Pytanie:
Czy istnieje sposób na bezpieczne sprawdzenie zawartości pamięci USB?
200_success
2015-10-19 11:28:56 UTC
view on stackexchange narkive permalink

Załóżmy, że znalazłem leżącą w pobliżu pamięć USB i chciałem sprawdzić jej zawartość, próbując zlokalizować jej prawowitego właściciela. Biorąc pod uwagę, że pendrive'y USB mogą być w rzeczywistości czymś o wiele bardziej złośliwym niż urządzenie pamięci masowej, czy jest jakiś sposób, abym mógł to zrobić bezpiecznie? Czy możliwa jest „prezerwatywa” z izolacją galwaniczną? Czy istnieje sposób, aby ręcznie załadować sterowniki USB w systemie Linux / Windows / OS X, aby upewnić się, że urządzenie nie będzie traktować urządzenia jako niczego innego niż pamięć masowa USB?

W końcu mimo wszystkich obaw -współpracując, jest o wiele bardziej prawdopodobne, że to, co wygląda na zgubioną kartę pamięci, w rzeczywistości jest tylko kartą pamięci.

Pytanie uzupełniające: jakie środki mogą / mogą podjąć kioski do drukowania zdjęć, aby się przed nimi zabezpieczyć rodzaje ataków?

Podłącz go do starego laptopa (nie podłączonego do sieci), którego nagrywanie nie przeszkadza.
Jedynym naprawdę bezpiecznym sposobem jest rozebranie go, wylutowanie chipa flash i odczytanie go za pomocą własnego zaufanego obwodu.
Oprócz wszelkiego rodzaju ataku oprogramowania możesz chronić swój komputer mechanicznie / elektrycznie, używając chyba taniego koncentratora USB.
Z odpowiedzi wynika, że ​​są ataki na sprzęt i oprogramowanie. Pierwszy typ może być sterowany określonymi koncentratorami USB, które izolują zasilanie. Drugi wydaje się trudniejszy, ponieważ mogą ukryć się w oprogramowaniu układowym i pozostać niewykrytym.
@PlasmaHH:, a następnie zwróć go prawowitemu właścicielowi. Prawdopodobnie będzie szczęśliwy, tak!
Kto wie, że to nie bomba udająca pamięć USB? I myślę, że następna wersja zabójcy USB może udawać dobrą pamięć dla 5 lub więcej zastosowań.
`jakie środki mogą / mogą podjąć kioski drukujące zdjęcia, aby chronić się przed tego rodzaju atakami? Po prostu dali się skompromitować. Kiedy pracowałem dla dużego dostawcy sprzętu audiowizualnego, jedno z naszych biur znajdowało się w tym samym budynku co apteka i ostatecznie musieliśmy zwolnić kilku pracowników za dalsze korzystanie z drukarki fotograficznej w aptece, ponieważ urządzenia USB podłączony do kiosków fotograficznych zostałby zainfekowany * dziesiątkami * różnych rodzajów złośliwego oprogramowania, które dostałyby się do naszej sieci wewnętrznej po podłączeniu urządzenia USB do swoich maszyn roboczych.
@HopelessN00b Yikes! Wyobrażam sobie, że to samo dotyczy kiosków do pomiaru ciśnienia krwi ze złączami do różnych urządzeń, takich jak ten w moim lokalnym sklepie spożywczym. Lub prawie każdy publiczny kiosk z odsłoniętym portem USB.
@user23013 Współczesny koń trojański, który (* prawie *) zakończył cywilizację. Pamięci USB będące bombami nuklearnymi. Na szczęście jeden bardzo sceptyczny pracownik Bezpieczeństwa Informacji rozebrał go na części i odkrył bombę. Teraz wszystkie urządzenia USB są niewiarygodne i nigdy nie należy ich podłączać, nawet jeśli masz je ze sklepu. Nigdy!
Placki malinowe były idealne do tego rodzaju egzaminu, dopóki nie stały się na tyle popularne, że można je było zaatakować.
@HopelessN00b Geez. Mam nadzieję, że najpierw dostali kilka ostrzeżeń.
@Shane Och, dostali ostrzeżenia na ponad rok. Oraz instrukcje, do których sieci * mogą * podłączyć potencjalnie zainfekowane urządzenia USB. Firma wydała sprzęt, aby nie musieli korzystać z kiosku. My, ludzie IT, od dawna mieliśmy dość sprzątania po nim i krzyczenia o krew na długo przed tym, zanim zostali puszkowani ... ale w końcu jedna z infekcji przeszkadzała lub zawstydzała jednego z naszych poziomów C.
@200_success +1 dowolny punkt internetowy za rozrabianie mnie, a nie jeden głos za: P
@Aequitas Wiele, wiele lat temu spotkałem dyskietki 3,5-calowe, które z jakiegoś powodu były dostarczane w pojedynczych plastikowych torebkach. Prawie miałem kogoś przekonanego, że to prezerwatywy chroniące przed wirusami.
To nie jest odpowiedź; tylko obserwacja. Zakładając, że sprzęt jest bezpieczny, wszystko, co zawiera kij, to 0 i 1. To jest wina komputera, że ​​przetwarza te dane. Każdy port powinien być programowalny w trybie awaryjnym, w którym dowolne wejście nie jest wykonywalne.
co powiesz na używanie oprogramowania takiego jak głębokie zamrażanie? w moim przypadku działa jak urok :)
Nie jestem pewien, czy uzasadnia to zadawanie pełnego pytania (i Bóg wie, która wymiana stosu byłaby odpowiednia), ale czy BIOS potrzebuje dostępu do zapisu do normalnego użytku? Czy mógłbyś fizycznie odłączyć pin zapisu lub dodać wbudowany sprzętowy bloker zapisu (jeśli są teraz szeregowe) w tego typu sytuacjach - zakładając oczywiście, że zostaną podjęte inne środki?
Powiązane: [Jak pamięć USB może być niebezpieczna?] (Https://security.stackexchange.com/q/102873/34757), [Jak bezpiecznie zbadać pamięć USB znalezioną na parkingu w pracy?] (Https://superuser.com/q/1206321/150988), [Bezpieczne otwieranie podejrzanego dysku USB] (https://superuser.com/q/167878/150988), [Jak bezpiecznie przeglądać niezaufany dysk flash USB?](https://superuser.com/q/983709/150988), [Jakie jest niebezpieczeństwo włożenia i przeglądania niezaufanego dysku USB?] (https://superuser.com/q/709275/150988), [Jakpendrive rozprzestrzenia wirusa?] (https://superuser.com/q/93939/150988) i prawdopodobnie więcej.
Jedenaście odpowiedzi:
#1
+78
Ian H
2015-10-20 18:33:08 UTC
view on stackexchange narkive permalink

Użyłbym Raspberry Pi, Model A / A + bez połączenia sieciowego, ponieważ:

  • To (a raczej Linux) może czytać większość typów systemów plików na pendrive.
  • Jedyną nieulotną pamięcią, jaką posiada, jest karta SD, którą można później ponownie sformatować (lub wyrzucić, jeśli masz paranoję).
  • Jeśli okaże się, że pamięć USB jest elektrycznie złośliwy, straciłeś tylko 20 USD sprzętu.
  • Działa na platformie innej niż standardowa na platformie innej niż x86, co zmniejsza prawdopodobieństwo, że będzie podatny na typowe złośliwe oprogramowanie dla systemu Windows.

Wciąż pozostaje pytanie, co zrobiłbyś ze znalezionymi na nim plikami - skopiowanie ich na inny komputer oczywiście naraziłoby ten komputer na ryzyko.

Nic nie jest W 100% bezpieczne, pamiętaj. Mogę to ująć nie lepiej niż Jamesa Mickensa: „Jeśli Twoim przeciwnikiem jest Mossad, ZOSTANESZ UMIERASZ I NIE MA NIC, CO TY MOŻESZ ZROBIĆ”.

Problem polega na tym, że możesz nie wykryć niczego (zależy to oczywiście od umiejętności) podejrzanego, ale nadal będzie zawierał niebezpieczny ładunek.
Raspberry Pi, co? Teraz zastanawiam się, kiedy ktoś znajdzie sposób na zainfekowanie kontrolerów HDMI.
@xeon: Jeśli polityka dotycząca znalezionych urządzeń USB polega na sprawdzeniu ich pod kątem jakichkolwiek oczywistych oznak własności i jeśli takie zostaną znalezione, skontaktuj się z pozornym właścicielem (który powinien mieć wtedy jakąś wskazówkę, czy dysk jest jego i jak bardzo chce mieć paranoję chodzi o możliwość ingerencji), wówczas podmiot znajdujący napęd i szukający śladów własności nie miałby powodu, by przejmować się ukrytym ładunkiem niebezpiecznym, ponieważ podmiot, który znalazłby dysk, nie miałby się czego obawiać ładunek, ponieważ nigdy nie ujawniłby niczego o dużej wartości dla danego dysku.
+1 Jest to znacznie tańsze rozwiązanie niż koncentrator USB z izolacją optyczną. Najtańsze z tych, jakie udało mi się znaleźć, były bliższe 100 USD.
Czy właśnie nazwałeś Linuksa „spoza głównego nurtu”? Ponieważ dotyczy to tylko rynku komputerów stacjonarnych, wszystko inne jest zdominowane przez Linuksa lub innego Uniksa. (Cóż, z wyjątkiem rzeczy w czasie rzeczywistym, jest to głównie VxWorks, który, o ile wiem, nie jest Unixem.)
@Bobby czy system operacyjny Linux działający na PRI jest główną wersją Linuksa?
@Bobby Zgadza się. Linux dominuje na rynkach, na których podłączenie losowego dysku USB jest mało prawdopodobne, a nie na rynkach, na których podłączenie tego urządzenia USB jest bardziej prawdopodobne. Więc chodzi o to.
@schroeder Zalecanym systemem operacyjnym dla Raspberry Pi jest Raspbian, pochodna Debiana. Są inne, ale w większości przypadków wyglądają na nieco zmodyfikowane wersje oryginału. Zobacz [tutaj] (https://www.raspberrypi.org/downloads/).
Możesz spróbować najpierw podłączyć go do czegoś takiego jak [CIRCLean USB Sanitizer] (https://www.circl.lu/projects/CIRCLean/), a następnie podłączyć skopiowany dysk do maszyny Linux Live Boot bez żadnego połączenia sieciowego.Musisz także zwrócić uwagę na scenariusz [BadUSB] (https://youtu.be/nuruzFqMgIw), w którym sam chip kontrolera USB został zhakowany.Dlatego najpierw kopiujesz dowolne dane na znane dobre urządzenie, a następnie wrzucasz oryginał.Wtedy TYLKO wtedy rozważałbym nawet podjęcie ryzyka podłączenia skopiowanego dysku do maszyny, której faktycznie używam.Nawet wtedy prawdopodobnie nie.
#2
+49
Chris H
2015-10-19 15:32:30 UTC
view on stackexchange narkive permalink

Zabójca USB nie zabije twojego komputera, jeśli podłączysz go przez koncentrator z izolacją optyczną. Istnieją, (szukaj: "koncentrator USB z izolacją optyczną"), ale ponieważ sam nigdy z takiego nie korzystałem, nie zamierzam polecać konkretnego modelu. Nie są jednak tanie. Oto przykład:

usb hub

Gdy już uporasz się z aspektem sprzętowym, zostajesz zredukowany do bardziej powszechnego problemu. Prawdopodobnie masz już więcej porad ekspertów w innych odpowiedziach, ale moim zdaniem jest odłączenie dysku twardego (i wszystkich innych zapisywalnych pamięci) komputera i uruchomienie go z Live CD lub Live USB stick (takiego, który nie jest automatycznie - oczywiście uruchom zawartość pamięci USB). To dlatego, że jest to maksymalny zwrot za wysiłek podany w miejscu, od którego zaczynam. Byłoby rozsądne, gdybyś miał przyzwyczaić się do tego, aby ustawić nawet swoją Live CD tak, aby nie montował automatycznie i nie instalował automatycznie sprzętu, a także odłączał maszynę od sieci. Uruchamianie z podejrzanym drążkiem byłoby również złym pomysłem, na wypadek, gdyby był bootowalny, ale także dlatego, że możesz chcieć mieć dostęp do dzienników zdarzeń, gdy właśnie go podłączyłeś.

To nie pomoże chronić Cię przed [wirusem BIOS] (https://en.wikipedia.org/wiki/BIOS#Security) ani atakami oprogramowania układowego na sprzęt, który pozostawisz podłączony do komputera. Może nawet [klawiatura lub mysz] (http://security.stackexchange.com/q/100743/17049).
@JonBentley, nie autouruchamianie lub próba uruchomienia z pendrive'a powinna chronić BIOS, prawda? Zakładając oczywiście, że wektorem jest złośliwe ponowne flashowanie. Widziałem wątek myszy i niedawną „klawiaturę podszywającą się pod pamięć USB”. Uogólniam moje „odłącz dysk twardy”, aby odłączyć pamięć do zapisu. Zastanawiam się, czy możliwe jest napisanie makra klawiatury i wykonanie skryptu, który mógłby flashować BIOS.
Zauważ, że dla szybkich prędkości USB2 lub USB3 nie ma dostępnych na rynku przystępnych cenowo izolatorów optycznych
@PlasmaHH, Nie jestem zaskoczony, ale kompatybilność wsteczna byłaby wystarczająco dobra, aby umożliwić dochodzenie. Jeśli * sprzęt * jest niegroźny, następnym krokiem może być utworzenie kopii plików na dysku, a następnie wyświetlenie ich zawartości, zaczynając od małych plików tekstowych.
@ChrisH: Pobranie 3 TB danych powyżej 12 MBit może zająć trochę czasu, jeśli chcesz narysować obraz do celów kryminalistycznych ...
@PlasmaHH, Jestem pewien, że tak. Ale: (i) pendrive'y USB o pojemności 3 TB nie są zbyt popularne; (ii) przesłanką pytania nie była kryminalistyka, ale: „czy to jest prawdziwa pamięć USB, a jeśli tak, to czyj” (np. profesjonalista IT niezwiązany z bezpieczeństwem otrzymuje urządzenie foudn - moja interpretacja). Jeśli to nie jest pamięć USB, zabij ją ogniem, zbadaj sprawę dla przyjemności lub przekaż do odpowiedniego organu śledczego. Jeśli jest to oczywiście złośliwa pamięć USB, podejmij podobne działanie. Na tym etapie nie musimy go wyobrażać (i możesz nie chcieć przejmować zawartości, chyba że pracujesz nad nią w charakterze zawodowym).
@PlasmaHH kontynuując to, co powiedział Chris, pendrive'y normalnego rozmiaru mogą być obrazowane w rozsądnym czasie przez połączenie 1.0. Około pół dnia dla pełnej pamięci 64 GB (pozwól jej działać przez noc, spójrz na to następnego dnia) lub półtorej godziny dla 8 GB.
Biorąc pod uwagę cenę zakupu izolowanego optycznie koncentratora USB, myślę, że znacznie lepiej jest kupić tani używany komputer online, jak sugerował @Matty - wtedy też nie musisz martwić się o oprogramowanie.
@PlasmaHH Największa dostępna na rynku pamięć flash USB ma 1 TB i kosztuje ponad 650 USD. 3 TB USB w obecnym okresie oznacza jedną z 3 rzeczy. W kolejności malejącego prawdopodobieństwa wylądowania na parkingu: 1. urządzenie USB ma podsłuch i podaje zbyt dużą pojemność, w takim przypadku nie ufaj mu; 2. To prototyp firmy Kingston lub Patriot (jedyne, które obecnie sprzedają dyski USB o pojemności 1 TB) i należy do nich zwrócić; 3. Urządzenie jakoś dostało się tutaj z przyszłości i możliwe, że obecne standardy USB nie pozwalają na jego odczytanie.
Nie żartujesz sobie z ceną! Przez lata miałem wiele problemów z koncentratorami USB dostarczającymi napięcie z powrotem na płytę główną, więc sprawdziłem je po przeczytaniu twojego postu.
@NateKerkhofs,, na którym jesteś, ale PlasmaHH może odnosić się do zewnętrznych dysków twardych USB, które można łatwo przekształcić w zabójców USB. Mimo to potrzebujesz tylko USB 1.0, aby to sprawdzić.
@ChrisH Można zamienić zewnętrzny dysk twardy w zabójcę USB, ale znacznie bardziej opłacalne byłoby użycie czegoś takiego jak 8 GB USB (które można uzyskać za ułamek ceny zewnętrznego dysku twardego 3 TB) lub nawet zbudować urządzenie od podstaw. Jest również bardziej prawdopodobne, że dysk USB zostanie „przypadkowo” upuszczony (powiedzmy, do kieszeni) na parkingu, zwłaszcza jeśli chodzi o to, aby urządzenie nadal działało.
@NateKerkhofs, Całkowicie się zgadzam.
#3
+35
Tom Leek
2015-10-20 20:32:05 UTC
view on stackexchange narkive permalink

Jeśli założymy, że patyk mógł zostać fizycznie zmieniony w celu uzyskania maksymalnej nieprzyjemności, to należy wziąć pod uwagę możliwość, że rzekomy „pendrive” wypluje zarodniki wąglika lub chmurę tlenku plutonu po włożeniu do komputera więc odpowiedź na twoje pytanie brzmi: nie ma bezpiecznego sposobu na zbadanie zawartości karty pamięci (chyba że możesz zlecić to zadanie komuś podwładnemu, który zrobi to w innym budynku).


I odwrotnie, jeśli założymy, że napastnik nie będzie tak dokładny, to pośrednio używamy „progu złośliwości”, który ma charakter arbitralny. Jeśli wykluczymy surowe fizyczne niszczące skutki (w tym próbę usmażenia elektroniki komputera hosta), to jest pięć sposobów, w jakie zły pendrive może uszkodzić maszynę, do której jest włożony:

  • Pendrive może próbować wykorzystać lukę w sprzęcie kontrolera USB. Kontroler ten jest chipem z własnym firmware, który jest również podłączony do głównych ścieżek danych w komputerze, więc istnieje teoretyczna możliwość wykorzystania dziur. Byłoby to bardzo specyficzne dla wersji kontrolera i jego oprogramowania układowego i nie znam żadnej takiej dziury w środowisku naturalnym.

  • Pendrive może próbować nadużywać luka w kodzie systemu operacyjnego obsługującego dialog USB. Zasadniczo to właśnie robiła PlayStation Jailbreak: urządzenie to, na poziomie USB, było kilkoma urządzeniami, z których jedno wysyłało nieco niezgodne ze specyfikacją komunikaty, które wyzwalały przepełnienie bufora w kodzie systemu operacyjnego, który wykrywa i wylicza urządzenia USB.

  • Karta pamięci może w rzeczywistości nie być kartą pamięci, ale innym rodzajem urządzenia, prawdopodobnie kilkoma je jednocześnie. Np. Patyk może być, z punktu widzenia systemu operacyjnego, klawiaturą i po włożeniu mógłby zacząć pisać. Dzieje się to na wolności.

  • Pendrive może być prawdziwym pendrive'em z systemem plików, który wykorzystuje lukę w kodzie systemu operacyjnego dla systemów plików. Oprócz bezpośrednich przepełnień bufora mogą również wystąpić problemy z, na przykład, funkcjami automatycznego uruchamiania (warto zauważyć, że wiele istniejących, niezłośliwych pendrive'ów również emuluje wirtualny napęd CD-ROM dokładnie tak, aby spróbować ćwiczyć takie automatyczne uruchamianie). Wariantem byłby kij zawierający obrazy, które wykorzystują dziury w bibliotekach renderujących obrazy (które byłyby wywoływane przez komputer hosta podczas próby wyświetlenia „miniatur” podczas graficznego przeglądania katalogów i plików).

  • Wreszcie, w grę wchodzi człowiek-operator, co otwiera wiele możliwości ataku. Wiele ataków po prostu wykorzystuje bezdenną studnię ludzkiej łatwowierności. Zawartość kija może skłonić operatora do nieostrożnego uruchomienia czegoś, co wygląda jak nieszkodliwy plik wykonywalny. Lub, co gorsza, patyk może zawierać dokumenty o niepokojącej naturze (niektóre rzeczy nie mogą być tak po prostu niewidoczne), które nadal liczy się jako „uszkodzenie”. najlepszym sposobem na „bezpieczną eksplorację” pendrive'a byłoby użycie podstawowego komputera z systemem operacyjnym o dobrej reputacji pod względem jakości kodu, aktualnym z poprawkami bezpieczeństwa i, co najważniejsze, z tak małą ilością wtyczek i -play wsparcie, jak to możliwe. Idealnie byłoby, gdyby system operacyjny nie próbował nic zrobić automatycznie z nowo włożonym urządzeniem USB (tj. System operacyjny, który jest dokładnie tym, czym współczesny system operacyjny, taki jak Windows, OS X lub Linux, nie jest). Proponuję zacząć od OpenBSD lub NetBSD, dostosowanych do dezaktywacji wszelkich form magii związanej z USB. Używanie nietypowego oprogramowania i nietypowego sprzętu oferuje również niewielką dodatkową ochronę, ponieważ atakujący o niskiej jakości i dużym rozprzestrzenianiu zwykle nie zawracają sobie głowy pisaniem exploitów dla, powiedzmy, systemów NetBSD działających na starych komputerach Mac z PowerPC.

#4
+19
user45139
2015-10-19 12:00:50 UTC
view on stackexchange narkive permalink

We wszystkich przypadkach pamiętaj, że nie ma idealnie działającego systemu piaskownicy (sprzęt / urządzenia elektryczne, oprogramowanie), który mógłby w 100% zapobiec takim możliwym infekcjom.

Z drugiej strony zależy od tego, kim jesteś i gdzie go znalazłeś.

Jeśli jesteś wykwalifikowanym pracownikiem, powiedzmy, w firmie samochodowej i znalazłeś kij obok swojego miejsca pracy lub obok miejsca zamieszkania (ty są celem), wtedy najlepszą rzeczą, jaką możesz zrobić, jest zniszczenie tej pamięci USB, ponieważ problem polega na tym, że nie ma sposobu, aby dowiedzieć się z góry, czy znaleziona pamięć USB zawiera oprogramowanie wbudowane, w którym to przypadku nic nie wydaje się przydatne ( Złośliwe oprogramowanie „BadUSB” żyje w oprogramowaniu USB, aby pozostać niewykrytym i nieusuwalnym). Takie złośliwe oprogramowanie może doprowadzić do zainfekowania systemu BIOS, którego pozbycie się może być zbyt trudne (jeśli nie niemożliwe).

Jeśli jesteś panem X lub Y i znalazłeś pamięć USB w losowe miejsce publiczne, może to być nawet jeśli pendrive USK jest zainfekowany (celowo lub nie), złośliwe oprogramowanie nie może być tak dramatyczne iw takim przypadku może uruchamiać się na komputerze przy użyciu Linux Live-CD w celu uruchomienia i sprawdzenia zawartość twojego USB może być rozsądnym działaniem.

#5
+11
chx
2015-10-20 11:39:30 UTC
view on stackexchange narkive permalink

Chociaż powyżej omówiono aspekty elektryczne, wiele z nich obawia się złośliwego oprogramowania infekującego system BIOS. Cóż, następnie podłącz go do maszyny, która nie ma BIOS-u i nie uruchamia niczego na pendrive: użyj maszyny SPARC. Widzę maszyny Sunfire V100 na eBayu za 50-60 $ w niepewnych warunkach, mniej niż 200 $ za tak zwany „odnowiony sprzedawca”. Możliwe, że były starsze, a więc nawet tańsze, które miały USB, którego po prostu nie pamiętam. V100 z pewnością ma porty USB. Jestem pewien, że jeśli trzyliterowa agencja wie, że używasz SPARC, będzie w stanie zrobić coś paskudnego z pendrive'em USB, ale byłby to niezwykle kosztowny atak, ponieważ musieliby przeprowadzić oryginalne badania, jak to zrobić. Oto oficjalna strona Oracle na temat montowania pamięci USB w Solarisie.

Ten temat na forum mówi o dodaniu USB do Ultra 5/10, jeśli chcesz się przejmować z tym, ale nie widzę ich dużo tańszych niż Sunfire V100.

Wspomniałeś o dobrym punkcie: * maszyna bez BIOSu *. +1
Systemy SPARC mają BIOS; nazywają to po prostu „oprogramowaniem sprzętowym”. Ale wszystkie komputery uruchamiają się na jakimś kodzie w ROM / Flash, a ten kod, jak każdy pojedynczy program, może mieć błędy. Oczywiście nie jest to ten sam kod, co BIOS dla komputera z procesorem x86, więc można mieć nadzieję, że atakujący „nie pomyślał o maszynach SPARC”.
Dokładnie to miałem na myśli, mówiąc o BIOS-ie miałem na myśli BIOS komputera, a mówiąc „nie uruchomi niczego na pendrive”, miałem na myśli „cokolwiek napisanego dla procesora x86”. Wspomniałem nawet o możliwości ataku i jak mało prawdopodobne / kosztowne jest to, że ktoś faktycznie pomyślał o SPARC. Pokazuje również, jak strasznie jestem zakotwiczony w przeszłości - odpowiedź Raspberry Pi jest tym samym tokiem myślenia, ale jest to tanie dostępne urządzenie. Jednak ARM jest znacznie bardziej rozpowszechniony niż SPARC, więc jeśli pójdziemy za szkołą myślenia "nie ma zabijania jak przesada", być może SPARC * jest * najlepszym wyborem.
#6
+11
Toby Speight
2015-10-21 21:19:04 UTC
view on stackexchange narkive permalink

Ciekawym podejściem do tego problemu jest CIRClean, opisane również w artykule LWN.

Wykorzystuje Raspberry Pi (prawdopodobnie dość zbędne w w obliczu przepięcia i innych ataków elektrycznych), do których należy podłączyć niezaufaną pamięć masową USB i zaufaną, pustą pamięć masową USB. Żadne inne urządzenia nie są podłączone - nie jest podłączone do żadnej sieci ani klawiatury / myszy /monitor. I nie ma zapisywalnej trwałej pamięci ani systemu BIOS, który mógłby zostać zainfekowany (a prawdziwie paranoik może ponownie flashować rozruchową kartę SD przed każdym użyciem, jeśli sobie tego życzy).

Włącz go, a to przesyłać pliki z jednego do drugiego, wykonując pewne automatyczne czyszczenie znanych wektorów złośliwego oprogramowania (np. przekształcając pliki PDF lub MSOffice do bezpieczniejszego HTML). Wizualny i dźwiękowy wskaźnik pokazuje, kiedy proces jest zakończony, a system można wyłączyć, pozostawiając użytkownikowi nieco oczyszczoną wersję oryginalnego systemu plików w zaufanej pamięci, gotową do przeniesienia na stację roboczą użytkownika.

Jeśli planujesz używać CIRClean, polecam sprawdzenie jego trackera problemów pod kątem bieżących błędów - artykuł LWN (grudzień 2014) zauważa, że ​​nie było ochrony przed atakami klawiatury BadUSB; Nie ustaliłem, czy to nadal prawda. Patrząc na plik konfiguracyjny jądra w repozytorium Git, z pewnością wygląda na to, że można go znacznie bardziej zablokować (ktoś Magic Sysrq?). Być może projekt, w który należy się zaangażować, a nie (jeszcze) gotowy produkt.

#7
+8
dr_
2015-10-19 12:01:42 UTC
view on stackexchange narkive permalink

OP odnosi się do izolacji elektrycznej ze względu na ryzyko związane z urządzeniem zabójca USB:

Urządzenie podobno działa poprzez pobieranie energii z portów USB i używając konwertera, aż do uzyskania ujemnego napięcia. Moc jest następnie kierowana z powrotem do komputera, a proces jest zapętlony, aż obwody maszyny się zepsują.

Niestety nie ma sposobu na obronę przed tym atakiem, ponieważ obejmuje on obwody zbudować własne porty USB!), ale wydaje się to bardzo mało prawdopodobne.

Obecnie najbardziej powszechnym wektorem ataku jest wirus Windows uruchamiany automatycznie po włożeniu dysku USB. Dlatego powiedziałbym, że badanie zawartości dysku USB na komputerze z systemem Linux jest względnie bezpieczne. Teoretycznie jest to niebezpieczne, ale w rzeczywistości nie ryzykujesz zbyt wiele, chyba że ktoś celuje w Ciebie lub Twoją firmę (istnieje różnica między dyskiem USB znalezionym na przypadkowej ulicy a dyskiem USB znalezionym na parkingu Twojej firmy ).

[Odpowiedź Chrisa] (http://security.stackexchange.com/a/103102/58810) wspomina o (optycznie) izolowanym koncentratorze USB, który prawdopodobnie chroniłby przed tego rodzaju urządzeniami.
Odpowiednie obwody zabezpieczające (mocne diody zaciskowe na wszystkich przewodach i ograniczenie prądu) również powinny wystarczyć.
Opis nie ma sensu. http://arstechnica.com/security/2015/10/usb-killer-flash-drive-can-fry-your-computers-innards-in-seconds/ Jest lepiej, wraz z komentarzami.
#8
+4
Dmitry Grigoryev
2015-10-20 13:39:43 UTC
view on stackexchange narkive permalink

Z technicznego punktu widzenia w Linuksie dość łatwo jest zatrzymać udev i wyładować każdy moduł jądra związany z USB oprócz usb-storage . Będą jednak dwie praktyczne kwestie:

  1. Twoje standardowe jądro może mieć wbudowany moduł hid , więc będziesz musiał przekompilować jądro do uczynić go ładowalnym.

  2. Po wyładowaniu modułu hid , legalne klawiatury i myszy USB również przestaną działać. Znajdź starą klawiaturę PS / 2 lub użyj wirtualnej klawiatury z panelem dotykowym / ekranem dotykowym (działa tylko wtedy, gdy nie są to USB).

#9
+4
mostlyinformed
2015-10-21 08:06:57 UTC
view on stackexchange narkive permalink

tl; dr: zrobienie czegoś radykalnego, na przykład użycie „nagrywarki” komputera lub urządzenia, którego użyjesz raz do odczytania pamięci USB, a następnie wyrzucenia, jest (prawie) całkowicie kuloodpornym sposobem patrzenia co jest na patyku. Ale w rzeczywistości posuwanie się do takich skrajności podczas badania jest przesadą i trochę głupie. Z wyjątkiem tego, gdzie go nie ma.


Wierz lub nie, ale istnieje prawie niezawodny sposób zbadania takiej pamięci USB. Krok po kroku:

  1. Znajdź w Internecie super starego, super taniego, ale wciąż działającego laptopa / netbooka i kup go. (Dowolny tablet wystarczająco duży, aby mieć pełnowymiarowy port USB i system operacyjny, który może korzystać z pamięci zewnętrznej na tym porcie USB, również działa).

    • Alternatywa nr 1: jeśli jednak , naprawdę zależy ci również na tym, aby nie zainfekować potencjalnie pamięci USB poprzez podłączenie go do jakiegoś wcześniej posiadanego urządzenia o nieznanej historii bezpieczeństwa, co równie dobrze możesz zrobić za, powiedzmy, 60-70 dolarów za nowy tablet z systemem Windows z pełnym portem USB. (Nie jest trudno je znaleźć na Newegg, Amazon, eBay itp. Oraz za pośrednictwem witryn takich jak Dealnews). Najtańszy z najtańszych towarów sprzęt ma swoje miejsce.

    • Alternatywa nr 2: Jeśli chcesz zaoszczędzić trochę gotówki, a masz już stare, kiepskie lub stare, kiepskie urządzenie &, z radością poświęciłbyś się w celu dowiadując się, co jest na tej pamięci USB, z pewnością możesz wybrać tę trasę. Jednak, całkiem oczywiście, chciałbyś się upewnić, że absolutnie, pozytywnie, nie pozostałyby na nim żadne dane osobowe (ani zawodowe), zanim to zrobisz. W przypadku komputera z klasycznym dyskiem twardym najprawdopodobniej można to osiągnąć, czyszcząc go programem rozruchowym, który wielokrotnie nadpisuje każdy kawałek miejsca na dysku losowymi danymi, a następnie ponownie instaluje dowolny system operacyjny. Prawdopodobnie. Z drugiej strony, jeśli chcesz użyć urządzenia z pamięcią półprzewodnikową....

  2. Gdy nadejdzie paczka z urządzeniem, weź ją, odpowiedni kabel do ładowania, który chcesz poświęcić (za chwilę zobaczysz, dlaczego) i wybierz się w miejsce, które ma wtyczki, ale albo (a) brak dostępności sieci bezprzewodowej lub (b) przynajmniej żadne sieci bezprzewodowe, z którymi kiedykolwiek łączyłeś się wcześniej i najprawdopodobniej nigdy nie połączą się z nimi w przyszłości. (Panera lub Starbucks po drugiej stronie miasta, która jest daleko poza twoim normalnym sposobem, działa świetnie). Tylko po to, by objąć hipotetyczny przypadek, w którym jakieś super-ultra wyrafinowane złośliwe oprogramowanie na poziomie NSA obecne na pendrive'ie USB infekuje twoje urządzenie, a następnie autonomicznie zaczyna używać swoich radiotelefonów, aby spróbować naruszyć wszelkie sieci Wi-Fi, Bluetooth itp. Premia za paranoję: zostaw też w domu wszystkie swoje urządzenia elektroniczne, które mają jakikolwiek rodzaj łączności bezprzewodowej. (Tak, łącznie ze smartfonem. Wiem, że trudno jest się rozdzielić, ale tylko ten raz).

  3. Po przybyciu na miejsce rozpakuj i podłącz nowe urządzenie . Poczekaj, aż się trochę naładuje.

  4. Włącz urządzenie, poczekaj, aż się uruchomi, a następnie podłącz podejrzany dysk USB. Spójrz na wszystko, co się na nim znajduje, na strukturę plików, jakie cechy lubisz. Jeśli jesteś w miejscu, które ma publiczne Wi-Fi, może połącz się i pobierz jakieś narzędzia z Internetu (jeśli twój stary śmieć zainstaluje &, uruchom je) i przyjrzyj się bliżej. Dosłownie nic więcej nie rób z urządzeniem.

  5. Gdy zaspokoisz swoją ciekawość, chwyć urządzenie i ładowarkę i wyjdź na pole gdzieś w pobliżu i daj im miłe pożegnanie końcowe , odtwarzając tę ​​scenę z Officespace. (Uwaga: automatycznie odtwarzane wideo YouTube, prawdopodobnie w języku NSFW. Duh.)

  6. Zrób wszystko, co zdecydowałeś zrobić z pamięcią USB & wszelkie dane na niej.

(OK, jeśli jesteś dumny z tego, że nie jesteś zbyt marnotrawny i / lub nieodpowiedzialny dla środowiska, zamiast niszczyć swoje „spalone” urządzenie / komputer w zabawny sposób, możesz je poddać recyklingowi, przekazać na cele charytatywne lub sprzedać za Jeśli wybierzesz jedną z dwóch ostatnich ścieżek, czy powinieneś dokładnie powiedzieć stronie odbierającej, dlaczego pozbywasz się urządzenia? Cóż, może nazwijmy to kwestią cybermoralności na inny dzień.)

Koniec.

Cóż, okej, jestem trochę żartobliwy. Ale tylko trochę. Faktem jest, że jeśli mówimy o badaniu urządzenia USB z (prawie) zerowym ryzykiem dla bezpieczeństwa, jedyną realną opcją jest podłączenie go do systemu, który (a) nie zawiera absolutnie żadnych twoich poufnych informacji, (b) chcesz poświęcić, jeśli USB okaże się jakimś elektrycznie szkodliwym przedmiotem, (c) nigdy nie użyjesz go ponownie w jakimkolwiek celu wymagającym zaufania do jego bezpieczeństwa oraz (d) nie będziesz mógł fizycznie połączyć się z żadnym sieci lub inne urządzenia w celu rozprzestrzeniania infekcji złośliwym oprogramowaniem z podejrzanego dysku USB. (Lub w celu wyszukania wszelkich poufnych informacji, które mogą znajdować się na tych urządzeniach i / lub w sieciach).

Innymi słowy, najlepszym rozwiązaniem jest komputer „nagrywający”. To znaczy, jeśli naprawdę, naprawdę chcesz zbadać dysk z niemal * doskonałym zabezpieczeniem.

Jeśli mówimy tylko o zbadaniu pamięci USB z poziomem bezpieczeństwa / ochrony „prawdopodobnie wystarczająco dobrym, biorąc pod uwagę względy praktyczne”, powyższa sugestia @Chris H jest dobra: weź komputer stacjonarny lub laptop (który można faktycznie otworzyć / serwisować bez profesjonalnych narzędzi), wyjmij dysk / dyski, uruchom komputer z preferowanego przez Ciebie stylu Live CD / USB OS i podłącz podejrzaną / intrygującą pamięć USB. Czy nadal istnieje niewielka szansa, że ​​USB może zawierać wyrafinowane złośliwe oprogramowanie, które może zostać uruchomione po podłączeniu pamięci USB, a następnie flashowaniu systemu BIOS / UEFI komputera lub flashowaniu innego zapisywalnego oprogramowania układowego zawartego w takich elementach, jak karta graficzna, karta sieciowa, Kontrolery USB itp.? Tak. (Chociaż w tej chwili wszystkie rzeczy oprócz ataków BIOS / UEFI pozostają bardzo rzadkie na wolności. Nawet złośliwe oprogramowanie BIOS lub UEFI musi być napisane specjalnie dla implementacji producenta / wersji używanej na docelowej maszynie). Czy element, który wydaje się być pamięć USB w rzeczywistości będzie zabójcą USB, który elektrycznie usmaży Twoją płytę główną? No cóż ... teoretycznie tak. Ale prawdopodobieństwo, że którakolwiek z tych rzeczy będzie prawdą - zwłaszcza ta zabójcza USB - jest zdecydowanie na twoją korzyść. Parafrazując słuszną uwagę, którą przedstawiłeś w swoim pytaniu, w większości przypadków zwykła stara pamięć USB to zwykła stara pamięć USB.

Chyba że ty, twój pracodawca, w innej jednostce, której jesteś częścią, możesz to znaczy być uważanym za cel o bardzo wysokiej wartości przez jakiegoś wyrafinowanego napastnika. Wtedy wszystkie zakłady są wyłączone. W takim przypadku skomplikowana metoda zapewniająca przede wszystkim bezpieczeństwo, taka jak powyższa, może być jedyną odpowiednią.

* Oczywiście nie ma czegoś takiego jak „doskonałe” zabezpieczenie. Ale „prawie idealne” zabezpieczenie jest tutaj wystarczająco bliskie dla naszych celów.

Chociaż coraz trudniej je znaleźć, niektóre komputery nie mają żadnej formy pamięci trwałej, którą można zmienić bez wymiany chipów lub przynajmniej fizycznej zmiany zworek. Podczas badania pendrive'a z taki komputer pod warunkiem, że potem go wyłączy, ponieważ kij nie mógłby niczego zainfekować.
To zabawne, ale miałem taką samą myśl. Ale po prostu założyłem, że znalezienie nowej (lub niedawnej) maszyny takiej jak ta dzisiaj byłoby mniej lub bardziej niemożliwe dla jednostki. (Oczywiście duże korporacje i agencje rządowe dbające o bezpieczeństwo mają dostęp do kanałów / dostawców, których nie mają osoby fizyczne. Lub mogą po prostu płacić oszałamiające ceny za niestandardowe produkty). Teraz jestem ciekawy, jakie opcje może tam być. Do Google ...
#10
+3
Jay
2015-10-19 12:07:48 UTC
view on stackexchange narkive permalink

Pozostałe odpowiedzi obejmują pendrive'y, które są złośliwe. Porozmawiam o zabójcy USB, o którym mowa w Twojej połączonej odpowiedzi. (EDYTUJ - zrobili, gdy zacząłem to pisać)

Maszyna wirtualna nie pomoże z nimi, nadal będzie pobierać moc i próbować smażyć wszystko, do czego jest podłączona. O ile wiem, masz trzy opcje:

  1. Otwórz dysk i zobacz, czy wygląda na porządny, czy też jest pokryty dużymi kondensatorami.
  2. Podłącz go do starej maszyny lub RPI itp. (Coś, co nie przeszkadza Ci się usmażyć)
  3. Zbuduj rozszerzenie USB z kilkoma przyzwoitymi diodami, które mają wysokie napięcie wsteczne.

To, co wybierzesz, zależy tak naprawdę od tego, gdzie znajdziesz dysk i jak bardzo jesteś zaciekawiony. Osobiście, gdybym znalazł jakąś poza pracą i absolutnie musiałbym to sprawdzić, podłączyłbym go do rPi. Jeśli znalazłem jednego na ulicy, zostaje tam.

Prawdopodobnie najlepiej byłoby użyć obwodu Zenera (plus bezpiecznik): Zobacz na przykład http://electronics.stackexchange.com/questions/59666/protect-dc-circuit-from-too-much-voltage (zakładając, że chcesz zbudować coś, w mojej odpowiedzi sugeruję zakup koncentratora izolowanego optycznie)
Podoba mi się ten pomysł, być może trzeba będzie wyjąć lutownicę w jeden weekend!
A co z niezasilanym koncentratorem USB?
#11
+1
Vandal
2015-10-19 11:57:07 UTC
view on stackexchange narkive permalink

Możesz zrobić maszynę wirtualną tak zwaną „prezerwatywą”. Kilka popularnych hiperwizorów to VMware Player i Virtual Box. W przypadku awarii maszyny wirtualnej możesz po prostu utworzyć nową i spróbować ponownie. Możesz znaleźć pliki ISO w Internecie, aby je utworzyć. Po prostu wyszukaj kilka samouczków, jeśli potrzebujesz przejścia, w zależności od hiperwizora, z którym korzystasz.

Jeśli masz komputer z systemem Linux, możesz ustawić dysk jako tylko do odczytu i może być łatwiejszy, w zależności od co masz. Możesz to zrobić za pomocą diskutil w Terminalu.

W zależności od trasy, którą wybierasz, po prostu skomentuj, a ja mogę dokładniej przeanalizować tę odpowiedź. Mam nadzieję, że to dostarczy Ci pomysłów i przybliży Cię do celu.

To nie ochroni Cię przed czymś takim jak urządzenie [zabójca USB] (http://kukuruku.co/hub/diy/usb-killer).
Oh rozumiem. Nie brałem tego pod uwagę. Jedyne, o czym myślałem, to infekcje związane z oprogramowaniem. Dzięki @tangrs!
Nie gwarantuje również ochrony przed infekcjami związanymi z oprogramowaniem. Maszyny wirtualne mogą być [„usuwane”] (http://security.stackexchange.com/q/3056/17049). Hiperwizor to oprogramowanie, które może zawierać luki, tak jak każdy inny. Ustawienie dysku jako tylko do odczytu nie ochroni Cię przed atakami na system operacyjny (np. W celu ponownego umożliwienia zapisu na dysku), na [BIOS] (https://en.wikipedia.org/wiki/BIOS#Security) lub na inne oprogramowanie.
Istnieją również ataki na poziomie oprogramowania układowego, które bezpośrednio nadużywają protokołu USB i mogą łatwo naruszyć dowolny niezałatany system operacyjny hosta, zanim jeszcze będziesz miał szansę podłączyć urządzenie do maszyny wirtualnej.
@billc.cn: chciałbyś przekazać kontroler USB dla pary portów do systemu gościa, być może z VT-d lub czymś podobnym. (Wsparcie sprzętowe zapewniające dostęp gościa do urządzenia PCIe).


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...