Acquista un adattatore da PS2 a USB per tastiere + mouse (importante: entrambi devono essere collegati a una porta USB per assicurarti che non sia un connettore semplice e semplice).

Hanno una logica e costano circa $ 10 USD al momento della scrittura.

Quindi acquista adattatori da USB a PS2 per mouse e tastiera (adattatori separati).

Non hanno logica, solo cablaggio interno a ciascuna connessione e costano meno di $ 5 USD al momento della scrittura.

Mettili insieme. Sì, sembra strano, ma i dispositivi continueranno a funzionare come previsto. Ora, anche se uno dei cavi raggiungibili dall'utente è giuntato, non possono aggiungere nuovo hardware oltre a mouse e tastiere generici.

Aspetto interessante:

• economico
• semplice
• implementato tramite hardware
• protegge da dispositivi sconosciuti
• Indipendente dal sistema operativo

AGGIORNAMENTO: ho verificato manualmente, due volte, che non vi sia continuità tra i pin dati / dati + USB e i pin dati / clk della PS2 (o qualsiasi altro pin ps2) su un adattatore due in uno. Tuttavia, c'è continuità sugli adattatori a porta singola, ma non è importante fintanto che uno degli adattatori implementa un qualche tipo di logica come fa il due in uno. Il collegamento dell'adattatore vuoto a una finestra di Windows dovrebbe causare il "rumore di inserimento USB"; altrimenti è un ingenuo adattatore fisico.

Il doppio adattatore PS2-USB che ho specificamente testato era un "ez-pu21", disponibile ancora su amazon.

AGGIORNAMENTO # 2, 2 cose:

• ci sono attacchi da tastiera USB, quindi è necessario bloccare correttamente il sistema operativo per mantenere la sicurezza.
• si può entrare nel BIOS con una tastiera, e io no sicuro di quanto sia rischioso per l'esfiltrazione, o se tutto ciò che possono fare è "rompere" il computer.

AGGIORNAMENTO # 3: Dopo aver utilizzato gli adattatori double-inline per circa 24 ore, posso dire che funzionano, ma non del tutto al 100%, forse al 99%. Quando stavo facendo una programmazione seria (digitando) ho notato che i tasti tenuti premuti per circa 1/3 di secondo si ripetono. Questo è prima della mia ripetizione tipografica circa 2/3 al secondo dopo la pressione, e si ripete solo una volta; portando a cose come "biig" invece di "big". L'ho notato solo poche volte, a tarda notte, ma volevo menzionarlo. Non l'ho nemmeno notato fino a dopo ore di utilizzo, ma se stavi scrivendo un romanzo, potrebbe essere frustrante. Potrebbe essere solo l'adattatore economico che ho usato, i cavi molto lunghi che sto usando o qualcos'altro che nessuno sperimenterà.

BONUS: (correlato ma OT): ho appena realizzato questi interruttori USB economici non collegare i pin dei dati, sono troppo economici per scambiare tutti e 4 i fili, creando così un "preservativo USB" economico per coloro che desiderano una cosa del genere, pensavo di condividere. preservativi economici, come puoi sbagliare?

Stai prendendo la parte sbagliata del problema. Se qualcuno di cui non ti fidi può accedere a una macchina, la macchina è stata compromessa. Stop completo.

Questo è il motivo per cui l'accesso alle sale server è altamente controllato e perché l'amministratore normalmente non si preoccupa della sicurezza fisica dei connettori: la linea di difesa non è a livello di connettore ma a livello della sala contenente la macchina.

Detto questo, puoi immaginare driver USB speciali che consentono solo ID hardware specifici. Semplicemente non è possibile installarli di default quando si installa un kernel su una nuova macchina a causa di un problema di pollo e uova, ma dopo un'installazione iniziale, è possibile creare un kernel personalizzato con quei driver USB speciali. Ma poiché ci sono molte altre possibilità di compromettere una macchina quando si ha accesso fisico ad essa, è semplicemente, IMHO, uno spreco di tempo ed energia ...

E comunque, nulla impedisce a un'organizzazione potente e malvagia di costruire una specifica tastiera USB che si presenta con l'ID e l'apparenza di una tastiera innocente di un noto produttore di hardware ma che contiene un keylogger. Se non ti fidi del tuo amministratore, potrebbe sostituire la tastiera al riavvio del sistema. Come ho già detto, se un malvagio potesse toccare la macchina è compromessa, e se non potesse non dovresti preoccuparti dei connettori USB.

Sui sistemi Windows, sei stato in grado di bloccare o limitare i dispositivi USB tramite Criteri di gruppo o locali almeno a partire da Windows Vista. Impostando i criteri "Accesso agli archivi rimovibili", è possibile disabilitare il collegamento dei dispositivi di archiviazione USB (quella categoria include molti dispositivi USB dannosi). Queste impostazioni impediscono a Windows di interagire con i dispositivi perché impedisce il caricamento dei servizi.

https://community.spiceworks.com/how_to/25619-blocking-usb-devices-and-remohable- media https://technet.microsoft.com/en-us/library/2007.06.grouppolicy.aspx

Usa solo una tastiera e un mouse PS / 2.

Non preoccuparti di adattatori e altri tipi di preservativi hardware. Sono ancora disponibili molte schede madri con connettori per mouse e tastiera PS / 2.

Richiesta di chiarimento: di quali attacchi sei preoccupato? Dalla tua osservazione di non preoccuparti delle foto dello schermo, presumo che tu non voglia che i dati vengano iniettati nel sistema e che non ti interessi NESSUNA esfiltrazione di dati.

Quindi, come possiamo attaccare il tuo sistema e cosa si può fare al riguardo?

USB attacca la mitigazione &

Come notato da altri, stai LONTANO dall'USB. Il sistema operativo NON PU proteggere da tutti gli attacchi. Nohl et al hanno dimostrato nel 2014 come attaccare il firmware del microcontrollore host USB e il loro attacco, denominato BadUSB, si è dimostrato utilizzabile anche mentre il sistema era nel BIOS dopo riavvio.

Dopo che i microcontrollori host USB sono stati compromessi, un payload dannoso potrebbe presumibilmente infiltrarsi sul bus PCI per modificare o curiosare la memoria.

Questi attacchi possono essere evitati o mitigati? SÌ! Esiste almeno un dispositivo firewall hardware USB sul mercato, USG, progettato espressamente per combattere l'attacco BadUSB. Ancora non si occuperà di input da tastiera non attendibili.

Input da tastiera non attendibili, USB & PS / 2:

Anche il cablaggio PS / 2 suggerito da altri è un forte concorrente, ma non c'è motivo per cui non sia possibile aggiungere un dispositivo per iniettare tutte le sequenze di tasti necessarie & movimenti del mouse per attaccare il sistema (ad esempio: apri il blocco note o qualsiasi cosa che mi consenta di inserire caratteri, inserisci i caratteri binari necessari per formare un programma, salva come .exe, correre!). Nemmeno BadUSB può contrastarlo.

HDMI attacca la mitigazione &

Consenti il ​​collegamento di un cavo HDMI? C'è stata almeno un'osservazione da una ricerca sulla sicurezza (Dragos Ruiu) che questo può consentire di utilizzare Ethernet su HDMI per infettare il sistema limitato.

La mitigazione qui è semplice: assicurati di utilizzare un cavo HDMI senza i bit Ethernet, ma fai attenzione ai DDC ...

Attacchi video DDC:

Per essere onesti, anche VGA ha consentito il trasferimento digitale tramite comunicazione DDC bidirezionale (come ha fatto DVI), quindi ha un potenziale di sfruttamento; ma è molto meno probabile che venga utilizzato. Non è raro aggiornare il firmware nei monitor tramite DDC su VGA / DVI / ecc.

Funziona come HDMI - Hacking Display Made Interesting di Andy Davis, Blackhat-EU-2012 sull'utilizzo di DDC per hackerare i monitor, ma il bus I2C che forma il collegamento DDC è bidirezionale e potrebbe essere utilizzato in modo creativo per colpire la scheda video dell'host.

Non puoi evitare il collegamento DDC perché è necessario per l'impostazione la modalità video correttamente.

Vorresti un diodo dati in linea accanto al PC sia per la tastiera che per il mouse, quindi nessun dato potrebbe essere inviato dal PC alla stanza, qualunque cosa accada (poiché hai detto che il cavo numero 3 non è un problema). Potresti anche trovare meglio usare un mouse e una tastiera seriali.

Questa è tutta una cappelleria di carta stagnola, comunque. ecco un protocollo di comunicazione chiamato tin foil chat che mostra diodi di dati per dispositivi seriali, che sono avvolti in un foglio di stagno. https://www.cs.helsinki.fi/u/oottela/tfc.pdf

Aggiungere un diodo da solo non significa creare un diodo dati, come con un diodo potresti inviare contro la freccia con una tensione inversa, i diodi dati utilizzati nel progetto hanno un fotoaccoppiatore per impedire alle informazioni di viaggiare contro la freccia (senza avere accesso all'hardware).

Dopo aver provato anche a mostrare perché il cavo HDMI potrebbe non essere un problema, mi è venuta questa disposizione della stanza, l'idea è che tu metta la testa al microscopio guardando il dispositivo di visualizzazione e ti permette di vedere lo schermo attraverso un'ottica cavo in fibra che passa attraverso il muro. La tastiera e il mouse che porti con te possono solo inviare dati, non ricevere, poiché c'è il diodo dati dall'altra parte del muro. Bob, il ragazzo della sicurezza, è lì per tenerti compagnia in questo inferno senza finestre di un posto di lavoro e per cacciarti se inizi a parlare con il tuo dispositivo di registrazione, metti qualcosa di diverso dai tuoi occhi nel mirino o cerchi di sfondare il parete. Notare che non può navigare a spalla con nessuna informazione. Saresti disconnesso se spostassi la testa fuori dal mirino, per accedere dovresti digitare una password come al solito, ma poi anche digitare rapidamente i caratteri che appaiono nelle schermate sinistra e destra alternate (ora ci sono due monitor che portano a ogni occhio separatamente). Questo per evitare di annoiare un bulbo oculare e sostituirlo con una telecamera (non è necessario che i pirati con un occhio solo). Ora non sei in grado di copiare alcun file dal PC, Bob non deve cercare di spogliarti per l'attrezzatura spia e tutti sono contenti.

Tutto ciò che potresti memorizzare dal sistema e portarti a casa perde un po 'di credibilità, avresti potuto semplicemente inventarlo invece di memorizzarlo.

Una soluzione universale per qualsiasi sistema operativo è rimuovere tutti i driver USB tranne quelli necessari (HID). Assicurati di impedire all'utente di installare nuovi driver.

È possibile collegare la tastiera a una scrivania (ad es. con viti antivandaliche attraverso la base della tastiera) in modo che il cavo USB non sia accessibile, ad es. in un canale ricavato nella scrivania e coperto da una piastra metallica.

Non è necessario un mouse cablato o wireless: è possibile utilizzare un tablet cablato (es. Wacom) con il cavo USB reso inaccessibile in modo simile . Puoi ottenere un mouse per il tablet se gli utenti non riescono a far fronte all'uso di una penna.

Ovviamente, un utente particolarmente malintenzionato potrebbe provare a strappare la tastiera per accedere alla connessione USB all'interno, quindi scegli uno degli atti vandalici -costruzione resistente, possibilmente con un allarme in modo che se riescono ancora ad entrare qualcuno viene avvisato.

Inoltre, sono disponibili tastiere in acciaio inossidabile con montaggio a pannello e trackball.

Come altri hanno già detto, specialmente robbat2 e Serge Ballesta ... Una volta che le persone hanno accesso fisico alla macchina, sei a tutti gli effetti compromesso.

Puoi rendere la tua configurazione più sicura elettronicamente in un molti modi. Molti di loro probabilmente copriranno praticamente tutti i tuoi casi d'uso. A meno che tu non stia lavorando con enti governativi o aziendali top secret e l'attaccante non porti con sé una tecnologia speciale, dovresti essere praticamente al sicuro.

Ma l'unico modo per essere sicuro al 100% in termini accademici qui è quello di vai anche in campo fisico. Hai bisogno di una persona di cui ti puoi fidare per proteggere la macchina.

Se sei davvero paranoico riguardo alla giunzione dei cavi e questa è davvero la tua unica preoccupazione, potresti coprire la lunghezza dei cavi del mouse e della tastiera con una rete di rame collegato a un sensore. Fai scorrere una corrente attraverso di essa e disponi di un relè in grado di misurare la tensione controllandola 24 ore su 24, 7 giorni su 7. Collega il relè a un'altra macchina, magari un Raspberry Pi o un Arduino, in modo che possa attivare un allarme nel caso in cui la mesh venga depotenziata.

Ora devi solo impostare la tensione sulla mesh. Usa un piccolo potenziale, diciamo da 3 a 12 volt, se vuoi solo sapere se i cavi sono stati tagliati o meno. Oppure vai fino a 220 V o più se vuoi che serva da trappola esplosiva (alcune persone direbbero che non è una cosa etica da fare).

E se ...

... colleghiamo la tastiera a un Raspberry Pi o Teensy ( https://www.pjrc.com/teensy), programmato per leggere le chiavi e "digitarle" nuovamente nel computer? Immagino che sarebbe abbastanza veloce da evitare qualsiasi latenza percepita. Questo fungerebbe da "Firewall USB per tastiera" e un altro simile da "Firewall USB per mouse".

Il computer identificherebbe Teensy come "FirewalledKeyboard" o "FirewalledMoused". Non è necessario che il computer veda la tastiera o il mouse originali.

È interessante notare che l'utente @ robbat2 ha indicato un firewall USB che impedisce alcuni attacchi USB di basso livello:

• https://github.com/robertfisk/USG/wiki
• https://github.com/robertfisk/USG/wiki/Hardware-(DIY-v0 .9)

Mi sembra che questo potrebbe anche essere modificato per consentire il collegamento solo di tastiere e mouse.

Potremmo anche aggiungere Soluzione cavi PS / 2 (vedi risposta utente @dandavis) tra la tastiera e il "Firewall USB".

Ho inviato un'e-mail a Robert Fisk, creatore del (open source) USG, e gli ho chiesto (condensato):

Salve signor Robert Fisk,

Il tuo USG può essere modificato in modo che consenta solo il collegamento di tastiere e mouse e prevenga anche inviato dal computer alla tastiera? Se compro il tuo hardware USG pronto (invece di costruirne uno mio), è possibile cambiarne il firmware? Quanto costa ogni USG?

Ha risposto:

Ciao Marcelo. Il firmware può essere facilmente trasformato in un dispositivo "solo tastiera" o "solo mouse". Puoi anche disabilitare la comunicazione da computer a tastiera che aggiorna le spie maiuscole, di scorrimento e bloc num. Tuttavia sarai comunque vulnerabile a un utente malintenzionato che digita un malvagio VBScript, script Powershell o persino un binario utilizzando codici ALT ASCII che eseguiranno azioni dannose. Sì, puoi sicuramente programmare nel tuo firmware, vedi questa pagina: https://github.com/robertfisk/USG/wiki/DFU-Firmware-Upgrade

Spero che questo aiuti!

Per favore nota Non avevo mai parlato con il signor Fisk prima di questa e-mail e non avevo mai sentito parlare di USG prima di porre questa domanda. Non sono in alcun modo collegato a USG o al suo creatore e non ne ho mai usato uno, testato o studiato. Non so personalmente se è adatto al lavoro. Sto solo postando queste informazioni perché penso che sia interessante e forse utile.

Se alla fine decido di acquistare un po 'di USG e alterarne il firmware, probabilmente renderò open source il nuovo firmware in GitHub e collegalo qui.

Ecco qui. Resina epossidica, colla a caldo, ecc. Hai fornito requisiti e condizioni molto specifici senza fornire molte basi tranne "Dati altamente sensibili".

La tua domanda suggerisce che l'utente PUO 'scollegare e inserire dispositivi USB nel computer NONOSTANTE le rigorose natura che hai originariamente descritto. Ciò implica l'accesso fisico a una parte del sistema. La vecchia regola dice "l'accesso fisico ha la meglio su tutti gli altri controlli".

Questa è la migliore risposta che posso fornire, date le tue presunte condizioni. Ho lavorato in ambienti governativi ad alta sicurezza, con soluzioni cross-domain, e quelle erano più facili. La risposta semplice è solitamente la risposta più sicura.

È possibile utilizzare un mouse e una tastiera wireless se il computer con le porte USB non è troppo lontano dalla stazione di input.

Sulla base del tuo commento su una delle risposte: Il concetto di "toccare la macchina" qui è il problema.

Quindi questa risposta suggerisce un approccio diverso piuttosto piuttosto che concentrarti sulle porte USB.

1. Perché non usare il wireless? La tastiera e il mouse wireless ti impediscono di usare cavi.

2. Accesso remoto al computer , ci sono applicazioni / software che ti consentono di controllare altri computer da remoto, localmente. Ha senso, se stai effettuando una configurazione simile a un server.

3. Controllare i tasti del cursore e della tastiera attraverso il dispositivo di rete locale (router)? Non sono sicuro se possibile, ma se lo è, i router hanno il filtraggio degli indirizzi MAC e tali dispositivi di input devono avere i propri indirizzi MAC. Dai un'occhiata a questo mouse HP Wifi, anche se dalle recensioni online sembra che abbia dei bug.