Як я безпечно досліджую USB-накопичувач, знайдений на стоянці на роботі?

Я працюю в компанії з вбудованим програмним забезпеченням. Сьогодні вранці я знайшов USB-накопичувач на стоянці перед будівлею. Маючи на увазі всі історії про "скинуті USB-атаки", я, очевидно, не збираюся просто підключати його до свого ноутбука. ОТО, мені цікаво дізнатися, чи це насправді була спроба компрометувати наші системи, чи це справді лише невинна справа, коли хтось випадково втратив USB-накопичувач. Як я безпечно перевіряю USB-накопичувач, не ризикуючи експозицією?

Мене хвилює не лише зловмисне програмне забезпечення та створені зображення файлової системи; Є також такі речі, як напади перенапруги:
"USB Killer 2.0" показує, що більшість пристроїв з підтримкою USB є вразливими для нападу напруги .

EDIT: Багато відповідей, здається, припускають, що я хочу зберегти диск і використовувати його згодом. Мене це взагалі не цікавить, я знаю, що USB-накопичувачі дешеві, і це не було б моїм зберігати все одно. Мені хочеться лише знати, чи справді це була напівнацілена атака, частково з цікавості, чи це насправді відбувається в реальному житті, а не лише в паперах безпеки, а також, щоб я міг попередити своїх колег.

Хочу знати, як би я з'ясував, чи містить ця паличка шкідливе програмне забезпечення. І це не лише питання перегляду вмісту диска та бачення підозрілих autorun.inf або ретельно продуманої пошкодженої файлової системи - я дуже хочу також перевірити прошивку. Я начебто очікував, що існують інструменти для вилучення цього та порівняння бінарних файлів із відомими добрими чи відомими-поганими.

Якщо ви не хотіли ним користуватися, але вам цікаво - я б насправді почав з того, щоб зламати корпус (дуже обережно) і подивитися на мікросхеми всередині.

Я знаю. Це звучить божевільно, але наявність ідентифікованого контролера та флеш-мікросхеми зробить більш імовірним, що це власне USB-накопичувач, а не щось на зразок USB гумової качки чи USB-вбивці.

Потім зробіть те, що пропонують всі інші, і протестуйте це на одноразовій установці, також запустіть кілька завантажувальних сканерів вірусів, тоді, якщо ви впевнені, що це безпечно, протріть його.

Десятки

Хороший розподіл безпеки для тестування підозрілих флеш-накопичувачів USB, які ви знайшли на стоянці, - це Trusted End Node Security (TENS), який раніше називався Lightweight Portable Security (LPS), дистрибутив безпеки Linux, який повністю працює з оперативної пам'яті, коли він завантажується з завантажувальна флешка. TENS Public перетворює ненадійну систему (наприклад, домашній комп'ютер) у надійного мережевого клієнта. Жодного сліду робочої діяльності (або зловмисного програмного забезпечення) не можна записати на жорсткий диск локального комп'ютера.

Крім функції безпеки, TENS має ще одне корисне призначення. Оскільки він працює повністю від оперативної пам’яті, TENS може завантажуватися практично на будь-якому обладнанні. Це робить його корисним для тестування USB-порту комп'ютера, який не в змозі завантажувати більшість інших завантажувальних зображень USB ISO.

USBGuard

Якщо ви використовуєте Linux, програмне забезпечення USBGuard допомагає захистити ваш комп'ютер від шахрайських USB-пристроїв, реалізуючи основні можливості білого списку та чорного списку на основі атрибутів пристрою. Для виконання визначеної користувачем політики використовується функція авторизації пристроїв USB, реалізована в ядрі Linux з 2007 року.

За замовчуванням USBGuard блокує всі знову підключені пристрої та пристрої, підключені до запуску демона, як і раніше.

Швидкий спосіб почати використовувати USBGuard для захисту вашої системи від USB-атак - спершу створити політику для вашої системи. Потім запустіть команду usbguard-демон з командою sudo systemctl start usbguard.service. Ви можете використовувати usbguardкоманду інтерфейсу командного рядка та її generate-policyпідкоманду ( usbguard generate-policy) для створення початкової політики для вашої системи, а не писати її з нуля. Інструмент генерує політику дозволу для всіх пристроїв, які зараз підключені до вашої системи на момент виконання. ¹

Особливості

• Мова правила для написання політик авторизації пристроїв USB
• Компонент Daemon з інтерфейсом IPC для динамічної взаємодії та запровадження політики
• Командний рядок та інтерфейс GUI для взаємодії із запущеним екземпляром USBGuard
• API C ++ для взаємодії з компонентом демона, реалізованим у спільній бібліотеці

¹ _{Переглянуто з: Вбудований захист від атак безпеки USB за допомогою USBGuard}

Установка

USBGuard встановлений за замовчуванням у RHEL 7.

Щоб встановити USBGuard в Ubuntu 17.04 та пізніших версіях, відкрийте термінал і введіть:

sudo apt install usbguard  

Щоб встановити USBGuard у Fedora 25 та пізніших версіях, відкрийте термінал і введіть:

sudo dnf install usbguard   

Щоб встановити USBGuard у CentOS 7 та новіших версіях, відкрийте термінал і введіть:

sudo yum install usbguard  

компіляція з джерела USBGuard вимагає встановлення кількох інших пакетів як залежностей.

Існують різні підходи, але якщо на цій палиці є вбудована програмне забезпечення зловмисного програмного забезпечення, це дійсно дуже небезпечно.

Одним із підходів може бути завантаження одного з багатьох дистрибутивів LiveCD Linux, відключення будь-яких жорстких дисків та мережевих підключень, а потім подивіться.

Я думаю, хоча я б рекомендував дістати старий ноутбук з шафи, підключити його до цього, а потім вдарити його великим молотком.

Найкращий підхід - не будьте цікаві! :)

Не варто. Киньте їх у сміття, або Втрачене / знайдене із позначкою часу. USB-накопичувачі дешеві, набагато дешевші, ніж час, витрачений на очищення від шкідливих програм або фізичних саботажів. Там є USB-накопичувачі, які будуть накопичувати заряд у конденсаторах і раптово розряджатись у вашому ПК, руйнуючи його.

Ця нитка пов'язана з тим, що я знайшов на землі дві палички usb. А тепер що?. Інший потік включає деякі нетехнічні міркування, такі як відповідь innaM, що говорить про те, що вміст - це не ваша справа, і вам слід просто повернути його для повернення власнику, і відповідь Майка Шаха, в якій зазначається, що диск може містити уряд секрети, терористичні документи, дані, які використовуються в крадіжках особи, дитячій порнографії тощо, які можуть поставити вас у біду через те, що у вас є.

Інші відповіді в обох потоках стосуються того, як убезпечити себе від зловмисного програмного забезпечення під час вивчення вмісту, але ці відповіді не захистять вас від "USB-вбивці", ключового моменту, що виникає в цьому запитанні. Я не буду повторно переглядати те, що описано в інших відповідях, але достатньо сказати, що стосуються всіх порад щодо захисту себе від зловмисного програмного забезпечення (включаючи гумові качки, які вводять натискання клавіш).

Значення та назва марки

Але я б почав з точки зору Крістофера Хостажа про те, що флешки занадто дешеві, щоб вартий клопоту та ризику. Якщо власник диска не вимагає власника, і, розглянувши всі попередження, ви вирішите, що вам потрібно просто спробувати зробити його безпечним та зручним для використання, почніть з розгляду вартості накопичувача. Якщо це низька місткість, стандартна швидкість, без іменного приводу невідомого віку, ви можете замінити його новим на кілька доларів. Ви не знаєте, що залишилося на диску. Навіть якщо ви відновите його до «свіжого» стану, чи можете ви довіряти його надійності чи залишився термін служби?

Що підводить нас до випадку незатребуваного приводу, який офіційно є вашим, і:

• це велика ємність, висока швидкість, фірмовий привід із визнаною надійністю та продуктивністю,
• здається, він знаходиться в новому стані, можливо, нещодавно випущений продукт, тому ви знаєте, що він не може бути дуже старим.

Одним із пунктів цих критеріїв є те, що накопичувач може насправді коштувати більше тривіальної суми. Але моя рекомендація була б не возитися ні з чим із другої причини. Як в коментарі вказує Журналіст Гек, гумові качки та вбивці через USB входять у звичайні пакети. Упаковку фірмової марки важко підробити без дорогого обладнання, а підробку пакета з фірмовою маркою невизначним способом важко. Таким чином, обмеження себе звичними приводами фірмових торгових марок пропонує трохи захисту.

Безпечне з'єднання

Перше питання - як можна фізично підключити його до вашої системи, якщо це може бути вбивця USB, і саме на цьому я зупинюсь.

Огляд приводу

• Перший ключ - сам привід. Існують мініатюрні стилі, які в основному є роз'ємом USB плюс достатньо всього лише пластику, щоб було щось захопити, щоб увімкнути його та вийти. Цей стиль, ймовірно, буде безпечним, особливо якщо пластик має фірмову назву на ньому.

• Приводи в стилі фліп популярні для гумових качок, тому будьте особливо обережні з ними.

• Якщо це привід великого пальця стандартного розміру, достатній для розміщення обладнання для вбивць, огляньте корпус на предмет ознак того, що це підробка або підробляли його. Якщо це оригінальний корпус із маркою, його буде важко підробити, не залишаючи знаків, які були б видимі зі збільшенням.

Електрична ізоляція

• Наступним кроком буде ізоляція накопичувача від вашої системи. Використовуйте дешевий USB-концентратор, який ви готові пожертвувати заради потенційної цінності накопичувача. Ще краще, ромашка ланцюжок декількох хабів. Хаб (и) забезпечать певну ступінь електричної ізоляції, яка може захистити ваш дуже дорогий комп'ютер від "must have", безкоштовного USB-накопичувача.

  Попередження: Я цього не перевіряв і не можу знати ступінь безпеки, який це забезпечить. Але якщо ви збираєтесь ризикувати системою, це може звести до мінімуму шкоду.

Як підказує LPChip у коментарі до цього питання, єдиним "безпечним" способом перевірити його є використання системи, яку ви вважаєте одноразовою. Вже тоді вважайте, що майже будь-який робочий комп'ютер може бути корисним. Стародавній комп’ютер із недостатнім живленням може бути завантажений легким дистрибутивом Linux, що мешкає в пам'яті, та забезпечити дивовижну продуктивність для звичайних завдань. Якщо ви не виймаєте комп’ютер зі сміття для перевірки флеш-пам’яті, зважте значення робочого комп'ютера проти значення невідомого накопичувача.

Питання було роз'яснено, щоб описати ціль як дослідження USB-накопичувача, а не просто ідентифікацію власника чи перестановку. Це надзвичайно широке запитання, але я спробую висвітлити його загальним чином.

Які проблеми можуть бути?

• "USB-вбивця". Представляйте конструкції цього жанру, перекачуючи високу напругу через порт USB, щоб обсмажити комп'ютер.
• Спеціальна електроніка ховається у пакеті флешки. Це може зробити все, що може придумати дизайнер. Поширений сучасний дизайн - це гумова качка, яка імітує клавіатуру, щоб ввести все, що ви могли зробити з клавіатури.
• Флешка з модифікованою прошивкою. Знову ж таки, обмежений лише уявою дизайнера.
• Флешка, заражена шкідливим програмним забезпеченням. Це може бути практично будь-яка різноманітність шкідливих програм.
• Флешка, призначена захопити когось. Це була б така річ, яка використовується розвідувальною службою, правоохоронними органами, слідчим чи захистом конфіденційного вмісту. Доступ до накопичувача викликає певну форму оповіщення.
• Флеш-накопичувач, що містить матеріали, які можуть спричинити за собою проблеми з його володінням, наприклад, секретною інформацією, викраденою інформацією, дитячою порнографією тощо.
• Люди з недоброзичливим наміром завжди придумують нові способи робити неприємні речі, тому ми, мабуть, не можемо знати всі види небезпеки, що містяться в USB-пакеті.

Дослідження приводу

Підготовка

Враховуючи коло можливостей, важко повністю захистити себе, щоб дослідити привід.

• Почніть з дозволу на володіння та огляд будь-якого потенційного вмісту. Це простіше, якщо ви працюєте в розвідувальній спільноті, правоохоронних органах або маєте певну форму правового порядку чи ліцензії. За винятком цього, заздалегідь встановіть паперовий слід, доказуючи, що він у ваших руках невинним шляхом. Якщо вміст належить іноземним агентам, які чинять незаконну чи організовану злочинність, ваш паперовий слід може не забезпечити особливого захисту. :-)
• Робота, ізольована від Інтернету. Якщо ви хочете захистити від можливості вбудованого радіопередавача, працюйте всередині клітки Фарадея.
• Захистіть власне обладнання від USB-вбивці.
  • Відкрийте корпус і огляньте кишки, як описує Журналіст Гек. Це також визначить власну електроніку у корпусі флешки.
  • Електрично ізолюйте привід. Можна використовувати оптично ізольований USB-концентратор, але на це можна витратити більше, ніж на одноразовий комп’ютер. Як було запропоновано в іншій моїй відповіді, ви могли б вирізати ланцюжками декількох дешевих USB-концентраторів, підключених до переносного комп'ютера.
• Захистіть вашу систему від атаки низького рівня. Я не впевнений, що існує спосіб захиститись від чогось, наприклад, змінити вбудовану програму, крім використання запасного, дешевого комп'ютера, який ви не заперечуєте ні відновлення, ні руйнування.
• Захистіть вашу систему від зловмисного програмного забезпечення. Це описано в різних відповідях, включаючи пов'язані потоки, використовуючи такі методи, як робоча сесія Linux або VM для роботи, ізольовані від вашої власної ОС, програмного забезпечення та файлів, відключення автозапуску тощо.

Розслідування

• Якщо пакет містить щось інше, ніж електроніка флеш-накопичувача, відкриття корпусу - єдиний спосіб побачити, що це таке. Ви не можете запитувати його USB-інтерфейс, щоб запитати, яка модель USB-вбивці це.
• Якщо накопичувач містить зловмисне програмне забезпечення, це було б ідентифіковано за допомогою сканування анти-зловмисного програмного забезпечення за допомогою декількох надійних програм, які використовують різні методики.
• Дослідження вмісту проводиться за допомогою звичайних інструментів, які використовуються для перегляду вмісту. Це може включати невелику детективну роботу, як, наприклад, приховувати речі чи шукати замасковані речі. Зміст може бути зашифрованим або захищеним іншим способом, що є різною дискусією.
• Змінену прошивку було б надзвичайно важко дослідити. Вам знадобляться інструменти для доступу до коду мікропрограмного забезпечення, а також звичайний код для порівняння (який, ймовірно, є власником). Якщо у вас був ідентичний, відомий гарний диск та інструменти для доступу до коду мікропрограмного забезпечення, це буде джерелом для порівняння, але цей код буде відрізнятися між постачальниками та, можливо, навіть версіями того ж продукту. Якщо флешка насправді є руйнівним пристроєм, вам доведеться повернути інженеру прошивку, щоб зрозуміти, що це робить.

Якби я дуже, дуже хотів це зробити, я просто придбав найдешевший клон Raspberry Pi, який я міг, і підключив його до цього. Якщо він забиває комп’ютер, я не дуже втратив. ОС навряд чи заразиться, і навіть якщо це так, то що?