elsevier-Gruppe<\/a> d\u00fcrfte nach hinten losgehen. Du bekommst auf einer Konferenz einen vermeintlichen USB-Stick, der dich beim Einstecken pl\u00f6tzlich auf die Elsevier-Webseite umleiten will \u2013 BadUSB l\u00e4sst gr\u00fc\u00dfen (auch wenn das jetzt harmlos war).<\/p>\n

<\/p>\n

\"\"Dass man USB-Ger\u00e4te aus unbekannten Quellen m\u00f6glichst meidet, hatte ich im Artikel Black Hat 2014: USB-Ger\u00e4te als Sicherheitsrisiko<\/a> thematisiert. Und es gab im letzten Herbst den Artikel Unpatchbarer Exploit f\u00fcr BadUSB bekannt geworden<\/a> zu diesem Sicherheitsthema. Ein Design-Fehler im USB-Protokoll erm\u00f6glicht USB-Ger\u00e4ten, die vermeintlich Speichersticks sind, sich aber nachtr\u00e4glich als aktive Komponente wie Maus oder Tastatur zu registrieren. Dann kann die Komponente aktiv in das jeweilige Betriebssystem eingreifen.<\/p>\n

Elsevier hat nun auf einer Tagung einen USB-Stick (der einen Tastaturemulator enthielt) ausgegeben, der genau das macht. Als die ahnungslosen Teilnehmer den vermeintlichen USB-Stick an den Rechner einst\u00f6pselten, unterbrach dieser die aktuelle Sitzung des Nutzern, \u00fcbernahm den Fokus und schickte Tastatur-Eingaben, um die Elsevier-Webseite anzuzeigen. Sofern kein Internetzugang bestand, bekam der Benutzer dann eine Fehlerseite zu sehen. Simon Waldmann hat das in seinem Blog im Artikel Elsevier, that just freaked me out.<\/a> detaillierter beschrieben.<\/p>\n

Jemand vom Elsevier-Management kontaktierte Simon Waldmann darauf hin, um Details zu erfragen. Das f\u00fchrte zur Klarstellung, dass der Elsevier-USB-Stick keine BadUSB-Implementierung sondern einen Tastaturemulator darstellt. Aber die Stellungnahme von Tom Reller, Vizepr\u00e4sident f\u00fcr Global Corporate Relations offenbar die lockere Gesinnung in manchen Marketing-Teams.<\/p>\n

Hi Simon, I looked into this, and indeed there was nothing nefarious intended here. It's not something we do across our journal marketing teams, was just something one of them decided to pilot. They liked the idea of providing digital sample copies over print samples, which has some advantages. Any user can simply remove the device, but we can see how some people view this as invasive and we won't likely use them further.<\/p><\/blockquote>\n

Klaro, da versucht Microsoft alles m\u00f6gliche, um die AutoRun-Funkton f\u00fcr USB-Speichermedien unter Windows aus Sicherheitsgr\u00fcnden zu blockieren. Aber mit dem USB-Ansatz kannst Du das locker umgehen. Und prompt kommt so ein Marketing-Simpel auf die Idee, einen Piloten zu verteilen, der genau das mal ausprobiert. Idee war, den Lesern digitale Leseproben automatisiert anzuzeigen. Jetzt d\u00fcrfte man dar\u00fcber nachdenken, diese Leseproben oder Beispiele auf USB-Stick zu verteilen. D\u00fcmmer geht's (n)immer. Obwohl: Zur Konditionierung der Anwender, niemals so ein Goodie anzunehmen und zu verwenden, war das wohl lehrreich \u2013 und ob die Leute jetzt noch USB-Sticks von denen annehmen? Oder was meint ihr?<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Marketing-Aktion der niederl\u00e4ndischen Elsevier-Gruppe d\u00fcrfte nach hinten losgehen. Du bekommst auf einer Konferenz einen vermeintlichen USB-Stick, der dich beim Einstecken pl\u00f6tzlich auf die Elsevier-Webseite umleiten will \u2013 BadUSB l\u00e4sst gr\u00fc\u00dfen (auch wenn das jetzt harmlos war).<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[3648,4328],"class_list":["post-166582","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-badusb","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/166582","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=166582"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/166582\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=166582"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=166582"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=166582"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}