Jak bezpiecznie zbadać pamięć USB znalezioną na parkingu w pracy?

Pracuję w firmie zajmującej się oprogramowaniem wbudowanym. Dziś rano znalazłem pamięć USB na parkingu przed budynkiem. Biorąc pod uwagę wszystkie historie „upuszczonych ataków USB”, oczywiście nie zamierzam po prostu podłączać go do mojego laptopa. OTOH, ciekawi mnie, czy to rzeczywiście była próba naruszenia naszych systemów, czy to po prostu niewinny przypadek utraty pamięci USB przez przypadek. Jak bezpiecznie sprawdzić pamięć USB bez ryzyka narażenia?

Martwię się nie tylko o złośliwe oprogramowanie i spreparowane obrazy systemu plików; istnieją również rzeczy takie jak ataki skoków napięcia:
„USB Killer 2.0” pokazuje, że większość urządzeń obsługujących USB jest podatna na ataki z powodu gwałtownego wzrostu napięcia .

EDYCJA: Wiele odpowiedzi wydaje się zakładać, że chcę zachować dysk i użyć go później. W ogóle mnie to nie interesuje, wiem, że pamięci USB są tanie i że i tak nie byłoby moje. Chcę tylko wiedzieć, czy to rzeczywiście był atak częściowo ukierunkowany, częściowo z ciekawości, czy tak naprawdę dzieje się to w prawdziwym życiu, a nie tylko w dokumentach bezpieczeństwa, ale także po to, aby ostrzec moich współpracowników.

Chcę wiedzieć, jak mogę dowiedzieć się, czy patyk zawiera złośliwe oprogramowanie. I nie chodzi tylko o to, aby spojrzeć na zawartość dysku i zobaczyć podejrzany autorun.inf lub starannie spreparowany uszkodzony system plików - bardzo chcę też sposobu na sprawdzenie oprogramowania układowego. Spodziewałem się, że istnieją narzędzia do wyodrębniania tego i porównywania ze znanymi dobrze lub znanymi złymi plikami binarnymi.

Jeśli nie chcesz go używać, ale jesteś ciekawy - zacznę od otwarcia skrzynki (bardzo ostrożnie) i przyjrzenia się żetonom w środku.

Wiem. Brzmi to szalenie, ale obecność identyfikowalnego kontrolera i układu flash sprawiłaby, że bardziej prawdopodobne jest, że jest to prawdziwy dysk USB, a nie coś w rodzaju gumowej kaczki USB lub zabójcy USB.

Następnie zrób to, co sugerują wszyscy inni, i przetestuj na jednorazowej instalacji, uruchom także kilka startowych skanerów antywirusowych, a następnie, jeśli masz pewność, że jest to bezpieczne, wyczyść je.

KILKADZIESIĄT

Dobrą dystrybucją bezpieczeństwa do testowania podejrzanych napędów flash USB, które znalazłeś na parkingu, jest Trusted End Node Security (TENS), poprzednio nazywany Lightweight Portable Security (LPS), dystrybucja bezpieczeństwa Linuksa, która działa całkowicie z pamięci RAM po uruchomieniu z bootowalny dysk flash USB. TENS Public przekształca niezaufany system (taki jak komputer domowy) w zaufanego klienta sieciowego. Na dysku twardym komputera lokalnego nie można zapisać śladu aktywności zawodowej (ani złośliwego oprogramowania).

Oprócz funkcji bezpieczeństwa TENS ma jeszcze jeden użyteczny cel. Ponieważ działa całkowicie z pamięci RAM, TENS można uruchomić na prawie każdym sprzęcie. Dzięki temu jest przydatny do testowania portu USB komputera, który nie jest w stanie uruchomić większości innych obrazów rozruchowych USB na żywo ISO.

USBGuard

Jeśli używasz Linuksa, struktura oprogramowania USBGuard pomaga chronić Twój komputer przed nieuczciwymi urządzeniami USB, wdrażając podstawowe funkcje białej listy i czarnej listy w oparciu o atrybuty urządzenia. Aby egzekwować zasady zdefiniowane przez użytkownika, wykorzystuje funkcję autoryzacji urządzeń USB zaimplementowaną w jądrze Linuksa od 2007 roku.

Domyślnie USBGuard blokuje wszystkie nowo podłączone urządzenia i urządzenia podłączone przed uruchomieniem demona pozostają bez zmian.

Szybkim sposobem na rozpoczęcie korzystania z USBGuard w celu ochrony systemu przed atakami USB jest wygenerowanie zasad dla systemu. Następnie uruchom usbguard-daemon za pomocą polecenia sudo systemctl start usbguard.service. Za pomocą usbguardpolecenia interfejsu wiersza polecenia i jego generate-policypodkomendy ( usbguard generate-policy) można wygenerować początkowe zasady dla systemu zamiast pisać je od zera. Narzędzie generuje zasady zezwolenia dla wszystkich urządzeń aktualnie podłączonych do systemu w momencie wykonania. ¹

cechy

• Język reguł do pisania zasad autoryzacji urządzeń USB
• Komponent Daemon z interfejsem IPC do dynamicznej interakcji i egzekwowania zasad
• Wiersz poleceń i interfejs GUI do interakcji z działającą instancją USBGuard
• Interfejs API C ++ do interakcji z komponentem demona zaimplementowanym we wspólnej bibliotece

¹ _{Zmieniono z: Wbudowana ochrona przed atakami bezpieczeństwa USB za pomocą USBGuard}

Instalacja

USBGuard jest domyślnie instalowany w RHEL 7.

Aby zainstalować USBGuard w Ubuntu 17.04 i nowszych wersjach, otwórz terminal i wpisz:

sudo apt install usbguard  

Aby zainstalować USBGuard w Fedorze 25 i nowszych wersjach, otwórz terminal i wpisz:

sudo dnf install usbguard   

Aby zainstalować USBGuard w CentOS 7 i nowszych wersjach, otwórz terminal i wpisz:

sudo yum install usbguard  

Kompilacja ze źródła USBGuard wymaga instalacji kilku innych pakietów jako zależności.

Istnieją różne podejścia, ale jeśli ten kij ma wbudowane złośliwe oprogramowanie, jest to naprawdę niebezpieczne.

Jednym z podejść może być pobranie jednej z wielu dystrybucji LiveCD Linux, odłączenie dysków twardych i połączeń sieciowych, a następnie obejrzenie.

Myślę jednak, że zaleciłbym wyciągnięcie starego laptopa z szafki, podłączenie go do tego, a następnie uderzenie go dużym młotkiem.

Najlepsze podejście - nie bądź ciekawy! :)

Nie rób Wyrzuć je do śmieci lub do Lost / Found ze znacznikiem czasu. Pamięci USB są tanie, znacznie tańsze niż czas spędzony na usuwaniu złośliwego oprogramowania lub sabotażu fizycznego. Są tam dyski USB, które gromadzą ładunki w kondensatorach i nagle rozładowują się do komputera, niszcząc je.

Wątek ten jest powiązany z tym, że znalazłem dwa dyski USB na ziemi. Co teraz? . Drugi wątek zawiera pewne kwestie nietechniczne, takie jak odpowiedź innejM, która sugeruje, że treść nie należy do Twojej firmy i powinieneś po prostu oddać ją właścicielowi, a także odpowiedź Mike'a Chessa, która mówi, że dysk może zawierać rząd tajemnice, dokumenty terrorystyczne, dane wykorzystywane w kradzieży tożsamości, pornografia dziecięca itp., które mogą sprawić kłopoty z powodu posiadania ich w posiadaniu.

Inne odpowiedzi w obu wątkach dotyczą tego, jak chronić się przed złośliwym oprogramowaniem podczas eksploracji zawartości, ale te odpowiedzi nie ochronią cię przed „zabójczym USB”, kluczowym punktem postawionym w tym pytaniu. Nie będę powtarzał tego, co jest zawarte w innych odpowiedziach, ale wystarczy powiedzieć, że mają zastosowanie wszystkie porady dotyczące ochrony przed złośliwym oprogramowaniem (w tym gumowymi kaczkami, które wstrzykują klawisze).

Wartość i marka

Zacznę jednak od stwierdzenia Christophera Hostage'a, że ​​dyski flash są zbyt tanie, aby były warte kłopotu i ryzyka. Jeśli dysk nie zostanie odebrany przez właściciela i po rozważeniu wszystkich ostrzeżeń zdecydujesz, że musisz po prostu uczynić go bezpiecznym i użytecznym, zacznij od rozważenia wartości dysku. Jeśli jest to mała pojemność, standardowa prędkość, brak nazwy napędu o nieznanym wieku, można go wymienić na nowy za kilka dolarów. Nie znasz pozostałego życia na dysku. Nawet jeśli przywrócisz go do „świeżego” stanu, czy możesz zaufać jego niezawodności lub pozostałej żywotności?

Co prowadzi nas do przypadku nieodebranego napędu, który jest oficjalnie twój, i:

• jest to dysk o wysokiej pojemności, wysokiej prędkości, marce o uznanej niezawodności i wydajności,
• wydaje się być w nowym stanie, być może niedawno wydany produkt, więc wiesz, że nie może być bardzo stary.

Jednym z tych kryteriów jest to, że dysk może faktycznie być wart więcej niż trywialna kwota. Ale moim zaleceniem byłoby nie zadzierać z niczym innym z drugiego powodu. Jak zauważył Journeyman Geek w komentarzu, gumowe kaczki i urządzenia zabijające USB są dostępne w typowych opakowaniach. Markowe opakowanie jest trudne do sfałszowania bez drogiego sprzętu, a manipulowanie pakietem markowym w niewykrywalny sposób jest trudne. Ograniczenie się do znanych, markowych napędów samo w sobie stanowi niewielką ochronę.

Bezpieczne połączenie

Pierwsze pytanie dotyczy tego, jak można fizycznie podłączyć je bezpiecznie do systemu, jeśli może to być zabójczy port USB, i na tym się skupię.

Kontrola napędu

• Pierwszą wskazówką jest sam napęd. Istnieją miniaturowe style, które są w zasadzie złączem USB oraz tylko tyle plastiku, aby mieć coś do złapania, aby je wsunąć i wyjąć. Ten styl prawdopodobnie będzie bezpieczny, zwłaszcza jeśli na plastiku widnieje nazwa marki.

• Napędy typu Flip są popularne wśród gumowych kaczek, więc bądź z nimi szczególnie ostrożny.

• Jeśli jest to kciuk o standardowej wielkości, wystarczająco duży, aby pomieścić zabójczy sprzęt, sprawdź obudowę pod kątem oznak, że jest on podrobiony lub został sfałszowany. Jeśli jest to oryginalny, oznaczony marką futerał, trudno będzie z nim manipulować, nie pozostawiając znaków, które byłyby widoczne przy powiększeniu.

Izolacja elektryczna

• Następnym krokiem byłoby odizolowanie dysku od systemu. Użyj taniego koncentratora USB, który chcesz poświęcić na potencjalną wartość napędu USB. Co więcej, stokrotka łączy kilka węzłów. Koncentratory zapewnią pewną izolację elektryczną, która może ochronić twój bardzo drogi komputer przed „koniecznym”, wolnym zabójczym dyskiem USB.

  Ostrzeżenie: nie testowałem tego i nie mam możliwości dowiedzieć się, jaki poziom bezpieczeństwa to zapewni. Ale jeśli zamierzasz zaryzykować swój system, może on zminimalizować jego uszkodzenia.

Jak sugeruje LPChip w komentarzu do pytania, jedynym „bezpiecznym” sposobem przetestowania go jest użycie systemu, który uważasz za jednorazowy. Nawet wtedy weź pod uwagę, że prawie każdy działający komputer może być przydatny. Starożytny, niedostatecznie zasilany komputer może zostać załadowany lekką, rezydentną pamięcią Linux-ową dystrybucją i zapewnić niesamowitą wydajność rutynowych zadań. O ile nie pobierasz komputera z kosza w celu przetestowania dysku flash, porównaj wartość działającego komputera z wartością nieznanego dysku.

Wyjaśniono pytanie, aby opisać cel jako badanie dysku USB, a nie tylko identyfikację właściciela lub zmianę przeznaczenia. To jest bardzo szerokie pytanie, ale postaram się ująć to w ogólny sposób.

Jakie mogą być problemy?

• „Zabójcze USB”. Prezentuj projekty tego gatunku pompy wysokiego napięcia przez port USB, aby usmażyć komputer.
• Niestandardowa elektronika ukryta w pakiecie dysku flash. To może zrobić wszystko, co projektant może wymyślić. Częstym współczesnym projektem jest gumowa kaczka, która symuluje klawiaturę i wstrzykuje wszystko, co można zrobić z klawiatury.
• Dysk flash ze zmodyfikowanym oprogramowaniem układowym. Znów ograniczone tylko wyobraźnią projektanta.
• Dysk flash zainfekowany złośliwym oprogramowaniem. Może to być praktycznie każda odmiana złośliwego oprogramowania.
• Pamięć flash przeznaczona do uwięzienia kogoś. Tego rodzaju usługi byłyby wykorzystywane przez służby wywiadowcze, organy ścigania, detektywa lub jako ochronę wrażliwych treści. Uzyskiwanie dostępu do dysku spowoduje uruchomienie jakiejś formy ostrzeżenia.
• Dysk flash zawierający materiały, które mogą wpędzić cię w kłopoty z jego posiadania, takie jak informacje niejawne, skradzione informacje, pornografia dziecięca itp.
• Ludzie o złych zamiarach zawsze będą wymyślać nowe sposoby robienia paskudnych rzeczy, więc prawdopodobnie nie znamy wszelkiego rodzaju zagrożeń zawartych w pakiecie USB.

Badanie napędu

Przygotowanie

Biorąc pod uwagę zakres możliwości, trudno jest w pełni zabezpieczyć się podczas badania napędu.

• Zacznij od zezwolenia na posiadanie i kontrolę wszelkich potencjalnych treści. Jest to łatwiejsze, jeśli pracujesz dla społeczności wywiadowczej, organów ścigania lub masz jakiś porządek prawny lub licencję. Poza tym ustal wcześniej ślad papieru, który dowodzi, że jest on w twoich rękach w niewinny sposób. Jeśli treści należą do zagranicznych agentów działających nielegalnie lub z przestępczością zorganizowaną, Twój papierowy ślad może nie zapewniać dużej ochrony. :-)
• Praca odizolowana od Internetu. Jeśli chcesz uchronić się przed wbudowanym nadajnikiem radiowym, pracuj w klatce Faradaya.
• Chroń swój sprzęt przed zabójczym USB.
  • Otwórz skrzynkę i sprawdź wnętrzności, jak opisuje Journeyman Geek. Oznaczałoby to również identyfikację niestandardowej elektroniki w obudowie dysku flash.
  • Izoluj elektrycznie napęd. Możesz użyć optycznie izolowanego koncentratora USB, ale możesz na to wydać więcej niż komputer jednorazowy. Jak zasugerowano w mojej innej odpowiedzi, możesz połączyć szeregowo kilka tanich koncentratorów USB podłączonych do kosza na śmieci.
• Chroń swój system przed atakiem niskiego poziomu. Nie jestem pewien, czy istnieje sposób, aby zabezpieczyć się przed czymś takim, jak zmiana oprogramowania wewnętrznego, innym niż użycie zapasowego, taniego komputera, którego nie masz nic przeciwko przywróceniu lub zniszczeniu.
• Chroń swój system przed złośliwym oprogramowaniem. Jest to opisane w różnych odpowiedziach, w tym w połączonych wątkach, przy użyciu technik takich jak sesja Linux na żywo lub maszyna wirtualna do pracy w izolacji od własnego systemu operacyjnego, oprogramowania i plików, wyłączanie automatycznego uruchamiania itp.

Dochodzenie

• Jeśli pakiet zawiera coś innego niż elektronika napędu flash, otwarcie skrzynki to jedyny sposób, aby zobaczyć, co to jest. Nie można zapytać jego interfejsu USB, aby zapytać, jaki to model zabójcy USB.
• Jeśli dysk zawiera złośliwe oprogramowanie, można je zidentyfikować, uruchamiając skanowanie w poszukiwaniu złośliwego oprogramowania za pomocą kilku renomowanych programów, które stosują różne metodologie.
• Badanie zawartości odbywałoby się za pomocą zwykłych narzędzi używanych do przeglądania zawartości. Może to obejmować trochę pracy detektywistycznej, takiej jak odkrywanie rzeczy lub szukanie ukrytych rzeczy. Treści mogą być szyfrowane lub w inny sposób chronione, co stanowi inną dyskusję.
• Zmodyfikowane oprogramowanie byłoby niezwykle trudne do zbadania. Potrzebne byłyby narzędzia do uzyskania dostępu do kodu oprogramowania, a także normalny kod do porównania (który prawdopodobnie jest zastrzeżony). Jeśli masz identyczny, znany dobry dysk i narzędzia do uzyskiwania dostępu do kodu oprogramowania układowego, byłoby to źródłem do porównania, ale kod ten będzie się różnił w zależności od dostawcy, a potencjalnie nawet wersji tego samego produktu. Jeśli dysk flash rzeczywiście jest niszczycielską rośliną, konieczne będzie wykonanie inżynierii wstecznej oprogramowania układowego, aby dowiedzieć się, co on robi.

Gdybym naprawdę chciał to zrobić, po prostu kupiłbym najtańszy klon Raspberry Pi, jaki mogłem, i podłączyłem go do tego. Jeśli to zepsuje komputer, nie straciłem wiele. Jest mało prawdopodobne, aby system operacyjny został zainfekowany, a nawet jeśli tak, to co z tego?