Яка небезпека вставлення та перегляду ненадійного USB-накопичувача?


132

Припустимо, хтось хоче, щоб я скопіював деякі файли на їх USB-накопичувач. У мене працює повністю виправлена ​​система Windows 7 x64 з відключеною функцією AutoRun (за допомогою групової політики). Я вставляю USB-накопичувач, відкриваю його в Провіднику Windows і копіюю на нього деякі файли. Я не запускаю і не переглядаю жоден із існуючих файлів. Які погані речі можуть статися, якщо я це зроблю?

Що робити, якщо я роблю це в Linux (скажімо, Ubuntu)?

Зверніть увагу , що я шукаю деталі про конкретних ризиків (якщо такі є), а не "було б безпечніше , якщо ви не зробите цього».


6
Перегляд списку каталогів навряд чи буде ризиком. Відкриття шкідливого PDF-файлу в старій непакетній версії Adobe Reader може бути великим ризиком. У деяких випадках навіть попередній перегляд зображення або значок файлу можуть містити подвиг.
david25272

12
@ david25272, навіть перегляд списку каталогів може бути ризиком .
тангер

5
Це трохи схоже на те, щоб потрапити в ліфт з незнайомцем, більшу частину часу ти добре, але якщо незнайомець
Ханібал

59
Ви можете зламати центрифугу урану en.wikipedia.org/wiki/Stuxnet
RyanS

1
@tangrs, це чудовий приклад того, що я шукав. Чому б не опублікувати це як відповідь?
EM0

Відповіді:


45

Менш вражаюче, ваш браузер файлів GUI зазвичай вивчає файли для створення мініатюр. Будь-який експлуатований на базі pdf, заснований на ttf (вставте сюди тип файлу, здатний на терінг), який працює у вашій системі, потенційно може бути запущений пасивно, скинувши файл і чекаючи, коли його сканують рендеріат-мініатюри. Хоча більшість я знаю про ці подвиги для Windows, але оновлення для libjpeg не варто недооцінювати.


1
Це можливість, тому +1. Чи робить це Провідник Windows (або Nautilus), навіть якщо ви ніколи не переглядаєте ескізи?
EM0

1
@EM Це може статися - останні версії Explorer можуть, наприклад, створювати мініатюри в підпапках для гарних піктограм папок у корені, навіть якщо ці папки встановлені ніколи не показувати мініатюри.
Тинам

А може, не намагатись показувати ескізи, а скоріше якусь метадані
That Brazil Guy

1
Це не характерно для USB-файлової системи. Якщо у браузері файлів є вразливість, це може бути спровоковано файлами, завантаженими на ваш комп’ютер, також іншими засобами, такими як вкладення електронної пошти або завантаження через браузер.
HRJ

186

Найгірше, що може статися, обмежується лише уявою вашого зловмисника. Якщо ви будете параноїком, фізичне підключення будь-якого пристрою до вашої системи означає, що це може бути порушено. Удвічі, якщо цей пристрій схожий на просту USB-накопичувач.

Що робити, якщо це? введіть тут опис зображення

На фотографії вище - сумнозвісний гумовий принтер USB , маленький пристрій, схожий на звичайний привід пера, але може доставляти до комп'ютера довільні натискання клавіш. В основному, він може робити так, як заманеться, оскільки реєструється як клавіатура, а потім вводить будь-яку послідовність клавіш. Завдяки такому доступу, він може робити всілякі неприємні речі (і це лише перший хіт, який я знайшов в Google). Річ написана так, щоб небо було межею.


11
Гарний, +1! У сценарії, який я мав на увазі, USB-накопичувач, як відомо, є фактичним пристроєм зберігання даних, і я довіряю людині, яка дає мені його, щоб не заразити зловмисно моїм комп'ютером. (Я в основному переживаю, що вони можуть стати жертвою вірусу.) Але це цікава атака, яку я не вважав. Я думаю, що при такому емуляторі клавіатури я, мабуть, помітив щось дивне, але можуть бути і більш
прихильні

3
Я схвалюю цю відповідь. Змушує ОП подумати :)
steve

31
+1 "Найгірше, що може статися, обмежується лише уявою вашого зловмисника."
Ньюб

9
Hak5 - виглядає законно!
david25272

5
Мабуть, протокол підключення USB досить схожий на старіший протокол порту PS / 2, тому USB зазвичай використовується для мишей та клавіатур. (Я, звичайно, можу помилятися - я перекопую це з власної пам’яті, яка має в основному
втрату

38

Ще одна небезпека полягає в тому, що Linux спробує встановити що завгодно (жарт тут придушений) .

Деякі драйвери файлової системи не містять помилок. Що означає, що хакер потенційно міг знайти помилку, скажімо, у squashfs, minix, befs, cramfs або udf. Тоді цей хакер міг створити файлову систему, яка використовує цю помилку, щоб перейняти ядро ​​Linux і поставити це на USB-накопичувач.

Теоретично це може статися і з Windows. Помилка в драйвері FAT або NTFS або CDFS або UDF може відкрити Windows для поглинання.


+1 Це був би акуратний і цілком можливий подвиг
Стів

17
Є цілий рівень далі вниз. Не тільки у файлових системах є помилки, але і весь стек USB містить помилки , і багато з них працює в ядрі.
Підроблене ім’я

4
Навіть у прошивці вашого USB-контролера можуть бути недоліки, які можуть бути використані. Був використаний вторгнення в Windows за допомогою USB-накопичувача лише на рівні переліку пристроїв .
sylvainulg

7
Що стосується "Linux, що намагається встановити що-небудь", це не поведінка системи за замовчуванням, але пов'язане з вашим файловим провідником, що намагається монтувати. Я впевнений, що маніпуляції з розмитненням можуть розкрити, як деактивувати це та повернутися до "монтажу лише на вимогу".
sylvainulg

5
І Linux, і Windows намагаються все встановити. Єдина відмінність полягає в тому, що Linux може насправді досягти успіху. Це не слабкість системи, а сила.
тердон

28

Є кілька пакетів безпеки, які дозволяють мені налаштувати сценарій автозапуску для Linux чи Windows, автоматично виконуючи моє зловмисне програмне забезпечення, як тільки ви підключите його. Найкраще не підключати пристрої, яким ви не довіряєте!

Майте на увазі, я можу приєднати шкідливе програмне забезпечення до майже будь-якого виконуваного файлу, який я хочу, і майже до будь-якої ОС. Якщо автозапуск відключений, ВАМ БУДЕ бути безпечним, але ПРОТИ, я не довіряю пристроям, до яких я навіть найменший скептично ставлюсь.

Для прикладу того, що це можна зробити, перегляньте Інструментарій соціальних інженерів (SET) .

ТІЛЬКИ спосіб по-справжньому бути безпечним - це завантажувати дистрибутив Linux з відключеним жорстким диском. І встановити USB-накопичувач і поглянути. Крім цього, ви котите кістки.

Як запропоновано нижче, ви повинні відключити мережу. Це не допоможе, якщо ваш жорсткий диск у безпеці і вся ваша мережа порушена. :)


3
Навіть якщо функцію AutoRun відключено, все ж існують подвиги, які використовують певні істини. Звичайно, є кращі способи зараження машини Windows. Найкраще відсканувати невідомі флешки на апаратному забезпеченні, призначеному для цього завдання, яке щодня стирається та відновлюється до відомої конфігурації при перезавантаженні.
Рамхаунд

2
Для остаточної пропозиції ви можете також включити відключення мережі, якщо екземпляр Live CD все-таки заразиться, він може заразити інші машини в мережі для більш стійкого опори.
Скотт Чемберлен

6
Рамхаунд, я хотів би побачити приклади згаданих вами подвигів (імовірно, вже зафіксовано!) Чи можете ви опублікувати якісь відповіді?
EM0

5
@EM. Нещодавно був експлуатований нульовий день, який скористався вразливістю того, як значок відображався у файлі ярлика (файл .lnk). Достатньо лише відкрити папку, що містить файл ярлика, щоб запустити код експлуатації. Хакер міг легко поставити такий файл у корінь USB-накопичувача, тож коли ви відкриєте його, код експлуатації запустився.
тангер

4
> ТІЛЬКИ спосіб по-справжньому бути безпечним - це завантажувати дистрибутив в реальному часі з відключеним жорстким диском ... - ні, програмне забезпечення також може заразити прошивку. Вони в наш час дуже погано захищені.
Sarge Borsch

23

USB-накопичувач насправді може бути сильно зарядженим конденсатором ... Я не впевнений, чи мають сучасні материнські плати захист від таких сюрпризів, але я б не перевірив це на своєму ноутбуці. (теоретично це може спалити всі пристрої)

Оновлення:

дивіться цю відповідь: https://security.stackexchange.com/a/102915/28765

і відео з нього: YouTube: тестування USB Killer v2.0.


3
Так вони роблять. Практично всі вони мають невеликі запобіжні запобіжники. Мені це електроніка.stackexchange.com/ questions/66507/… стала цікавою.
Зан Лінкс

Це відео болить мою душу.
k.stm

6

Деякі зловмисні програми / віруси активуються, коли ми відкриваємо папку. Хакер може використовувати функцію Windows (або Linux з Wine ), які починають створювати піктограму / мініатюру деяких файлів (наприклад, файлів .exe, .msi або .pif, або навіть папки із піктограмою зловмисного програмного забезпечення) при відкритті папку. Хакер знаходить помилку в програмах (як програма, яка створює мініатюру), щоб зловмисне програмне забезпечення почало діяти.

Деякі несправні пристрої можуть вбивати ваше обладнання , особливо материнську плату, а в більшості випадків мовчки, тому ви можете не знати про це.


5

Мабуть, простий USB-пристрій може навіть обсмажити всю материнську плату:

Російський дослідник безпеки, відомий як "Темний фіолетовий", створив USB-накопичувач, який містить незвичайну корисну навантаження.

Він не встановлює зловмисне програмне забезпечення та не використовує вразливий день. Натомість спеціальна USB-накопичувач посилає 220 Вольт (технічно мінус 220 Вольт) через сигнальні лінії USB-інтерфейсу, обсмажуючи обладнання.

https://grahamcluley.com/2015/10/usb-killer/


3

Найгірше, що може статися, - це сумнозвісна інфекція BadBios . Це нібито заражає ваш USB-хост-контролер, підключаючи його до комп'ютера незалежно від вашої ОС. Є обмежений спектр виробників USB-мікросхем, і тому експлуатація всіх них не надто далеко.

Звичайно , не всі вважають , що BadBios реально, але це найгірше , що може статися з вашим комп'ютером, підключивши диск USB.


2

Це значною мірою тому, що вся класифікована мережа міністерства оборони США була поставлена ​​під загрозу. USB-накопичувач був залишений на землі на автостоянці біля місця DOD. Якийсь геній підхопив його, взяв його всередину і підключив, сучасний шпигунство настільки нудно. Я маю на увазі USB-накопичувач у автопарку, поверніть 007!

http://www.foreigna questions.com/articles/66552/william-j-lynn-iii/defending-a-new-domain

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.