Domanda:
Esiste un modo per esaminare in sicurezza il contenuto di una memory stick USB?
200_success
2015-10-19 11:28:56 UTC
view on stackexchange narkive permalink

Supponi di aver trovato una memory stick USB in giro e di voler esaminare il suo contenuto nel tentativo di individuare il legittimo proprietario. Considerando che le chiavette USB potrebbero effettivamente essere qualcosa di molto più dannoso di un dispositivo di archiviazione di massa, esiste un modo per farlo in sicurezza? È possibile un "preservativo" di isolamento elettrico? C'è un modo per caricare manualmente i driver USB in Linux / Windows / OS X in modo da garantire che non tratti il ​​dispositivo come qualcosa di diverso dall'archiviazione di massa USB?

Dopotutto, nonostante tutta la paura -mongering, è ancora estremamente più probabile che quello che sembra essere un memory stick fuori posto in realtà sia solo un memory stick.

Domanda di follow-up: quali misure fanno / possono prendere i chioschi di stampa fotografica per proteggersi da questi tipi di attacchi?

Collegalo a un vecchio laptop (non connesso a una rete) che non ti dispiace bruciare.
L'unico modo veramente sicuro è smontarlo, dissaldare il chip flash e leggerlo con il tuo circuito fidato.
Oltre a qualsiasi tipo di attacco software, puoi proteggere il tuo PC meccanicamente / elettricamente utilizzando un hub USB economico immagino.
Dalle risposte sembra ci siano attacchi hardware e software. Il primo tipo può essere controllato da specifici hub USB che isolano l'alimentazione. Il secondo sembra più difficile in quanto possono nascosti nel firmware e finire inosservati.
@PlasmaHH: e poi restituirlo al legittimo proprietario. Probabilmente sarà felice, sì!
Chissà che non sia una bomba che finge di essere una chiavetta USB? E immagino che la prossima versione di USB killer possa fingere di essere una buona memory stick per circa 5 usi.
"quali misure fanno / possono adottare i chioschi di stampa fotografica per proteggersi da questo tipo di attacchi?" Nessuno. Si lasciano solo compromettere. Quando ho lavorato per un importante fornitore di audio / video, uno dei nostri uffici era nello stesso edificio di una farmacia e abbiamo finito per licenziare alcuni dipendenti per aver continuato a utilizzare la stampante fotografica in farmacia, perché i dispositivi USB collegati ai chioschi fotografici verrebbero infettati da * dozzine * di diversi malware e quelli entrerebbero nella nostra rete interna quando collegheranno il dispositivo USB alle loro macchine di lavoro.
@HopelessN00b Yikes! Immagino che lo stesso valga per i chioschi per la pressione sanguigna con connettori per vari dispositivi, come quello del mio negozio di alimentari locale. O praticamente qualsiasi chiosco pubblico con una porta USB esposta.
@user23013 Il cavallo di Troia moderno che (* quasi *) pose fine alla civiltà. Memory Stick USB che sono bombe nucleari. Fortunatamente, un impiegato molto scettico della sicurezza informatica lo ha smontato e ha scoperto la bomba. Ora, tutti i dispositivi USB sono inaffidabili e non dovrebbero mai essere collegati, anche se li hai acquistati dal negozio. Mai!
Le torte di lamponi erano perfette per quel tipo di esame fino a quando non sono diventate abbastanza popolari da essere prese di mira.
@HopelessN00b Geez. Spero che abbiano ricevuto prima un paio di avvertimenti.
@Shane Oh, hanno ricevuto più di un anno di avvertimenti. E le istruzioni su quali reti * potrebbero * collegare dispositivi USB potenzialmente infetti. E l'azienda ha fornito apparecchiature in modo che non dovessero utilizzare il chiosco. Noi informatici eravamo stufi da tempo di ripulire e urlare per il sangue molto prima che venissero inscatolati ... ma, alla fine, una delle infezioni ha disturbato o messo in imbarazzo uno dei nostri livelli di C, e questo è tutto.
@200_success +1 Internet point arbitrario per avermi fatto lol, non un voto positivo: P
@Aequitas Molti, molti anni fa, ho incontrato alcuni floppy disk 3.5 forniti in sacchetti di plastica individuali per qualche motivo. Qualcuno ha quasi convinto che fossero preservativi per la protezione dai virus.
Questa non è una risposta; solo un'osservazione. Supponendo che l'hardware sia sicuro, tutto il bastone contiene sono 0 e 1. È colpa del PC se eseguirà quei dati. Qualsiasi porta dovrebbe essere programmabile in una modalità sicura in cui qualsiasi ingresso è reso non eseguibile.
che ne dici di utilizzare software come deep-freeze? nel mio caso funziona come un fascino :)
Non sono sicuro che questo giustifica una domanda completa che viene posta (e Dio sa quale stackexchange sarebbe appropriato) ma il BIOS ha bisogno dell'accesso in scrittura per il normale utilizzo? Potresti scollegare fisicamente il pin di scrittura o aggiungere un blocco di scrittura hardware in linea (se ora sono seriali) per questo genere di cose, supponendo che vengano prese anche altre misure, naturalmente?
Correlati: [Come possono essere pericolose le chiavette USB?] (Https://security.stackexchange.com/q/102873/34757), [Come posso indagare in sicurezza su una chiavetta USB trovata nel parcheggio al lavoro?] (Https://superuser.com/q/1206321/150988), [Apertura sicura di un'unità USB sospetta] (https://superuser.com/q/167878/150988), [Come posso esplorare in sicurezza un'unità flash USB non attendibile?](https://superuser.com/q/983709/150988), [Qual è il pericolo di inserire e sfogliare un'unità USB non attendibile?] (https://superuser.com/q/709275/150988), [Come puòun flash drive diffonde un virus?] (https://superuser.com/q/93939/150988), e probabilmente altro ancora.
Undici risposte:
#1
+78
Ian H
2015-10-20 18:33:08 UTC
view on stackexchange narkive permalink

Userei un Raspberry Pi, il Modello A / A + senza una connessione di rete, poiché:

  • Esso (o meglio Linux) può leggere la maggior parte dei tipi di filesystem su una chiavetta USB.
  • L'unico spazio di archiviazione non volatile che ha è una scheda SD, che può essere riformattata (o scartata se sei paranoico) in seguito.
  • Se la chiavetta USB risulta essere elettricamente dannoso, hai perso solo $ 20 di hardware.
  • Funziona con un sistema operativo in qualche modo non tradizionale su una piattaforma non x86, il che rende meno probabile la vulnerabilità al tipico malware di Windows.

Questo lascia ancora la questione di cosa faresti con i file che trovi su di esso: copiarli su qualsiasi altra macchina metterebbe ovviamente a rischio quella macchina.

Niente è Sicuro al 100%, intendiamoci. Non posso dirlo meglio di James Mickens: "Se il tuo avversario è il Mossad, TU MORIRAI E NON C'È NULLA CHE PUOI FARE A riguardo".

Il problema è che potresti non rilevare nulla (dipende ovviamente dalle tue capacità) di sospetto ma trasporterebbe comunque un carico utile pericoloso.
Un Raspberry Pi, eh? Ora mi chiedo quando qualcuno trova un modo per infettare i controller HDMI.
@xeon: Se la politica per i dispositivi USB trovati è di esaminarli per eventuali segni evidenti di proprietà e, se ne vengono trovati, contattare l'apparente proprietario (che dovrebbe quindi avere qualche indizio sul fatto che l'unità sia sua e quanto paranoico lo desidera riguardare la possibilità che sia stata manomessa) quindi l'entità che trova l'unità e cerca segni di proprietà non avrebbe alcun motivo per preoccuparsi di un carico utile pericoloso nascosto poiché l'entità che ha trovato l'unità non avrebbe nulla da temere da tale un carico utile poiché non esporrebbero mai nulla di grande valore all'unità in questione.
+1 Questa è una soluzione molto più economica di un hub USB optoisolato. Il più economico di quelli che ho trovato era più vicino a $ 100.
Hai appena chiamato Linux "non mainstream"? Poiché questo è vero solo per il mercato desktop, tutto il resto è dominato da Linux o da qualche altro Unix. (Bene, eccetto roba in tempo reale, è principalmente VxWorks, che, per quanto ne so, non Unix.)
@Bobby è il sistema operativo Linux che gira su PRI una versione mainstream di Linux?
@Bobby Esatto. Linux domina nei mercati in cui è improbabile collegare un'unità USB casuale, e non lo fa nei mercati in cui è più probabile collegare tale dispositivo USB. Quindi il punto resta.
@schroeder Il sistema operativo consigliato per Raspberry Pi è Raspbian, un derivato di Debian. Ce ne sono altri, ma sembrano anche essere versioni leggermente modificate dell'originale per la maggior parte. Vedi [qui] (https://www.raspberrypi.org/downloads/).
Potresti prima provare a collegarlo a qualcosa come un [CIRCLean USB Sanitizer] (https://www.circl.lu/projects/CIRCLean/), quindi collegare l'unità copiata a una macchina Linux Live Boot senza alcuna connessione di rete.È inoltre necessario cercare uno scenario [BadUSB] (https://youtu.be/nuruzFqMgIw) in cui è stato violato il chip controller USB effettivo.Ecco perché copi prima tutti i dati che desideri su un buon dispositivo noto, quindi getti l'originale.Quindi SOLO allora prenderei anche in considerazione il rischio di collegare l'unità copiata a una macchina che uso effettivamente.Anche allora, probabilmente no.
#2
+49
Chris H
2015-10-19 15:32:30 UTC
view on stackexchange narkive permalink

L'USB-killer non ucciderebbe il tuo PC se lo collegassi tramite un hub optoisolato. Esistono, (cerca: "hub usb optoisolato") ma poiché non ne ho mai usato uno personalmente non ho intenzione di consigliare un modello specifico. Tuttavia non sono economici. Ecco un esempio:

usb hub

Una volta affrontato l'aspetto hardware, sei ridotto a un problema più comune. Probabilmente hai già ricevuto consigli più esperti in altre risposte, ma la mia opinione è di scollegare il disco rigido (e tutte le altre memorie scrivibili) di un PC e avviarlo da un CD live o da una chiavetta USB live (uno che non si auto - eseguire il contenuto delle chiavette USB ovviamente). Perché è il massimo ritorno per lo sforzo dato da dove parto. Sarebbe sensato se prendessi l'abitudine di impostare anche il tuo live CD in modo che non si monti automaticamente e non si installi automaticamente l'hardware e che scolleghi la macchina dalla rete. Anche l'avvio con la chiavetta sospetta in posizione sarebbe una cattiva idea, nel caso in cui sia avviabile, ma anche perché potresti voler avere accesso ai registri degli eventi dopo averlo appena collegato.

Questo non ti aiuterà a proteggerti da un [virus BIOS] (https://en.wikipedia.org/wiki/BIOS#Security) o da attacchi firmware su qualsiasi hardware che lasci connesso alla tua macchina. Forse anche la tua [tastiera o mouse] (http://security.stackexchange.com/q/100743/17049).
@JonBentley, non si avvia automaticamente o tenta di avviare la memory stick dovrebbe proteggere il BIOS, no? Supponendo che un riflesso dannoso sia il vettore, ovviamente. Ho visto anche il thread del mouse e una recente "tastiera mascherata da chiavetta USB". Generalizzerò il mio "scollegare l'HDD" per disconnettere l'archiviazione scrivibile. Mi chiedo se sia possibile avere una macro da tastiera che scrive ed esegue uno script che possa eseguire il flashing del BIOS.
Si noti che per le velocità USB2 o USB3 veloci non esistono isolatori opto economici sul mercato
@PlasmaHH, Non sono sorpreso, ma la retrocompatibilità sarebbe abbastanza buona da consentire indagini. Se l '* hardware * è benigno, il passaggio successivo potrebbe essere la rimozione dei file sull'unità, quindi forse la visualizzazione del loro contenuto, iniziando con piccoli file di testo.
@ChrisH: Può essere necessario un po 'di tempo per scaricare 3 TB di dati su 12 MBit quando si desidera disegnare un'immagine per la scientifica ...
@PlasmaHH, Sono sicuro che può. Ma: (i) le chiavette USB da 3 TB non sono esattamente comuni; (ii) la premessa della domanda non era forense, ma: "questa è una vera chiavetta USB e, in caso affermativo, di chi" (ad esempio, a un professionista IT non di sicurezza viene consegnato un dispositivo foudn - la mia interpretazione). Se non è una chiavetta USB, ucciderla con il fuoco, indagare per divertimento o passare a un'autorità forense appropriata. Se si tratta di una chiavetta USB ovviamente dannosa, eseguire un'azione simile. In questa fase non abbiamo bisogno di immaginarlo (e potresti non voler prendere possesso dei contenuti se non lavorandoci sopra in modo professionale).
@PlasmaHH continuando ciò che ha detto Chris, le chiavette USB di dimensioni normali possono essere visualizzate in un ragionevole lasso di tempo su una connessione 1.0. Circa mezza giornata per una chiavetta piena da 64 GB (lasciala funzionare durante la notte, guardala il giorno successivo) o un'ora e mezza per 8 GB.
Dato il prezzo di acquisto di un hub USB optoisolato, penso che sia molto meglio acquistare un PC di seconda mano economico online come suggerito da @Matty, quindi non devi preoccuparti nemmeno del software.
@PlasmaHH La più grande unità flash USB disponibile in commercio è da 1 TB e costa oltre 650 USD. Un USB da 3 TB nel periodo attuale significa una delle 3 cose. In ordine decrescente di probabilità che finisca nel tuo parcheggio: 1. il dispositivo USB è disturbato e riporta la sua capacità in modo eccessivo, nel qual caso non fidarti; 2. È un prototipo di Kingston o Patriot (gli unici che attualmente vendono unità USB da 1 TB) e devono essere restituiti; 3. Il dispositivo in qualche modo è arrivato qui dal futuro ed è possibile che gli attuali standard USB non ti permettano di leggerlo.
Non stai scherzando sul cartellino del prezzo! Ho avuto molti problemi nel corso degli anni con gli hub USB che alimentavano la tensione sulla scheda madre, quindi li ho cercati dopo aver letto il tuo post.
@NateKerkhofs, sei perfetto, ma PlasmaHH potrebbe riferirsi a dischi rigidi esterni USB, che potrebbero essere facilmente trasformati in assassini USB. Tuttavia, avresti solo bisogno di USB 1.0 per verificarlo.
@ChrisH Potresti trasformare un HDD esterno in un USB killer, ma sarebbe molto più conveniente usare qualcosa come un USB da 8 GB (che puoi ottenere per una frazione del costo di un HDD esterno da 3 TB) o persino costruire un dispositivo da zero. È anche più probabile che un'unità USB venga "accidentalmente" lasciata cadere (ad esempio da una tasca) in un parcheggio, soprattutto se l'idea è che la cosa dovrebbe ancora funzionare.
@NateKerkhofs, Sono completamente d'accordo.
#3
+35
Tom Leek
2015-10-20 20:32:05 UTC
view on stackexchange narkive permalink

Se supponiamo che il bastoncino possa essere stato alterato fisicamente per la massima cattiveria, allora si deve tenere conto della possibilità che il presunto "memory stick" vomiti spore di antrace o una nuvola di ossido di plutonio quando viene inserito in un computer , quindi la risposta alla tua domanda sarebbe: non esiste un modo sicuro per esaminare il contenuto di un memory stick (a meno che tu non possa delegare il compito a qualche subalterno che lo farà in un altro edificio).


Al contrario, se supponiamo che l'attaccante non sarà così completo, allora stiamo implicitamente utilizzando una "soglia di cattiveria" di natura arbitraria. Se escludiamo effetti distruttivi fisici grezzi (incluso il tentativo di friggere l'elettronica del computer host), allora ci sono principalmente cinque modi in cui un memory stick malvagio potrebbe danneggiare la macchina in cui è inserito:

  • La memory stick potrebbe tentare di abusare di una vulnerabilità nell'hardware del controller USB. Quel controller è un chip con un proprio firmware, che è anche collegato alle principali corsie di dati del computer, quindi esiste la possibilità teorica di buchi sfruttabili. Questo sarebbe molto specifico per una versione del controller e del suo firmware e non sono a conoscenza di alcun simile buco in natura.

  • La memory stick potrebbe tentare di abusare di un vulnerabilità nel codice del sistema operativo che gestisce il dialogo USB. Questo è fondamentalmente ciò che stava facendo il PlayStation Jailbreak: il dispositivo era, a livello USB, diversi dispositivi, uno dei quali inviava messaggi leggermente fuori specifica che attivavano un buffer overflow nel codice del sistema operativo che rileva ed enumera i dispositivi USB.

  • La memory stick potrebbe, in effetti, non essere una memory stick, ma un altro tipo di dispositivo, forse diversi simultaneamente. Ad esempio, la levetta potrebbe essere, dal punto di vista del sistema operativo, una tastiera e quando la si inserisce potrebbe iniziare a digitare cose. Questo accade in natura.

  • La memory stick potrebbe essere una vera memory stick, con un filesystem che sfrutta una vulnerabilità nel codice del sistema operativo per i filesystem. Oltre agli overflow diretti del buffer, possono esserci anche problemi, ad esempio, con le funzionalità di esecuzione automatica (è interessante notare che un certo numero di memory stick esistenti e non dannose emulano anche un'unità CD-ROM virtuale proprio per provare a fare esercizio tale funzionamento automatico). Una variante potrebbe essere un stick contenente immagini che sfruttano i buchi nelle librerie di rendering delle immagini (che verrebbero richiamate dal computer host quando si tenta di mostrare le "miniature" esplorando graficamente le directory e i file).

  • Ultimo ma non meno importante, è coinvolto un operatore umano, che apre molte possibilità di attacco. Molti attacchi sfruttano semplicemente il pozzo senza fondo della creduloneria umana. Il contenuto dello stick potrebbe indurre l'operatore umano a lanciare con noncuranza quello che sembra un eseguibile innocuo. O, peggio ancora, il bastone potrebbe contenere documenti di natura inquietante (alcune cose non possono essere semplicemente nascoste), che conta ancora come "danno".

Il tuo la soluzione migliore per "esplorare in sicurezza" la chiavetta sarebbe usare un PC di base con un sistema operativo con una buona reputazione per quanto riguarda la qualità del codice, aggiornato con le patch di sicurezza e, soprattutto, con un minimo di plug-and -giocare il supporto possibile. Idealmente, un sistema operativo che non proverà a fare nulla automaticamente con il dispositivo USB appena inserito (cioè un sistema operativo che è esattamente ciò che i sistemi operativi moderni come Windows, OS X o Linux non sono). Suggerisco di iniziare con OpenBSD o NetBSD, personalizzato per disattivare qualsiasi forma di magia legata all'USB. L'uso di software insolito e hardware insolito offre anche qualche piccola protezione extra, sulla base del fatto che gli aggressori di basso livello e di ampia diffusione tendono a non preoccuparsi di scrivere exploit per, ad esempio, sistemi NetBSD che girano su Mac basati su PowerPC.

#4
+19
user45139
2015-10-19 12:00:50 UTC
view on stackexchange narkive permalink

In tutti i casi, tieni presente che non esiste un sistema sandbox (hardware / elettrico, software) perfettamente in grado di prevenire tali possibili infezioni per il 100%.

D'altra parte, la tua situazione può dipendere da chi sei e da dove l'hai trovato.

Se sei un lavoratore qualificato, diciamo, per una casa automobilistica e hai trovato il bastone accanto al tuo posto di lavoro o vicino al tuo luogo di vita (tu sono mirati) quindi potrebbe essere la cosa migliore che potresti fare è distruggere quella chiavetta USB perché il problema è che non c'è modo di sapere in anticipo se la chiavetta USB che hai trovato ha un malware incorporato nel firmware, nel qual caso nulla sembra utile ( Il malware "BadUSB" risiede nel firmware USB per non essere rilevato, non risolvibile). Tale malware potrebbe causare l'infezione del BIOS, cosa che potrebbe essere troppo difficile da eliminare (se non impossibile).

Se sei un Mr. X o Y e hai trovato la chiavetta USB in un luogo pubblico casuale, quindi potrebbe essere anche se la chiavetta USK è infetta (intenzionalmente o meno), il malware non potrebbe essere così drammatico e in tal caso potrebbe essere avviato sul computer utilizzando un Live-CD di Linux per avviare e controllare contenuto della tua USB potrebbe essere un'azione ragionevole.

#5
+11
chx
2015-10-20 11:39:30 UTC
view on stackexchange narkive permalink

Sebbene gli aspetti elettrici sopra siano stati trattati, molti sono preoccupati da un malware che infetta il BIOS. Bene, allora collegalo a una macchina che non ha un BIOS e non esegue nulla sulla chiavetta: usa una macchina SPARC. Vedo macchine Sunfire V100 su eBay per $ 50-60 in condizioni incerte, meno di $ 200 per il cosiddetto "venditore ricondizionato". È possibile che ce ne fossero più vecchi, quindi anche quelli più economici con USB non ne ricordo nessuno. Il V100 ha sicuramente porte USB. Sono sicuro che se un'agenzia di tre lettere è a conoscenza del tuo utilizzo di uno SPARC, sarà in grado di fare qualcosa di brutto con una chiavetta USB, ma sarebbe un attacco estremamente costoso poiché avrebbero bisogno di fare ricerche originali su come farlo. Ecco la pagina Oracle ufficiale sul montaggio di chiavette USB su Solaris.

Questo argomento del forum parla dell ' aggiunta di USB a Ultra 5/10 se desideri preoccuparti con quello ma non li vedo molto più economici del Sunfire V100.

Hai menzionato un buon punto: * Macchina senza BIOS *. +1
I sistemi SPARC dispongono di un BIOS; lo chiamano semplicemente "firmware". Ma tutti i computer si avviano con un codice in ROM / Flash e quel codice, come ogni singolo software, potrebbe avere dei bug. Naturalmente, questo non è lo stesso codice di un BIOS per un computer basato su x86, quindi si può sperare che l'aggressore "non abbia pensato alle macchine SPARC".
Questo è esattamente quello che intendevo, per BIOS intendevo BIOS per PC e per "non eseguirà nulla sulla chiavetta" intendevo "qualsiasi cosa scritta per una CPU x86". Ho anche menzionato la possibilità di un attacco e quanto sia improbabile / costoso che qualcuno abbia effettivamente pensato a uno SPARC. Mostra anche quanto sia terribilmente ancorato al passato: la risposta di Raspberry Pi è la stessa linea di pensiero ma è un dispositivo disponibile a buon mercato. Tuttavia, ARM è molto più diffuso di SPARC, quindi se seguiamo la scuola di pensiero "non c'è uccisione come l'eccesso", forse SPARC * è * la scelta migliore.
#6
+11
Toby Speight
2015-10-21 21:19:04 UTC
view on stackexchange narkive permalink

Un approccio interessante a questo problema è CIRClean, descritto anche in un articolo LWN.

Utilizza un Raspberry Pi (presumibilmente abbastanza sacrificabile in di fronte a sovratensioni e altri attacchi elettrici) in cui devono essere collegati l'archiviazione di massa USB non attendibile e un'archiviazione di massa USB vuota e affidabile. E nessun altro dispositivo è collegato - non è connesso a nessuna rete, o tastiera / mouse /tenere sotto controllo. E non c'è spazio di archiviazione permanente scrivibile o BIOS da infettare (e il vero paranoico può eseguire nuovamente il flashing della scheda SD di avvio prima di ogni utilizzo se lo desidera, suppongo).

Accendilo e lo farà trasferire file da uno all'altro, eseguendo una pulizia automatica dei vettori di malware noti (ad esempio trasformando file PDF o MSOffice in HTML più sicuro). Un indicatore visivo e acustico mostra quando il processo è completo e il sistema può essere spento, lasciando all'utente una versione un po 'disinfettata del filesystem originale nella memoria attendibile, pronta per il trasferimento nella workstation dell'utente.

Se prevedi di utilizzare CIRClean, ti consiglio di controllare il suo tracker dei problemi per i difetti attuali - l'articolo di LWN nota (dicembre 2014) che non c'era protezione contro gli attacchi da tastiera BadUSB; Non ho determinato se sia ancora vero. Guardando il file di configurazione del kernel nel repository Git, sembra certamente che potrebbe essere bloccato molto di più (Magic Sysrq, chiunque?). Forse un progetto in cui essere coinvolti, piuttosto che (ancora) un prodotto finito.

#7
+8
dr_
2015-10-19 12:01:42 UTC
view on stackexchange narkive permalink

L'OP si riferisce a un isolamento elettrico a causa del rischio dovuto a un dispositivo USB killer:

Secondo quanto riferito, il dispositivo funziona assorbendo energia dalle porte USB e utilizzando un convertitore fino al raggiungimento della tensione negativa. La potenza viene quindi reindirizzata al computer, con il processo in loop fino a quando i circuiti della macchina non si frantumano.

Sfortunatamente non c'è modo di difendersi da questo attacco perché coinvolge i circuiti elettrici (a meno che tu non costruire le tue porte USB personalizzate!), ma sembra molto improbabile.

Il vettore di attacco più comune al giorno d'oggi è un virus di Windows che si avvia automaticamente quando si inserisce l'unità USB. Quindi direi che esaminare il contenuto di un'unità USB su una macchina Linux è relativamente sicuro. In teoria non è sicuro, ma in realtà non rischierai molto di farlo, a meno che qualcuno non stia prendendo di mira te o la tua azienda (c'è una differenza tra un'unità USB trovata in una strada casuale e un'unità USB trovata nel parcheggio della tua azienda ).

[Risposta di Chris] (http://security.stackexchange.com/a/103102/58810) menziona un hub USB (otticamente) isolato che presumibilmente proteggerebbe da questo tipo di dispositivo.
Anche i circuiti di protezione adeguati (potenti diodi di bloccaggio su tutti i fili e limitazione di corrente) dovrebbero essere sufficienti.
La descrizione non ha senso. http://arstechnica.com/security/2015/10/usb-killer-flash-drive-can-fry-your-computers-innards-in-seconds/ È meglio, insieme ai commenti.
#8
+4
Dmitry Grigoryev
2015-10-20 13:39:43 UTC
view on stackexchange narkive permalink

Tecnicamente su Linux è abbastanza facile fermare udev e scaricare tutti i moduli del kernel relativi a usb eccetto usb-storage . Tuttavia, ci saranno due problemi pratici:

  1. Il tuo kernel di serie potrebbe avere il modulo hid compilato, quindi dovrai ricompilare il kernel per rendilo caricabile.

  2. Una volta scaricato il modulo hid , anche le tastiere e i mouse USB legittimi smetteranno di funzionare. Trova una vecchia tastiera PS / 2 o usa una tastiera virtuale con touchpad / touchscreen (funziona solo se non sono USB).

#9
+4
mostlyinformed
2015-10-21 08:06:57 UTC
view on stackexchange narkive permalink

tl; dr: fare qualcosa di radicale come usare un PC o un dispositivo "masterizzatore" che utilizzerai una volta per leggere la chiavetta USB e poi scartare è un modo di vedere (quasi) completamente a prova di proiettile cosa c'è sul bastone. Ma in realtà arrivare a tali estremi durante le indagini è eccessivo e un po 'sciocco. Tranne dove non lo è.


Che tu ci creda o no, esiste un modo quasi infallibile per esaminare una simile chiavetta USB. Passo dopo passo:

  1. Trova un laptop / netbook super vecchio, super economico, ma in qualche modo ancora funzionante su Internet e compralo. (Funziona anche qualsiasi tablet abbastanza grande da avere una porta USB di dimensioni standard e con un sistema operativo in grado di utilizzare una memoria esterna su quella porta USB.)

    • Alternativa n. 1: If, tuttavia , ti interessa anche non potenzialmente infettare la chiavetta USB collegandola a un dispositivo precedentemente posseduto con cronologia di sicurezza sconosciuta che potresti anche per, ad esempio, un minimo di $ 60- $ 70-ish il nuovo tablet Windows con una porta USB completa. (Non sono difficili da trovare su Newegg, Amazon, eBay, ecc. E tramite siti come Dealnews.) L'hardware di base più economico ha il suo posto.

    • Alternativa n. 2: se vuoi risparmiare un po 'di soldi e hai già un vecchio, schifoso o vecchio dispositivo di & schifoso saresti felice di sacrificarti allo scopo di scoprendo cosa c'è su quella chiavetta USB puoi sicuramente seguire quella strada. Tuttavia, è abbastanza ovvio che vorresti assicurarti che non ci fossero assolutamente, positivamente, dati personali (o professionali) di alcun tipo prima di farlo. Con un PC dotato di un disco rigido classico, molto probabilmente puoi farlo cancellandolo con un programma di avvio che sovrascrive ogni bit di spazio sul disco con dati casuali molte volte, quindi reinstallando qualsiasi sistema operativo desideri. Probabilmente. D'altra parte, se desideri utilizzare un dispositivo dotato di memoria a stato solido....

  2. Quando arriva il pacco contenente il tuo dispositivo, prendilo, un cavo di ricarica appropriato che sei disposto a sacrificare (vedrai perché tra un minuto) e fai un viaggio in un luogo che ha spine di alimentazione ma o (a) nessuna disponibilità di rete wireless o (b) almeno nessuna rete wireless a cui ti sei mai connesso prima e a cui con ogni probabilità non ti connetterai mai in futuro. (Un Panera o uno Starbucks dall'altra parte della città che è lontano dal tuo modo normale funziona alla grande). Giusto per coprire l'ipotetico caso in cui un malware ultra sofisticato di livello NSA presente sulla chiavetta USB infetta il tuo dispositivo e poi inizia autonomamente a utilizzare le sue radio per cercare di violare qualsiasi rete Wi-Fi, Bluetooth, ecc. Attorno ad esso. Bonus paranoia: lascia a casa anche tutti gli altri tuoi dispositivi elettronici dotati di qualsiasi tipo di connettività wireless. (Sì, incluso il tuo smartphone. So che è difficile separarsi, ma solo per questa volta.)

  3. Quando arrivi nella tua posizione, disimballare e collegare il nuovo dispositivo . Attendi che si ricarichi un po '.

  4. Accendi il dispositivo, attendi che si avvii e collega l'unità USB sospetta. Dai un'occhiata a tutto ciò che c'è su di esso, alla sua struttura dei file, a qualunque caratteristica ti piaccia. Se ti trovi in ​​un luogo che dispone di Wi-Fi pubblico, magari connettiti e prendi alcuni strumenti da Internet (se il tuo vecchio pezzo di spazzatura installerà & li eseguirà) e dai un'occhiata più da vicino. Non fare letteralmente nient'altro con il dispositivo.

  5. Quando hai soddisfatto la tua curiosità, prendi il tuo dispositivo e il caricabatterie, vai in un campo da qualche parte nelle vicinanze e dai loro un bel saluto finale rievocando quella scena da Officespace. (Avviso: riproduzione automatica di video di YouTube, probabilmente con linguaggio NSFW. Duh.)

  6. Fai quello che hai deciso di fare con la chiavetta USB & tutti i dati su di essa.

(OK, se sei orgoglioso di non essere eccessivamente dispendioso e / o irresponsabile dal punto di vista ambientale, invece di distruggere il tuo dispositivo / PC "bruciato" in modo divertente, potresti riciclarlo, donarlo in beneficenza o venderlo per un miseria. Se segui uno degli ultimi due percorsi, dovresti dire alla parte ricevente esattamente perché ti stai sbarazzando del dispositivo? Beh, chiamiamola forse una domanda sulla cybermoralità per un altro giorno.)

The End.

Bene, okay, sono un po 'scherzoso. Ma solo un po '. Resta il fatto che se stiamo parlando di esaminare un dispositivo USB con (quasi) zero rischi per la sicurezza, l'unica opzione reale è collegarlo a un sistema che (a) non contiene assolutamente informazioni sensibili, (b) sei disposto sacrificare nel caso in cui l'USB si rivelasse essere un oggetto elettricamente dannoso, (c) non lo utilizzerai mai più per scopi che richiedano di riporre alcun tipo di fiducia nella sua sicurezza e (d) non sarai fisicamente in grado di connettersi a nessuno reti o altri dispositivi per diffondere qualsiasi infezione da malware che potrebbe ottenere dalla discutibile unità USB. (O per cercare informazioni sensibili che potrebbero risiedere su quei dispositivi e / o reti.)

In altre parole, un computer "masterizzatore" è la soluzione migliore. Se vuoi davvero, davvero, davvero esaminare l'unità con una sicurezza / protezione quasi * perfetta, ovviamente.

Ora, se stiamo solo parlando di esaminare la chiavetta USB con un grado di sicurezza / protezione "molto probabilmente abbastanza buono, date considerazioni pratiche", il suggerimento di @Chris H sopra è buono: prendi un PC desktop o un computer portatile (che puoi effettivamente aprire / riparare senza strumenti professionali), estrai le unità di archiviazione, avvia da un CD live / USB OS che preferisci e collega la chiavetta USB sospetta / intrigante. C'è ancora una piccola possibilità che l'USB possa contenere malware sofisticato che potrebbe essere eseguito quando si collega la chiavetta USB e quindi si esegue il flashing del BIOS / UEFI della macchina o di altri firmware scrivibili contenuti in cose come la scheda video, la scheda di rete, il Controller USB, ecc.? Sì. (Anche se in questo momento tutte le cose oltre agli attacchi BIOS / UEFI rimangono molto rare in natura. E anche il malware BIOS o UEFI deve essere scritto specificamente per l'implementazione del produttore / versione utilizzata in una macchina mirata.) Potrebbe l'elemento che sembra essere una chiavetta USB in realtà sarà un USB-killer che friggerà elettricamente la tua scheda madre? Beh ... in teoria, sì. Ma le probabilità che entrambe le cose siano vere, specialmente quella USB-killer, sono fortemente a tuo favore. Per parafrasare un buon punto che hai espresso nella tua domanda, il più delle volte una semplice vecchia chiavetta USB è solo una semplice vecchia chiavetta USB.

A meno che tu, il tuo datore di lavoro, su un'altra entità di cui fai parte potresti essere considerato un obiettivo di valore molto elevato da alcuni sofisticati attaccanti là fuori, cioè. Quindi tutte le scommesse sono disattivate. E in tal caso, un metodo contorto sicurezza prima di tutto come quello sopra potrebbe effettivamente essere l'unico appropriato.

* Ovviamente, non esiste una cosa come la sicurezza "perfetta". Ma la sicurezza "quasi perfetta" è abbastanza vicina per i nostri scopi qui.

Mentre stanno diventando sempre più difficili da trovare, alcuni computer non hanno alcuna forma di memoria non volatile che può essere modificata senza scambiare i chip o, almeno, cambiare fisicamente i ponticelli, Non dovrebbe esserci alcun rischio di "infezione" quando si esamina una chiavetta USB con un computer del genere a condizione di spegnerlo in seguito, perché non ci sarebbe nulla che il bastone possa infettare.
È divertente, ma ho avuto lo stesso pensiero. Ma ho solo pensato che trovare una macchina nuova (o recente) come quella oggi sarebbe più o meno impossibile per un individuo. (Ovviamente, le grandi aziende e le agenzie governative molto attente alla sicurezza hanno accesso a canali / fornitori che le persone non hanno. O possono semplicemente pagare prezzi sbalorditivi per cose personalizzate.) Ora sono curioso di dare un'occhiata a quali opzioni potrebbe essere là fuori. Via a Google ...
#10
+3
Jay
2015-10-19 12:07:48 UTC
view on stackexchange narkive permalink

Le altre risposte riguardano unità flash dannose, parlerò del killer USB menzionato nella tua risposta collegata. (EDIT - l'hanno fatto quando ho iniziato a digitare questo)

Una macchina virtuale non aiuta con questi, continuerà a ottenere potenza e tenterà di friggere qualunque cosa sia collegata. Per quanto ne so, hai tre opzioni:

  1. Apri l'unità e vedi se sembra legittima, o se è coperta da un carico di grandi condensatori.
  2. Collegalo a una vecchia macchina o un rPi ecc. (Qualcosa che non ti dispiace essere fritto)
  3. Costruisci un'estensione USB con alcuni diodi decenti, che hanno un alto voltaggio inverso.

Ciò che scegli di fare dipende davvero da dove trovi la spinta e da quanto sei curioso. Personalmente, se ne trovassi uno fuori lavoro e dovessi assolutamente controllarlo, lo collegherei a un rPi. Se ne trovo uno per strada, resta lì.

Probabilmente faresti meglio a usare un circuito zener (più fusibile): vedi ad esempio http://electronics.stackexchange.com/questions/59666/protect-dc-circuit-from-too-much-voltage (supponendo che tu lo voglia costruire qualcosa, suggerisco di acquistare un hub opto-isolato nella mia risposta)
Mi piace questa idea, potrebbe essere necessario tirare fuori il saldatore un fine settimana!
Che ne dici di un hub USB non alimentato?
#11
+1
Vandal
2015-10-19 11:57:07 UTC
view on stackexchange narkive permalink

Puoi fare in modo che una macchina virtuale funga da cosiddetto "preservativo". Un paio di hypervisor popolari includono VMware Player e Virtual Box. Se si blocca la VM, è possibile crearne una nuova e riprovare. Puoi trovare file ISO sul Web con cui realizzarli. Basta cercare su google alcuni tutorial se hai bisogno di una guida, a seconda dell'hypervisor con cui vai.

Se hai una macchina Linux, puoi rendere il disco di sola lettura e potrebbe essere più cos'hai. Puoi farlo tramite diskutil in Terminal.

A seconda del percorso che prendi, commenta e posso andare più in profondità modificando questa risposta. Spero che questo ti dia qualche idea e ti avvicini al tuo obiettivo.

Questo non ti proteggerà da qualcosa come il dispositivo [USB killer] (http://kukuruku.co/hub/diy/usb-killer).
Ah capisco. Non ho considerato questo. L'unica cosa che avevo in mente erano le infezioni correlate al software. Grazie @tangrs!
Non garantirà nemmeno la protezione dalle infezioni correlate al software. Le macchine virtuali possono essere ["escaped" out] (http://security.stackexchange.com/q/3056/17049) di. Un hypervisor è un pezzo di software e può contenere vulnerabilità come qualsiasi altro. Rendere il tuo disco di sola lettura non ti proteggerà dagli attacchi al sistema operativo (ad esempio per rendere nuovamente scrivibile il disco), sul tuo [BIOS] (https://en.wikipedia.org/wiki/BIOS#Security) o su altro firmware.
Inoltre, ci sono attacchi a livello di firmware che abusano direttamente del protocollo USB e possono facilmente violare qualsiasi sistema operativo host senza patch prima ancora che tu abbia la possibilità di connettere il dispositivo alla VM.
@billc.cn: vorresti far passare il controller USB per una coppia di porte al SO guest, magari con VT-d o qualcosa del genere. (Supporto hardware per fornire a un ospite l'accesso a un dispositivo PCIe).


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...