Fred Chagnon, Principal Research Director bei der Info-Tech Research Group, teilt die Bedenken von Gogia: “Die meisten Büros verfügen über Dutzende von aktiven Ethernet-Ports in Lobbys, Konferenzräumen und Fluren. Diese sollten standardmäßig auf Switch-Ebene administrativ deaktiviert werden. Ein Port sollte nur dann aktiviert werden, wenn eine bestimmte, autorisierte MAC-Adresse über die 802.1X-Authentifizierung überprüft wurde”, empfiehlt der Experte. Moderne Angreifer so Chagnon weiter, nutzten MAC-Spoofing, um einen Raspberry Pi wie ein legitimes VoIP-Telefon oder einen Drucker aussehen zu lassen. Deshalb empfiehlt er CISOs, in Tools oder fortschrittliche NACs zu investieren, die Fingerprinting auf physikalischer Ebene gewährleisten: “Diese Tools analysieren die elektrischen und zeitlichen Charakteristiken der Hardware, um festzustellen, ob ein Drucker tatsächlich einer ist – oder nur ein ‘Implantat’ auf Linux-Basis.”
Chagnon empfiehlt Sicherheitsentscheidern zudem dringend den umfassenden Einsatz von manipulationssicheren Port-Sperren: “Im Rahmen von Sicherheitskontrollen dürfen zusätzliche Kabel, nicht autorisierte USB-Hubs oder kleine undefinierbare Boxen, die nicht mit dem Bestand übereinstimmen, keinesfalls unter den Tisch fallen”, mahnt der Experte.
Sollten Sie im Zuge Ihrer Kontrollmaßnahmen solche Geräte identifizieren, ist in erster Linie Vorsicht angebracht. Zwar empfiehlt es sich, das Device zu isolieren und forensisch zu untersuchen – allerdings sollten Sie dabei mit Bedacht vorgehen. Das rät zumindest Flavio Villanustre, CISO der LexisNexis Risk Solutions Group: “Solche Devices vom einfach vom Netzwerk zu trennen, könnte zum Verlust wichtiger forensischer Informationen führen.”
