İş yerindeki otoparkta bulunan bir USB çubuğunu nasıl güvenli bir şekilde araştırabilirim?

Gömülü bir yazılım şirketinde çalışıyorum. Bu sabah binanın önündeki otoparkta bir USB bellek buldum. "Düşen USB stick saldırıları" nın tüm hikayeleri göz önünde bulundurulduğunda, kesinlikle dizüstü bilgisayarıma takmayacağım. OTOH, bunun aslında sistemlerimizi tehlikeye atma girişimi olup olmadığını merak ediyorum, ya da gerçekten sadece USB belleğini yanlışlıkla kaybeden birinin masum bir vakası. Maruz kalma riski olmadan USB belleği nasıl güvenli bir şekilde incelerim?

Ben sadece kötü amaçlı yazılım ve hazırlanmış dosya sistemi görüntüleri hakkında endişeleniyorum; güç dalgalanması saldırıları gibi şeyler de vardır:
'USB Killer 2.0' USB Özellikli Aygıtların Güç Dalgalanma Saldırılarına Karşı Savunmasız Olduğunu gösterir .

EDIT: Cevapların çoğu, sürücüyü tutmak ve daha sonra kullanmak istiyorum varsayalım. Bununla hiçbir ilgim yok, USB belleklerin ucuz olduğunu ve yine de benim olmanın benim olmayacağını biliyorum. Sadece bunun gerçekten yarı hedefli bir saldırı olup olmadığını bilmek istiyorum, kısmen bunun gerçek hayatta olup olmadığını sadece güvenlik belgelerinde değil, aynı zamanda iş arkadaşlarımı da uyarabiliyorum.

Çubuğun kötü amaçlı yazılım içerip içermediğini nasıl anlayacağımı bilmek istiyorum. Ve bu sadece sürücü içeriğine bakmak ve şüpheli bir autorun.inf veya dikkatle hazırlanmış bir bozuk dosya sistemi görmek meselesi değil - aynı zamanda bellenimi incelemek için bir yol istiyorum. Bunu ayıklamak ve bilinen-iyi veya bilinen-kötü ikili dosyalarla karşılaştırmak için araçlar olmasını bekledim.

Kullanmak istemediyseniz, ancak merak ediyorsanız - aslında kasayı açarak (çok dikkatli bir şekilde) ve içerideki cipslere bir göz atarak başlardım.

Biliyorum. Bu çılgınca geliyor, ancak tanımlanabilir bir denetleyici ve flash çipin varlığı, USB lastik ördek veya USB katili gibi bir şeyden ziyade gerçek bir USB sürücüsü olma olasılığını artıracaktır.

Sonra herkes önerdiklerini yapmak ve tek kullanımlık test it, sonra yüklemek yanı birkaç önyüklenebilir virüs tarayıcıları çalıştırmak eğer Güvenli olduğundan emin misin, silin.

TENS

Otoparkta bulduğunuz şüpheli USB flash sürücüleri test etmek için iyi bir güvenlik dağıtımı , daha önce bir bilgisayardan önyüklendiğinde tamamen RAM'den çalışan bir Linux güvenlik dağıtımı olan Hafif Taşınabilir Güvenlik (LPS) olarak adlandırılan Güvenilen Uç Düğüm Güvenliği'dir (TENS). önyüklenebilir USB flash sürücü. TENS Public, güvenilmeyen bir sistemi (ev bilgisayarı gibi) güvenilir bir ağ istemcisine dönüştürür. Yerel bilgisayarın sabit diskine iş etkinliği (veya kötü amaçlı yazılım) izi yazılamaz.

Güvenlik özelliğine ek olarak, TENS'in başka bir yararlı amacı daha vardır. Tamamen RAM'den çalıştığı için, TENS neredeyse her donanımda önyükleme yapabilir. Bu, diğer birçok canlı önyüklenebilir USB ISO görüntüsünü önyükleyemeyen bir bilgisayarın USB bağlantı noktasını test etmek için yararlı kılar.

USBGuard

Linux kullanıyorsanız, USBGuard yazılım çerçevesi, cihaz özelliklerine dayalı temel beyaz liste ve kara özelliklerini uygulayarak bilgisayarınızı sahte USB cihazlarına karşı korumaya yardımcı olur. Kullanıcı tanımlı politikayı uygulamak için 2007'den beri Linux çekirdeğinde uygulanan USB cihazı yetkilendirme özelliğini kullanır.

Varsayılan olarak, USBGuard yeni bağlanan tüm aygıtları ve arka plan programı başlatmadan önce bağlanan aygıtları olduğu gibi bırakır.

Sisteminizi USB saldırılarına karşı korumak için USBGuard'ı kullanmaya başlamanın hızlı bir yolu, önce sisteminiz için bir ilke oluşturmaktır . Ardından, usbguard-daemon komutunu başlatın sudo systemctl start usbguard.service. Sen kullanabilirsiniz usbguardkomut satırı arayüzü komut ve generate-policyalt komutunu ( usbguard generate-policyyerine sıfırdan yazma Sisteminiz için bir başlangıç politikasını oluşturmak için). Araç, yürütme anında sisteminize bağlı olan tüm cihazlar için bir izin ilkesi oluşturur. ¹

Özellikleri

• USB cihazı yetkilendirme ilkeleri yazmak için kural dili
• Dinamik etkileşim ve politika uygulama için IPC arayüzlü Daemon bileşeni
• Çalışan bir USBGuard örneğiyle etkileşim kurmak için komut satırı ve GUI arabirimi
• Paylaşılan bir kitaplıkta uygulanan daemon bileşeni ile etkileşim için C ++ API

¹ _{Revize edilmiş: USBGuard ile USB güvenlik saldırılarına karşı yerleşik koruma}

Kurulum

USBGuard, RHEL 7'de varsayılan olarak kurulur.

USBGuard'ı Ubuntu 17.04 ve sonraki sürümlere kurmak için terminali açın ve şunu yazın:

sudo apt install usbguard  

USBGuard'ı Fedora 25 ve sonraki sürümlere kurmak için terminali açın ve şunu yazın:

sudo dnf install usbguard   

USBGuard'ı CentOS 7 ve sonraki sürümlere kurmak için terminali açın ve şunu yazın:

sudo yum install usbguard  

USBGuard kaynağından derleme, bağımlılık olarak başka birkaç paketin yüklenmesini gerektirir.

Çeşitli yaklaşımlar vardır, ancak bu çubukta yerleşik yazılım yerleşik yazılımı varsa gerçekten oldukça tehlikelidir.

Bir yaklaşım, birçok LiveCD Linux dağıtımından birini indirmek, sabit sürücüleri ve ağ bağlantılarını çıkarmak ve daha sonra bir göz atmak olabilir.

Sanırım eski bir dizüstü bilgisayarı dolaptan çıkarmayı, ona takmayı ve daha sonra büyük bir çekiçle vurmanızı öneririm.

En iyi yaklaşım - Merak etmeyin! :)

Yapma. Onları çöpe atın veya Kayıp / Bulunan'ı bir zaman damgasıyla atın. USB bellekler ucuzdur, kötü amaçlı yazılımlardan veya fiziksel sabotajlardan temizlemek için harcadığınız zamandan çok daha ucuzdur. Orada kapasitörlerde şarj depolayacak ve aniden PC'nize deşarj edecek ve onu mahvedecek USB çubukları var.

Bu konu ile yere bağlı iki usb sopa buldum. Şimdi ne olacak? . Diğer iş parçacığı, içeriğin işinizin hiçbiri olmadığını ve sahibine geri dönmek için onu açmanız gerektiğini ve sürücünün hükümet içerebileceğini belirten Mike Chess'in cevabı gibi teknik olmayan bazı hususları içerir. sırları, terörist belgeleri, kimlik hırsızlığında kullanılan veriler, çocuk pornografisi vb.

Her iki konudaki diğer cevaplar, içeriği keşfederken kendinizi kötü amaçlı yazılımlardan nasıl koruyacağınızı ele alır, ancak bu cevaplar sizi bu soruda öne sürülen önemli bir nokta olan "katil USB" den korumaz. Diğer cevaplarda kapsanan şeyleri yeniden şekillendirmeyeceğim, ancak kendinizi kötü amaçlı yazılımlardan (tuş vuruşlarını enjekte eden lastik ördekler dahil) korumaya ilişkin tüm tavsiyelerin geçerli olduğunu söylemek için yeterli.

Değer ve Marka Adı

Ama Christopher Hostage'ın flash sürücülerin rahatsızlık ve riske değmeyecek kadar ucuz olduğu konusuyla başlayacağım. Sürücünün sahibi tarafından talep edilmemişse ve tüm uyarıları değerlendirdikten sonra, sürücüyü güvenli ve kullanılabilir hale getirmeye çalışmanız gerektiğine karar verin, sürücünün değerini dikkate alarak başlayın. Düşük kapasiteli, standart hızda, bilinmeyen yaşta bir isim sürücüsü yoksa, birkaç dolar için yenisiyle değiştirebilirsiniz. Sürücüde kalan ömrü bilmiyorsunuz. "Yeni" duruma geri yükleseniz bile, güvenilirliğine veya kalan hizmet ömrüne güvenebilir misiniz?

Bu da bizi resmi olarak size ait olan ve talep edilmemiş bir dürtüye götürüyor ve:

• tanınmış güvenilirlik ve performansa sahip yüksek kapasiteli, yüksek hızlı, marka bir sürücüdür,
• yeni durumda olduğu anlaşılıyor, belki de yeni piyasaya sürülen bir ürün, bu yüzden çok eski olamayacağını biliyorsunuz.

Bu kriterlerin bir noktası, sürücünün aslında önemsiz bir miktardan daha değerli olabileceğidir. Ama benim tavsiyem ikinci bir sebepten ötürü başka bir şeyle uğraşmamak. Journeyman Geek'in bir yorumda belirttiği gibi, lastik ördekler ve USB katiller ortak görünümlü paketlerde geliyor. Marka adı ambalajının pahalı ekipman olmadan taklit edilmesi zordur ve bir marka ambalajıyla tespit edilemeyen bir şekilde oynanması zordur. Kendinizi tanıdık olan marka sürücülerle sınırlamak kendi içinde küçük bir koruma sağlar.

Güvenli Bağlantı

İlk soru, bir katil USB olabilirse, sisteminize fiziksel olarak nasıl güvenli bir şekilde bağlayabileceğinizdir ve odaklanacağım budur.

Sürücü Denetimi

• İlk ipucu sürücünün kendisidir. Temel olarak USB konektörü olan artı içeri ve dışarı almak için bir şeyler alacak kadar plastik olan minyatür stiller var. Bu tarzın, özellikle plastiğin üzerinde marka adı varsa güvenli olması muhtemeldir.

• Flip tarzı sürücüler lastik ördekler için popülerdir, bu nedenle bunlara özellikle dikkat edin.

• Katil donanımını tutacak kadar büyük standart boyutlu bir parmak sürücü ise, kasada sahte veya üzerinde oynanmış olduğuna dair işaretler olup olmadığını inceleyin. Orijinal, marka etiketli kasa ise, büyütme ile görülebilecek işaretleri bırakmadan kurcalamak zor olacaktır.

Elektriksel izolasyon

• Bir sonraki adım, sürücüyü sisteminizden izole etmek olacaktır. Parmak sürücünün potansiyel değeri için feda etmek istediğiniz ucuz bir USB hub kullanın. Daha da iyisi, papatya zinciri birkaç göbek. Hub (lar), çok pahalı bilgisayarınızı "olması gereken", ücretsiz katil USB sürücüsünden koruyabilecek bir dereceye kadar elektriksel yalıtım sağlayacaktır.

  Uyarı: Bunu test etmedim ve bunun sağlayabileceği güvenlik derecesini bilmem mümkün değil. Ancak sisteminizi riske atacaksanız, sisteminizdeki hasarı en aza indirebilir.

LPChip'in soru üzerine bir yorumda belirttiği gibi, bunu test etmenin tek "güvenli" yolu tek kullanımlık olduğunu düşündüğünüz bir sistem kullanmaktır. O zaman bile, hemen hemen her çalışan bilgisayarın yararlı olma potansiyeline sahip olduğunu düşünün. Eski, düşük güçlü bir bilgisayara hafif, bellekte yerleşik bir Linux dağıtımı yüklenebilir ve rutin görevler için şaşırtıcı performans sağlar. Flash sürücüyü test etmek amacıyla bir bilgisayarı çöp kutusundan almıyorsanız, çalışan bir bilgisayarın değerini bilinmeyen sürücünün değerine göre tartın.

Soru, amacı sadece sahibi tanımlamak veya yeniden yapmak yerine USB sürücüsünü araştırmak olarak tanımlamak için açıklandı. Bu çok geniş bir soru, ama genel bir şekilde ele almaya çalışacağım.

Sorunlar ne olabilir?

• Bir "katil USB". Bu tür tasarımlar, bilgisayarınızı kızartmak için USB portu üzerinden yüksek voltaj pompalar.
• Bir flash sürücü paketinde saklanan özel elektronik. Bu, tasarımcının icat edebileceği her şeyi yapabilir. Yaygın bir mevcut tasarım, klavyeden yapabileceğiniz her şeyi enjekte etmek için bir klavyeyi simüle eden lastik ördek.
• Değiştirilmiş bellenime sahip bir flash sürücü. Yine, sadece tasarımcının hayal gücü ile sınırlıdır.
• Kötü amaçlı yazılım bulaşmış bir flash sürücü. Bu neredeyse her türlü kötü amaçlı yazılım olabilir.
• Birini yakalamak için tasarlanmış bir flash sürücü Bu, istihbarat servisi, kolluk kuvvetleri, araştırmacı veya hassas içerikler üzerinde koruma olarak kullanılan bir şey olacaktır. Sürücüye erişmek bir tür uyarıyı tetikler.
• Gizli bilgi, çalıntı bilgi, çocuk pornografisi vb.
• Kötü niyetli insanlar her zaman kötü şeyler yapmak için yeni yollar bulurlar, bu yüzden muhtemelen bir USB paketinde bulunan her türlü tehlikeyi bilemeyiz.

Tahrikin araştırılması

Hazırlık

Olasılıklar göz önüne alındığında, sürücüyü araştırmak için kendinizi tamamen korumak zordur.

• Potansiyel içeriğe sahip olma ve bunları inceleme yetkisi ile başlayın. İstihbarat topluluğu, kolluk kuvvetleri veya bir tür yasal düzen veya lisansınız varsa bu daha kolaydır. Kısacası, masum yollarla elinizde olduğunu kanıtlayan bir kağıt izi önceden kurun. İçindekiler yasa dışı veya organize suç işleyen yabancı ajanlara aitse, kağıt iziniz fazla koruma sağlamayabilir. :-)
• İnternetten izole iş. Gömülü bir radyo vericisi olasılığına karşı korumak istiyorsanız, bir Faraday kafesinin içinde çalışın.
• Kendi donanımınızı katil bir USB'den koruyun.
  • Davayı açın ve Journeyman Geek'in açıkladığı gibi cesaretleri inceleyin. Bu aynı zamanda bir flash sürücü kutusundaki özel elektronikleri de tanımlar.
  • Sürücüyü elektriksel olarak izole edin. Optik olarak yalıtılmış bir USB hub kullanabilirsiniz, ancak tek kullanımlık bir bilgisayardan daha fazla harcayabilirsiniz. Diğer cevabımda önerildiği gibi, taşınabilir bir bilgisayara bağlı birkaç ucuz USB hub'ını papatya dizimi yapabilirsiniz.
• Sisteminizi düşük seviyeli saldırılara karşı koruyun. Geri yükleme veya çöpe atmayı umursamayacağınız yedek, ucuz bir bilgisayar kullanmaktan başka, ürün yazılımınızı değiştirmiş gibi bir şeye karşı korunmanın bir yolu olduğundan emin değilim.
• Sisteminizi kötü amaçlı yazılımlardan koruyun. Bu, bağlantılı iş parçacıkları, kendi işletim sisteminizden, yazılımınızdan ve dosyalarınızdan yalıtılmış çalışmak için canlı bir Linux oturumu veya VM gibi teknikleri kullanarak, otomatik çalıştırmayı devre dışı bırakan vb. Gibi çeşitli yanıtlarda açıklanmaktadır.

soruşturma

• Paket, flash sürücü elektroniği dışında bir şey içeriyorsa, kasayı açmak bunun ne olduğunu görmenin tek yoludur. USB arayüzünü hangi model katil USB olduğunu sormak için sorgulayamazsınız.
• Sürücü kötü amaçlı yazılım içeriyorsa, farklı yöntemler kullanan birkaç saygın program kullanılarak kötü amaçlı yazılımdan koruma taramaları çalıştırılarak tanımlanır.
• İçeriğin araştırılması, içeriğe bakmak için kullanılan normal araçlarla yapılacaktır. Bu, bazı şeyleri gizlemek veya gizlenmiş şeyleri aramak gibi küçük bir dedektiflik çalışması içerebilir. İçerikler farklı bir tartışma olan şifreli veya başka bir şekilde korunabilir.
• Değiştirilmiş ürün yazılımının araştırılması son derece zor olacaktır. Ürün yazılımı koduna erişmek için araçlara ve bunu karşılaştırmak için normal koda (özel olarak sahip olma olasılığı vardır) ihtiyacınız olacaktır. Aynı, bilinen iyi bir sürücünüz ve bellenim koduna erişmek için araçlarınız varsa, bu karşılaştırma için bir kaynak olacaktır, ancak bu kod satıcılar ve aynı ürünün potansiyel sürümleri arasında değişecektir. Flash sürücü gerçekten yıkıcı bir tesisse, ne yaptığını anlamak için bellenimi tersine çevirmeniz gerekir.

Gerçekten, gerçekten bunu yapmak isteseydim, yapabileceğim en ucuz Raspberry Pi klonunu alırdım ve buna takardım. Bilgisayarı zaplarsa çok fazla kaybetmedim. İşletim sisteminin enfekte olması muhtemel değildir ve öyle olsa bile, ne olacak?