Verdächtiger USB Stick an Rechner angeschlossen

[Schneefall19]

Hallo zusammen,

ein Arbeitskollege hat heute einen verdächtigen USB Stick an seinem Arbeitsrechner angeschlossen gefunden, der bei mir die Alarmglocken klingeln lässt.
Die Herkunft des USB Sticks ist unbekannt, er wird als Eingabegerät / Tastatur erkannt und nicht als reguläres Speichermedium:

Der Stick, ohne Beschriftung, beidseitig neutral schwarz, ist heute Mittag zufällig aufgefallen.
Dieser war an einen der hinteren USB Ports angeschlossen. Jeder hat seinen eigenen festen Arbeitsplatz, die Rechner anderer sind tabu.
Keinem Kollegen des Teams gehört der Stick, noch weiß jemand davon. Es handelt sich um ein junges Team in mehr oder weniger "Startup-Atmosphäre". Das Verhältnis zum Management ist sehr schwierig, mehr dazu im Hintergrund unten.

Ich bin technisch nicht unbewandert, daher kam mir direkt das Stichwort Rubber Ducky / USB Injektion in den Sinn.

Der Stick befindet sich nun zur Untersuchung in meinem Besitz.
Nun die Frage, wie ich am besten vorgehe. Wie kann ich den Stick ideal untersuchen? Oder sollte ich gar nichts daran machen, ggf. als Beweismittel aufbewahren?

Meine Kollegen benutzen gezwungenermaßen auch private Logins auf den Arbeitsrechnern.
Eine umgehende Änderung der Passwörter habe ich empfohlen.


Hintergrund:
In der Firma (etwa 15 Mitarbeiter) herrscht eine sehr angespannte Stimmung. Bossing, Ausbeutung (Urlaub wird nicht genehmigt, täglich unbezahlte Überstunden, 24/7 Erreichbarkeit), Belästigung sind an der Tagesordnung.
Ebenso gibt es Informationen über die Aufstellung und Geschäftspraktiken der Firma, die für diverse Behörden interessant sein dürfen.
Das Management hat sich derart viel geleistet, dass Ausbeutung leider noch eine harmlose Untertreibung ist. Aufgrund der Skrupellosigkeit hegt sich in mir der Verdacht, der USB Stick könnte gezielt zur Spionage auf dem Rechner des Kollegen genutzt worden sein.


Vielen Dank für eure Hilfe!

Viele Grüße
Schneefall

 

[Pilatesjünger]

Ich würde mir den mit linux anschauen...

 

[Pitt_G.]

Drahtlose Tastatur? ist an und für sich nix wildes

 

[micha`]

Ich möchte dir nicht zu nahe treten, aber wieso meinst du der richtige für eine "Untersuchung" zu sein, wenn du ganz offensichtlich nicht genug Ahnung hast? Und da du kein Beschäftigter der Firma bist, geht dich das auch ganz einfach nichts an - wenn es sich denn überhaupt tatsächlich um etwas negatives handeln sollte.

Davon mal abgesehen, kann das ein 08/15 Empfänger für eine Tastatur sein. Die günstigen sind oft nicht bedruckt.

 

[Pitt_G.]

Fehlt jetzt im Besprechungszimmer der Stick zur Tastatur, ne Präsentstion damit abgehalten.
Im schlimmsten Fall will jemand wie von Geisterhand in der Nähe auf den Rechner schreiben, dass müsste er aber entsperrt sein in Abwesenheit des Users , oder das Passwort kennen

 

[IBISXI]

Das könnte vieles sein.

Eventuell ein Dongle für Software.
Eventuell Funkempfänger für Tastaturen.
Eventuell hat es tatsächlich was mit Spionage zu tun.
Vielleicht etwas ganz anderes.

Der Stick befindet sich nun zur Untersuchung in meinem Besitz.

Der Stick befindet sich definitiv nicht in deinem Besitz.

Wenn Du das Teil zerstörungsfrei öffnen kannst, mach auf und mach ein paar hochauflösende Fotos.
Wenn es tatsächlich ein Stick für eine Funk Tastatur ist, müsste man Antennen Schleifen auf dem PCB erkennen.

Danach den Stick zum EDV Verantwortlichen in der Firma bringen und den Sachverhalt schildern.
(Das mit dem Nachhause nehmen und öffnen weglassen.)

Grundsätzlich handelt es sich um Diebstahl, was ihr gemacht habt.

In der Firma (etwa 15 Mitarbeiter) herrscht eine sehr angespannte Stimmung. Bossing, Ausbeutung (Urlaub wird nicht genehmigt, täglich unbezahlte Überstunden, 24/7 Erreichbarkeit), Belästigung sind an der Tagesordnung.
Ebenso gibt es Informationen über die Aufstellung und Geschäftspraktiken der Firma, die für diverse Behörden interessant sein dürfen.
Das Management hat sich derart viel geleistet, dass Ausbeutung leider noch eine harmlose Untertreibung ist.

Das ist nicht schön.
Aber dafür gibt es Stellen an die man sich wenden kann.
Das würde ich machen.

Hier in Österreich wären das: Das Arbeitsinspektorat, die Arbeiterkammer, Gewerkschaften.
Was es dazu in Deutschland gibt, weiß ich nicht.
Aber man muss sich nicht alles gefallen lassen.

Ich würde erstmal damit beginnen unbezahlte Überstunden zu verweigern (keine machen) und außerhalb der Arbeitszeiten kein Telefon abzunehmen.
(Am besten die ganze Gruppe)

 

[Sterntaste]

ich meine, mich an die ganz frühen WLAN-Sticks von AVM zu erinnern. Da war der Treiber auch immer auf dem Stick. Man hat das Ding eingestöpselt und konnte von besagtem Stick direkt ohne Download oder CD durch die Autorun-Funktion den Treiber installieren. So war der Stick Datenträger und Netzwerkgerät zugleich.
Das was Du da hast, könnte auch sowas in der Art sein. Oder könnte es sich schlicht um einen Dongle für auf dem Rechner befindliche Software handeln? Ohne diesen Dongle startet das Programm dann nicht.

Hey aber mal so nebenbei: wenn das in dem Laden so extrem mies ist, warum bleiben die da alle? Oder erstmal Gelben Urlaub nehmen. Nem Arzt davon erzählen, es gibt durchaus welche, die spielen da mit und verordnen strenge Büro-Abstinenz. Nebenbei schnell was anderes suchen in der Hoffnung, es ergibt sich was.

 

[mykoma]

Klingt für mich auch nach einem Stick für eine drahtlose Tastatur, fragt sich nur wieso, weshalb, warum er an dem Rechner steckte.
Die Rechner sind alle als eigenständig zu betrachten oder sind das eher clients und die Programme und Daten mit denen gearbeitet wird, liegen auf einem Server, VM oder dergleichen?

Bei uns im Krankenhaus stehen nur 0815 Optiplex Kisten von Dell rum, die Daten liegen fast alle auf einem zentralen Server, für die EDV ist es dank Backups ein leichtes, bei einem Defekt kurz das letzte Abbild der lokalen Daten auf einen neuen Optiplex zu spiegeln, wenn die nichts sagen würden, würde es niemand bemerken, vielleicht wollte ja jemand einen etwas potenteren PC oder einen ohne Probleme?
Ist aber auch bald mehr eine Verschwörungstheorie als alles andere.

Ich kann dir allerdings nur den Rat geben, solltest du dort auch angestellt sein, dir einen vernünftigen Arbeitgeber zu suchen, denn für Urlaub, Überstunden und 24/7 Erreichbarkeit (könnte man auch Rufbereitschaft nennen und muss im Einklang mit der Arbeitszeit bzw. Ruhezeit stehen) gibt es Gesetze die nur wenig Spielraum lassen.
Von Belästigung und dergleichen mal ganz Abgesehen.

 

[Sterntaste]

Der Stick befindet sich definitiv nicht in deinem Besitz.

Du kennst den Unterschied zwischen Besitz und Eigentum? Sieht nicht so aus.
Bitte mache Dich mal schlau, bevor Du solche Dinge raushaust.

 

[IBISXI]

Interessant, das wusste ich nicht.

Das man Hausbesitzer sein kann und gleichzeitig die Bank der Eigentümer sein kann war mir bekannt.

Das man auch Besitzer eines entwendeten Gegenstands sein kann allerdings nicht.

 

[Hauro]

USB Device Tree Viewer | uwe-sieber.de

The USB Device Tree Viewer, short UsbTreeView is based upon the Microsoft "USBView" sample application found in the Windows Driver Development Kits and now standalone at GitHub.

But it is source code only, there is no executable for end users provided. Meanwhile USBView comes as executables as part of the "Debugging Tools für Windows", see here: USBView.

USBDeview | heise Download

USBDeview is a small utility that lists all USB devices that currently connected to your computer, as well as all USB devices that you previously used. For each USB device, extended information is displayed: Device name/description, device type, serial number (for mass storage devices), the date/time that device was added, VendorID, ProductID, and more...

USBDeview also allows you to uninstall USB devices that you previously used, disconnect USB devices that are currently connected to your computer, as well as to disable and enable USB devices.
You can also use USBDeview on a remote computer, as long as you login to that computer with admin user.

 

[mykoma]

Das man auch Besitzer eines entwendeten Gegenstands sein kann allerdings nicht.

Auch wenn es OT ist: In dem Moment, wo du den Gegenstand entwendet hast und in den Händen hälst, hast du die Gewalt über den Gegenstand, er befindet sich in deinem Besitz.
Ob du jetzt der rechtmäßige oder unrechtmäßige Besitzer bist, ist dabei erstmal Nebensächlich.

Jetzt aber bitte BTT.

Die Links von @Hauro klingen sehr vielversprechend, wäre einen Versuch wert.

 

[SpamBot]

Das man auch Besitzer eines entwendeten Gegenstands sein kann allerdings nicht.

Mir einer Logik hätte man viel Spaß. Nein Herr Polizist, die Drogen sind nicht in meinem Besitz, ich habe sie nur eingesteckt )

 

[TimBerlin]

@mykoma
entwendet hast und in den Händen hälst, hast

hälst, komt das von hals???

ich dachte immer es wird so geschrieben: hältst

 

[brianmolko]

@TimBerlin
"hälst, komt das von hals???"

Ich dachte immer es wird so geschrieben: kommt

Glashaus, du verstehst?

Wo wir schon dabei sind, deine Feststelltaste scheint defekt zu sein.

 

[Eck]

@Schneefall19
Hast du mittlerweile mal draufgeschaut unter linux? Würde mich echt interessieren was dabei jetzt rauskommt.

 

[D0m1n4t0r]

Wenn es in deiner Firma so mies läuft und das von den Vorgesetzten ausgeht, dann gründet einen Betriebsrat und tretet einer Gewerkschaft bei. Betriebsrat gründen ist einfach. Man läd alle Mitarbeiter mal (z.B. am Wochenende) irgendwohin ein, bespricht die Gründung eines Betriebsrats und wählt den dann. Und dann stellt man den Arbeitgeber vor vollendete Tatsachen. "Chef wir haben jetzt einen Betriebsrat. Soundso ist das jetzt und ab sofort wollen wir das bestimmte Sachen hier den Arbeitsgesetzen entsprechend laufen."
Die Chefs werden sauer sein, schimpfen und drohen, aber Betriebsräte haben einen besonderen Kündigungsschutz, da können die Chefs wenig machen.
Falls ihr dabei Hilfe braucht, Gewerkschaften sind hier die besten Ansprechspartner.
Und was den Stick angeht, informiere den für die IT Verantortlichen über deinen Verdacht.