Küsimus:
Kas on mingit võimalust USB-mälupulga sisu ohutuks uurimiseks?
200_success
2015-10-19 11:28:56 UTC
view on stackexchange narkive permalink

Oletame, et leidsin enda ümber lebava USB-mälupulga ja tahtsin selle sisu uurida, et leida selle õige omanik. Arvestades, et USB-mälupulgad võivad tegelikult olla midagi pahatahtlikumat kui massmäluseade, kas ma saan kuidagi seda ohutult teha? Kas elektriisolatsiooni "kondoom" on võimalik? Kas on võimalik USB-draivereid käsitsi laadida Linuxi / Windows / OS X-i, tagamaks, et see ei kohtle seadet millegi muu kui USB-massmäluga?

Lõppude lõpuks, hoolimata kogu hirmust - lisades, on ikkagi ülekaalukalt tõenäolisem, et see, mis näib olevat valesti paigutatud mälupulk, on tegelikult lihtsalt mälupulk.

Jätkaküsimus: milliseid abinõusid fotoprintimise kioskid nende eest kaitsevad? erinevaid rünnakuid?

Ühendage see vana sülearvutiga (pole võrguga ühendatud), mida ei viitsi põletada.
Ainus tõeliselt turvaline viis on see lahti võtta, välkmälukiip kustutada ja oma usaldusväärse vooluringiga ette lugeda.
Lisaks igasugusele tarkvararünnakule saate oma arvutit kaitsta mehaaniliselt / elektriliselt, kasutades odavat USB-jaoturit.
Vastuste põhjal näib olevat riist- ja tarkvararünnakuid. Esimest tüüpi saab juhtida spetsiifilisi USB-jaotureid, mis eraldavad voolu. Teine näib raskem, kuna need võivad püsivara varjata ja jäävad avastamata.
@PlasmaHH: ja tagastage see siis selle õigustatud omanikule. Tõenäoliselt on ta õnnelik, jah!
Kes teab, et see pole pomm, kes teeskleb USB-mälupulka? Ja arvan, et järgmine USB-tapja versioon võib teeselda, et see on hea viis mälupulka umbes viiele kasutusviisile.
"milliseid meetmeid saavad / saavad fototrükikioskid sellist tüüpi rünnakute eest kaitsta?" Puudub. Nad lasevad end lihtsalt kompromiteerida. Kui töötasin suurema A / V müüja juures, oli üks meie kontoritest samas hoones apteegiga ja lõpuks pidime mõned töötajad vallandama, kuna nad jätkasid apteegis fotoprinteri kasutamist, kuna nende fotokioskitesse ühendatuna nakatuks * kümneid * erinevaid pahavara tükke ja USB-seadme töömasinatesse ühendades satuksid need meie sisevõrku.
@HopelessN00b Yikes! Kujutan, et sama kehtib ka erinevate seadmete pistikutega vererõhkioskide kohta, nagu minu kohaliku toidupoe oma. Või päris palju avalikku kioskit, millel on avatud USB-port.
@user23013 Tänapäeva Trooja hobune, mis (* peaaegu *) lõpetas tsivilisatsiooni. USB-mälupulgad, mis on tuumapommid. Õnneks võttis üks üliskeptiline infoturbe töötaja selle lahti ja avastas pommi. Nüüd on kõik USB-seadmed ebausaldusväärsed ja neid ei tohiks kunagi vooluvõrku ühendada, isegi kui olete selle poest hankinud. Mitte kunagi!
Vaarikapirukad olid selliseks eksamiks ideaalsed, kuni need said piisavalt populaarseks, et neid sihtida.
@HopelessN00b Geez. Loodan, et nad said enne paar hoiatust.
@Shane Oh, nad said üle aasta väärtuses hoiatusi. Ja juhised selle kohta, millistes võrkudes võiksid nad ühendada potentsiaalselt nakatunud USB-seadmed. Ja ettevõte andis välja seadmeid, et neil poleks vaja kioskit kasutada. Meile, IT-inimestele, oli juba ammu enne selle ja selle koristamist ja vere karjumisest kõrini, enne kui nad konservi said ... aga lõpuks oli üks nakkustest meie C-taseme jaoks ebamugav või piinlik ja see oligi kõik.
@200_success +1 meelevaldne Interneti-punkt, et mind loliks muuta, mitte üks üleshääl: P
@Aequitas Palju aastaid tagasi kohtasin umbes 3,5 disketti, mis olid mingil põhjusel eraldi kilekottides. Mul oli just keegi veendunud, et nad on viirusetõrjeks kondoomid.
See pole vastus; lihtsalt tähelepanek. Eeldades, et riistvara on ohutu, on kogu pulgal ainult 0 ja 1. See on arvuti süü, et ta neid andmeid käivitab. Iga port peaks olema programmeeritav turvarežiimiks, kus mis tahes sisend muudetakse käivitamatuks.
kuidas oleks kasutada sellist tarkvara nagu sügavkülmutamine? minu puhul töötab see nagu võlu :)
Pole kindel, et see õigustab täieliku küsimuse esitamist (ja jumal teab, milline virnavahetus oleks sobiv), kuid kas BIOS vajab tavaliseks kasutamiseks kirjutusjuurdepääsu? Kas saaksite kirjutusnõela füüsiliselt lahti ühendada või lisada riistvara kirjutamise blokeerija selliseks asjaks (kui need on nüüd jadad) - eeldades, et muidugi võetakse ka muid meetmeid?
Seotud: [Kuidas võivad USB-mälupulgad olla ohtlikud?] (Https://security.stackexchange.com/q/102873/34757), [Kuidas ohutult uurida tööplatsilt leitud USB-mälupulka?] (Https://superuser.com/q/1206321/150988), [kahtlase USB-draivi turvaline avamine] (https://superuser.com/q/167878/150988), [Kuidas saab ebausaldusväärset USB-mälupulka ohutult sirvida?](https://superuser.com/q/983709/150988), [Mis on ebausaldusväärse USB-draivi sisestamise ja sirvimise oht?] (https://superuser.com/q/709275/150988), [Kuidas saabmälupulk levitas viirust?] (https://superuser.com/q/93939/150988) ja tõenäoliselt veel.
üksteist vastused:
Ian H
2015-10-20 18:33:08 UTC
view on stackexchange narkive permalink

Ma kasutaksin võrguühenduseta mudelit Raspberry Pi, mudelit A / A +, kuna:

  • See (või pigem Linux) suudab USB-mälupulgalt lugeda enamikku tüüpi failisüsteeme.
  • Ainus püsimälu, mis tal on, on SD-kaart, mida saab hiljem ümber vormindada (või paranoia korral minema visata).
  • Kui osutub USB-mälupulgaks elektriliselt pahatahtlik, olete kaotanud ainult 20 dollarit riistvara.
  • See käitab mõnevõrra peavoolu OS-i mitte-x86 platvormil, mistõttu on vähem tõenäoline, et see oleks Windowsi tüüpilise pahavara suhtes haavatav. >

See jätab endiselt küsimuse, mida teete kõigi seal leiduvate failidega - nende kopeerimine mis tahes muusse masinasse seaks selle masina ilmselgelt ohtu.

Midagi pole 100% turvaline, pange tähele. Ma ei oska seda öelda paremini kui James Mickens: "Kui teie vastaseks on Mossad, siis surete GONNA ja pole midagi, mida saaksite selle kohta teha".

Probleem on selles, et te ei pruugi selles midagi kahtlast tuvastada (sõltub muidugi oskustest), kuid see kannaks siiski ohtlikku kasulikku koormust.
Vaarika Pi, mis? Nüüd mõtlen, kui keegi leiab viisi HDMI-kontrollerite nakatamiseks.
@xeon: Kui leitud USB-seadmete eeskirjade eesmärk on uurida, kas neil pole ilmseid omandiõiguse märke, ja kui neid leitakse, pöörduge näilise omaniku poole (kellel peaks siis olema aimugi, kas draiv on tema oma ja kui paranoiline ta tahab (kui tegemist on võimalusega, et seda on muudetud), siis ei ole üksusel, kes draivi leiab ja omandiõiguse märke otsib, mingit põhjust varjatud ohtliku kasuliku koormuse eest hoolitseda, kuna draivi leidnud üksusel pole sellist karta kasulik koormus, kuna nad ei oleks kõnealusele ajamile kunagi midagi suurt väärtust pakkunud.
+1 See on palju odavam lahendus kui optoisolatsiooniga USB-jaotur. Odavaim neist, mida võisin leida, oli lähemal 100 dollarile.
Kas helistasite lihtsalt Linuxile "mitte-peavooluks"? Kuna see kehtib ainult lauaarvutite turu kohta, domineerib kõiges muus Linux või mõni muu Unix. (Noh, välja arvatud reaalajas olevad asjad, on see enamasti VxWorks, mis minu teada ei ole Unix.)
@Bobby on PRI-l töötav Linuxi operatsioonisüsteem Linuxi peavoolu versioon?
@Bobby See on õige. Linux domineerib turgudel, kus juhusliku USB-draivi ühendamine on ebatõenäoline, ja mitte turgudel, kus USB-seadme ühendamine on tõenäolisem. Nii et punkt seisab.
@schroeder Raspberry Pi soovitatav operatsioonisüsteem on Debiani tuletis Raspbian. On ka teisi, kuid need näivad olevat enamasti ka originaali veidi muudetud versioonid. Vaadake [siin] (https://www.raspberrypi.org/downloads/).
Esmalt võite proovida selle ühendada sellisesse seadmesse nagu [CIRCLean USB Sanitizer] (https://www.circl.lu/projects/CIRCLean/), seejärel ühendage kopeeritud draiv Linux Live Boot masinasse, millel puudub võrguühendus.Samuti peate otsima [BadUSB] (https://youtu.be/nuruzFqMgIw) stsenaariumi, kus tegelik USB-kontrolleri kiip on häkitud.Seetõttu kopeerite kõik soovitud andmed kõigepealt teadaolevasse heasse seadmesse ja viskate siis originaali.Siis ma kaaluksin AINULT siis riski, et ühendaks kopeeritud draivi masinasse, mida ma tegelikult kasutan.Isegi siis ilmselt mitte.
Chris H
2015-10-19 15:32:30 UTC
view on stackexchange narkive permalink

USB-tapja ei tapa teie arvutit, kui ühendate selle optoisoleeritud jaoturi kaudu. Need on olemas, (otsige: "optoisoleeritud USB-jaotur"), kuid kuna ma pole seda kunagi ise kasutanud, ei hakka ma konkreetset mudelit soovitama. Need pole siiski odavad. Siin on näide:

usb hub

Kui olete riistvaraspektiga tegelenud, vähendatakse teid tavapärasemaks probleemiks. Teil on ilmselt juba teistes vastustes rohkem ekspertnõuandeid, kuid minu arvates on arvuti kõvaketas (ja kogu muu kirjutatav salvestusruum) vooluvõrgust lahti ühendada ja käivitada see otse CD-lt või USB-mälupulgalt (selliselt, mis ei toimu automaatselt) loomulikult käivitage USB-mälupulkade sisu). Seda seetõttu, et see on maksimaalne tulu pingutuste eest, mida ma olen alustanud. Mõistlik oleks, kui kavatsete seda harjumuseks seada isegi oma otse-CD-le nii, et see ei paigaldaks riistvara automaatselt ega installiks seda, ja eemaldaksite seadme võrgust. Kahtlustatava pulga abil alglaadimine oleks samuti halb mõte, juhul kui see on käivitatav, aga ka sellepärast, et võite soovida juurdepääsu sündmuste logidele, kui olete selle lihtsalt ühendanud.

See ei aita teid kaitsta [BIOS-viiruse] (https://et.wikipedia.org/wiki/BIOS#Security) ega püsivara rünnakute eest riistvara vastu, mille jätate oma arvutiga ühendatud. Võib-olla isegi teie [klaviatuur või hiir] (http://security.stackexchange.com/q/100743/17049).
Kui @JonBentley, ei käivitu automaatselt või proovib mälupulka käivitada, peaks see BIOS-i kaitsma? Eelduseks on muidugi pahatahtlik vilkumine. Olen näinud ka hiire niiti ja hiljutist "USB-mälupulgaks maskeeruvat klaviatuuri". Kirjutatava salvestusruumi lahtiühendamiseks üldistan oma "kõvaketta lahti ühendamise". Huvitav, kas on võimalik lasta klaviatuuril makrot kirjutada ja käivitada skript, mis võib BIOS-i vilkuda.
Pange tähele, et kiire usb2 või usb3 kiiruse jaoks pole turul taskukohaseid optoisolaatoreid
@PlasmaHH, Ma pole üllatunud, kuid selja ühilduvus oleks uurimise võimaldamiseks piisavalt hea. Kui * riistvara * on healoomuline, võib järgmine samm olla draivil olevate failide lisamine, seejärel võib-olla kuvada nende sisu, alustades väikestest tekstifailidest.
@ChrisH: Kui soovite kohtuekspertiisi jaoks pildi joonistada, võib 3 TB suuruse andmemahu alla laadida üle 12 MB.
@PlasmaHH, Olen kindel, et saab. Kuid: (i) 3 TB USB-mälupulgad pole täpselt levinud; (ii) küsimuse eeldus ei olnud kohtuekspertiis, vaid: "kas see on tõeline USB-mälupulk ja kui jah, siis kelle oma" (nt. mitte-turvateenuste IT-professionaalile ulatatakse väljamõeldud seade - minu tõlgendus). Kui see pole USB-mälupulk, tapke see tulega, uurige oma lõbuks või edastage see kohtuekspertiisi eest vastutavale asutusele. Kui tegemist on ilmselgelt pahatahtliku USB-mälupulgaga, toimige samamoodi. Selles etapis ei pea me seda pildile panema (ja te ei pruugi soovida sisu omada, kui sellega ei tegele professionaalselt).
@PlasmaHH, jätkates seda, mida Chris ütles, saab normaalse suurusega USB-mälupulki mõistliku aja jooksul pildistada 1,0 ühenduse kaudu. Umbes pool päeva täis 64 GB mälupulga jaoks (laske sellel üleöö töötada, vaadake järgmisel päeval) või poolteist tundi 8 GB jaoks.
Arvestades optoisolatsiooniga USB-jaoturi ostuhinda, arvan, et teil on palju parem osta odavat kasutatud arvutit veebist, nagu soovitas @Matty - siis ei pea te ka tarkvara pärast muretsema.
@PlasmaHH Suurim kaubanduslikult saadaval olev USB-mälupulk on 1 TB ja maksab üle 650 USD. 3 TB USB praegusel perioodil tähendab ühte kolmest asjast. Teie parklasse jõudmise tõenäosuse kahanevas järjekorras: 1. USB-seade on vigane ja annab oma võimsusest liiga palju aru, sellisel juhul ärge usaldage seda; 2. See on Kingstoni või Patrioti prototüüp (ainsad, kes praegu müüvad 1 TB USB-draive) ja tuleks neile tagastada; 3. Seade jõudis kuidagi tulevikust siia ja on võimalik, et praegused USB-standardid ei luba teil seda lugeda.
Te ei tee hinnasildiga nalja! Mul on aastate jooksul olnud palju probleeme USB-jaoturitega, mis toidavad pinget emaplaadile, nii et vaatasin need teie postitust lugedes üles.
@NateKerkhofs,, kus olete kohapeal, kuid PlasmaHH võiks viidata USB välistele kõvaketastele, millest saaks hõlpsasti teha USB-tapjaid. Sellegipoolest vajate selle kontrollimiseks ainult USB 1.0.
@ChrisH Võite muuta välise kõvaketta USB-tapjaks, kuid palju kulutõhusam oleks kasutada midagi sellist nagu 8 GB USB (mille saate 3 TB välise kõvaketta murdosa eest) või isegi ehitada seade nullist. Samuti on tõenäolisem, et USB-draiv visatakse "kogemata" parklasse (näiteks taskust välja), eriti kui idee kohaselt peaks asi ikkagi toimima.
@NateKerkhofs, Nõustun täielikult.
Tom Leek
2015-10-20 20:32:05 UTC
view on stackexchange narkive permalink

Kui eeldame, et pulka oleks maksimaalse ebameeldivuse nimel füüsiliselt võimalik muuta, siis tuleb arvestada võimalusega, et väidetav "mälupulk" ajab arvutisse sisestatuna välja mõned siberi katku eosed või plutooniumoksiidi pilve. , nii et vastus teie küsimusele oleks: pole turvalist võimalust mälupulga sisu uurimiseks (kui te ei saa seda ülesannet delegeerida mõnele alaealisele, kes teeb seda teises hoones).

Vastupidi, kui oletame, et ründaja ei ole nii põhjalik, siis kasutame kaudselt oma olemuselt meelevaldset "vastikuse läve". Kui välistame toored füüsilised hävitavad mõjud (sealhulgas proovime hostiarvuti elektroonikat praadida), siis võib kurja mälupulk enamasti viis viisi kahjustada masinat, kuhu see on sisestatud:

  • Mälupulk võib proovida kuritarvitada USB-kontrolleri riistvara haavatavust. See kontroller on oma püsivara abil kiip, mis on ühendatud ka arvuti peamiste andmeradadega, seega on olemas teoreetiline võimalus kasutada ära auke. See oleks väga spetsiifiline kontrolleri ja selle püsivara versioonile ning ma pole teadlik ühestki sellisest looduses olevast august.

  • Mälupulk võib proovida kuritarvitada USB-dialoogi haldava operatsioonisüsteemi koodi haavatavus. Põhimõtteliselt tegi seda PlayStation Jailbreak: seade oli USB-tasemel mitu seadet, millest üks saatis veidi spetsiifilisi sõnumeid, mis vallandasid puhvri ülevool OS-koodis, mis tuvastab ja loendab USB-seadmeid.

  • Mälupulk võib tegelikult olla mitte mälupulk, vaid teist tüüpi seade, võib-olla mitu seadet neid samaaegselt. Näiteks võib pulk olla OS-i seisukohalt klaviatuur ja selle sisestamisel võib see hakata asju kirjutama. See juhtub looduses.

  • Mälupulk võib olla tõeline mälupulk, mille failisüsteem kasutab failisüsteemide jaoks OS-koodi haavatavust. Lisaks puhvri otsestele ületäitumistele võib esineda probleeme ka näiteks automaatkäivitamise funktsioonidega (on märkimisväärne, et mitmed olemasolevad mittepahatahtlikud mälupulgad jäljendavad ka virtuaalset CD-draivi täpselt selleks, et proovida kasutada selline automaatne töötamine). Variant oleks pilt, mis sisaldab pilte, mis kasutavad auke piltide renderdamise teekides (millele peremeesarvuti pöördub, kui proovib kataloogide ja failide graafilisel uurimisel näidata pisipilte).

  • Lõpuks on kaasatud inimoperaator, mis avab palju rünnakuvõimalusi. Paljud rünnakud lihtsalt võimendavad inimese kergeusklikkuse põhjatu kaevu. Pulga sisu võib ajendada inimese operaatorit hooletult käivitama seda, mis näeb välja nagu kahjutu käivitatav fail. Või mis veelgi hullem, võib see pulk sisaldada häirivat laadi dokumente (mõnda asja ei saa lihtsalt näha), mis loetakse ikkagi "kahjustuseks".

Teie Parim panus pulga "ohutuks uurimiseks" oleks kasutada põhikompuutrit koos operatsioonisüsteemiga, millel on hea maine koodikvaliteedi osas, ajakohane turvapaikadega ja mis kõige tähtsam - võimalikult väheste pistikprogrammidega -mängi tuge kui võimalik. Ideaalis on see, et operatsioonisüsteem, mis ei ei püüa äsja sisestatud USB-seadmega midagi automaatselt teha (st operatsioonisüsteem, mis pole täpselt selline nagu tänapäevane operatsioonisüsteem nagu Windows, OS X või Linux). Soovitan alustada OpenBSD-st või NetBSD-st, mis on kohandatud mis tahes vormis USB-ga seotud deaktiveerimiseks. Haruldase tarkvara ja haruldase riistvara kasutamine pakub ka väikest lisakaitset, lähtudes sellest, et madala klassi ja laialt levinud ründajad ei kipu vaevu kirjutama vanas PowerPC-põhises Macis töötavate NetBSD süsteemide jaoks.

user45139
2015-10-19 12:00:50 UTC
view on stackexchange narkive permalink

Igal juhul pidage meeles, et pole olemas ühtegi ideaalselt liivakastiga süsteemi (riistvara / elektriseade, tarkvara), mis aitaks teid 100% -liselt vältida selliseid võimalikke nakkusi.

Teiselt poolt, teie olukord võib sõltuda sellest, kes te olete ja kust te selle leidsite.

Kui olete kvalifitseeritud töötaja, ütleme näiteks, autofirma jaoks ja leidsite pulga oma töökoha kõrval või oma elukoha kõrval (te sihitud), siis võib olla parim asi, mida saaksite teha, kui see USB-mälupulk hävitada, sest probleem on selles, et te ei saa kuidagi ette teada, kui teie leitud USB-mälupulgal on püsivara sisseehitatud pahavara ja sel juhul ei tundu midagi kasulikku ( 'BadUSB' pahavara elab USB püsivaras, et jääda avastamata, parandamatuks). Selline pahavara võib põhjustada teie BIOS-i nakatumise, millest võib vabaneda liiga keeruline (kui mitte võimatu).

Kui olete hr X või Y ja leidsite USB-mälupulga juhuslik avalik koht, siis võib see olla isegi siis, kui USK-pulk on nakatunud (eesmärgiga või mitte), pahavara ei saa olla nii dramaatiline ja sellisel juhul võib ta käivitada arvutisse Linux Live-CD abil, et käivitada ja kontrollida teie USB sisu võib olla mõistlik tegevus.

chx
2015-10-20 11:39:30 UTC
view on stackexchange narkive permalink

Ehkki ülal olid elektrilised aspektid, olid paljud teie BIOS-i nakatanud pahavarast mures. Seejärel ühendage see masinasse, millel pole BIOS-i ja mis ei käivita midagi pulga peal: kasutage SPARC-masinat. Näen SunBire V100 masinaid eBays hinnaga 50–60 dollarit ebakindlates tingimustes, vähem kui 200 dollarit nn renoveeritud müüja eest. Võimalik, et oli vanemaid, seega isegi odavamaid, millel oli USB, ma lihtsalt ei mäleta ühtegi. V100-l on kindlasti USB-pordid. Olen kindel, et kui kolmetäheline agentuur on teie teadlik SPARC-i kasutamisest, saavad nad USB-mälupulgaga midagi vastikut teha, kuid see oleks äärmiselt kulukas rünnak, kuna neil oleks vaja teha originaalseid uuringuid selle kohta, kuidas seda teha. Siin on Oracle'i ametlik leht USB-mälupulkade kinnitamiseks Solarise alla.

See foorumi teema räägib USB lisamisest seadmesse Ultra 5/10, kui soovite vaeva näha sellega, kuid ma ei näe neid palju odavamalt kui Sunfire V100.

Mainisite head punkti: * BIOSless * masin. +1
SPARC-süsteemidel on BIOS; nad lihtsalt nimetavad seda "püsivara". Kuid kõik arvutid käivituvad ROMil / Flashil mingil koodil ja sellel koodil, nagu igal tarkvaral, võib olla vigu. Muidugi pole see sama kood kui x86-põhise arvuti BIOS, seega võib loota, et ründaja "pole SPARC-masinate peale mõelnud".
Täpselt seda ma mõtlesin, BIOS-i all mõtlesin ma PC-i BIOS-i ja mõtlesin "ei käivita midagi pulgal", ma mõtlesin "kõike, mis on kirjutatud x86-protsessori jaoks". Mainisin isegi rünnaku võimalust ja seda, kui ebatõenäoline / kulukas on keegi tegelikult SPARCist mõelnud. See näitab ka seda, kui kohutavalt minevikus ankurdatud olen - Raspberry Pi vastus on sama mõttekäik, kuid see on odav saadaval olev seade. ARM on siiski palju laiem kui SPARC, nii et kui läheme mõttekooli "ei ole tappa nagu ülepurskamist", siis võib-olla on SPARC * parim valik.
Toby Speight
2015-10-21 21:19:04 UTC
view on stackexchange narkive permalink

Üks huvitav lähenemine sellele probleemile on CIRClean, mida on kirjeldatud ka LWN artiklis.

See kasutab Raspberry Pi-d (arvatavasti üsna kuluv ülepinge ja muude elektriliste rünnakute nägu), millesse tuleks ühendada ebausaldusväärne USB-massmälu ja usaldusväärne tühi USB-massmälu. Ja muid seadmeid pole ühendatud - see pole ühendatud ühegi võrgu ega klaviatuuri / hiirega /ekraan. Ja pole ühtegi kirjutatavat püsimälu ega nakatunud BIOS-i (ja tõeliselt paranoiline võib alglaadimise SD-kaardi enne iga kasutamist uuesti vilkuda, kui nad seda soovivad).

Lülitage see sisse ja see saab failide ülekandmine ühelt teisele, teatavate pahavara vektorite automaatne nühkimine (nt PDF- või MSOffice-failide teisendamine turvalisemaks HTML-iks). Visuaalne ja kuuldav indikaator näitab, kui protsess on lõpule jõudnud, ja süsteemi saab välja lülitada, jättes kasutajale usaldusväärses salvestusruumis algse failisüsteemi mõnevõrra puhastatud versiooni, mis on kasutaja tööjaama edastamiseks valmis.

Kui plaanite kasutada CIRCleani, soovitan kontrollida selle väljaandmise jälgijat praeguste defektide osas - LWN-i artiklis märgitakse (detsember 2014), et BadUSB-klaviatuurirünnakute vastu polnud kaitset; Ma pole kindlaks teinud, kas see ikka vastab tõele. Vaadates Giti hoidlas asuvat tuuma konfiguratsioonifaili, näib kindlasti, et selle võiks palju rohkem lukustada (Magic Sysrq, keegi?). Võib-olla projekt, milles osaleda, mitte (veel) valmistootes.

dr_
2015-10-19 12:01:42 UTC
view on stackexchange narkive permalink

OP viitab elektrilisele isolatsioonile USB-tapja seadmest tuleneva ohu tõttu:

Väidetavalt töötab seade USB-portidest toite toites ja muunduri kasutamist kuni negatiivse pinge saavutamiseni. Seejärel suunatakse toide tagasi arvutisse, protsess jätkub, kuni masina vooluringid praenevad.

Kahjuks pole võimalik ennast selle rünnaku eest kaitsta, kuna see hõlmab elektriskeeme (kui te ei looge oma kohandatud USB-porti!), kuid see tundub väga ebatõenäoline.

Tänapäeval on kõige levinum ründevektor Windowsi viiruse automaatne käivitamine, kui sisestate USB-draivi. Seetõttu ütleksin, et USB-draivi sisu uurimine Linuxi masinas on suhteliselt ohutu. Teoreetiliselt on see ohtlik, kuid tegelikult ei riski te seda palju tehes, kui keegi ei sihi teid või teie ettevõtet (juhuslikult tänavalt leitud USB-draivil ja teie ettevõtte parklast leitud USB-draivil on vahe ).

[Chrisi vastus] (http://security.stackexchange.com/a/103102/58810) mainib (optiliselt) isoleeritud USB-jaoturit, mis arvatavasti kaitseks seda tüüpi seadme eest.
Piisavalt peaks olema ka korralik kaitselülitus (tugevad kinnitusdioodid kõigil juhtmetel ja voolupiirangud).
Kirjeldusel pole mõtet. http://arstechnica.com/security/2015/10/usb-killer-flash-drive-can-fry-your-computers-innards-in-seconds/ On parem koos kommentaaridega.
Dmitry Grigoryev
2015-10-20 13:39:43 UTC
view on stackexchange narkive permalink

Linuxi jaoks on tehniliselt udev peatamine ja iga USB-ga seotud kernelmooduli mahalaadimine, välja arvatud usb-storage , üsna lihtne. Siiski on kaks praktilist probleemi:

  1. Teie aktsiatuumal võib olla moodul Hid , nii et peate kerneli uuesti kompileerima tee see laaditavaks.

  2. Kui olete mooduli Hid laadinud, lakkavad töötamast ka legitiimsed USB-klaviatuurid ja hiired. Leidke vana PS / 2 klaviatuur või kasutage puuteplaadi / puutetundliku ekraaniga virtuaalset klaviatuuri (töötab ainult siis, kui need pole USB-d).

mostlyinformed
2015-10-21 08:06:57 UTC
view on stackexchange narkive permalink

tl; dr: Teha midagi radikaalset, näiteks kasutada põletiga arvutit või seadet, mida kasutate üks kord USB-mälupulga lugemiseks ja seejärel viskamiseks (peaaegu) täiesti kuulikindel viis näha mis pulgal on. Kuid tegelikult uurimise ajal sellistesse äärmustesse minek on liigne ja veidi tobe. Välja arvatud seal, kus seda pole.

Uskuge või mitte, kuid on peaaegu lollikindel viis sellist USB-mälupulka uurida. Samm-sammult:

  1. Leidke Internetist mõni ülivana, üliodav, kuid siiski kuidagi toimiv sülearvuti / netbook ja ostke see. (Samuti töötab kõik tahvelarvutid, mis on piisavalt suured, et neil oleks täismõõdus USB-porti, ja operatsioonisüsteemiga, mis saab selles USB-portis kasutada välist salvestusruumi.)

    • Alternatiiv # 1: kui siiski , hoolite ka sellest, et USB-mälupulka ei nakatata potentsiaalselt , ühendades selle mõnda varem omamata seadmesse, mille turbeajalugu on sama hea, näiteks 60–70 dollari väärtuses alt-eest. uus, täieliku USB-pordiga Windowsi tahvelarvuti. (Neid pole raske leida Neweggist, Amazonist, eBayst jne ja selliste saitide kaudu nagu Dealnews.) Oma koht on odavaimal odaval toorriistal.

    • Alternatiiv nr 2: kui soovite säästa natuke sularaha ja teil on juba vana, nõme või vana &i nõrk seade, oleksite hea meelega ohverdanud USB-mälupulgal oleva teabe leidmiseks võite selle asemel kindlasti minna. Ilmselgelt tahaksite enne selle tegemist veenduda, et sellele ei jääks absoluutselt, positiivselt mingeid isiklikke (või ametialaseid) andmeid. Klassikalise kõvakettaga arvutiga saate selle suure tõenäosusega saavutada, pühkides selle alglaadimisprogrammiga, mis kirjutab kõik kettaruumi mitu korda juhuslike andmetega üle ja seejärel installige kõik soovitud operatsioonisüsteemid uuesti. Tõenäoliselt. Teiselt poolt, kui soovite kasutada seadet , millel on tahkismälu....

  2. Kui teie seadet sisaldav pakett saabub, haarake see, sobiv laadimiskaabel, mille olete valmis ohverdama (näete selle põhjust ühe minutiga) ja tehke sõit asukohta, kus on toitepistikud, kuid kas (a) traadita võrgu kättesaadavus puudub või (b) vähemalt ükski traadita võrk, millega olete kunagi varem ühendanud, ja suure tõenäosusega ei ühenda seda kunagi tulevikus. (Panera või Starbucks teisel pool linna, mis on kaugel teie nimelisest viisist, töötab suurepäraselt). Lihtsalt hüpoteetilise juhtumi kajastamiseks, kus mõni ülipeenelt arenenud NSA-tasemel pahavara USB-mälupulgal nakatab teie seadme ja hakkab seejärel autonoomselt oma raadioaparaate kasutama, et proovida rikkuda kõiki selle ümbruses olevaid Wi-Fi-, Bluetooth- jms võrke. Paranoia boonus: jätke koju ka kõik teised teie elektroonilised seadmed, millel on mis tahes traadita ühenduvus. (Jah, ka teie nutitelefon. Ma tean, et lahus olemine on keeruline, aga lihtsalt seda üks kord.)

  3. Kui jõuate oma asukohta, vabastage kast ja ühendage oma uus seade pistikprogrammiga . Oodake, kuni see natuke laadib.

  4. Lülitage seade sisse, oodake, kuni see käivitub, ja ühendage kahtlustatav USB-draiv pistikupessa. Vaadake kõike, mis sellel on, selle failistruktuuri, mis tahes tunnuseid, mis teile meeldivad. Kui asute kohas, kus on avalik wifi, siis ühendage mõni Internetist ja haarake mõni tööriist (kui teie vana rämpsposti installib & neid käitama) ja vaadake lähemalt. Ärge tehke seadmega sõna otseses mõttes midagi muud.

  5. Kui olete uudishimu rahuldanud, haarake seade ja laadija, minge kuskil lähedal asuvale väljale ja andke neile kena lõplik väljasaatmine , mängides seda stseeni uuesti Officespace'ist. (Hoiatus: YouTube'i videote automaatne esitamine, tõenäoliselt NSFW keelega. Duh.)

  6. Tehke USB-mälupulgaga kõik, mida olete otsustanud, & sellel olevaid andmeid.

(Okei, kui uhked selle üle, et pole tohutult raiskav ja / või vastutustundetu keskkonnas, võite selle asemel, et oma "põlenud" seadet / arvutit lõbusalt hävitada, võite selle taaskasutada, annetada heategevuseks või müüa kasum. Kui lähete mõlemast viimasest marsruudist, kas peaksite vastuvõtvale osapoolele täpselt ütlema, miks te seadmest vabanete? Noh, kutsume seda võib-olla veel üheks päevaks kübermoraalsuse küsimuseks.)

Lõpp.

Noh, olgu, ma olen natuke nägus. Kuid ainult mõnevõrra. Fakt on see, et kui me räägime (peaaegu) nulliga turvariskiga USB-seadme uurimisest, on ainus reaalne võimalus ühendada see süsteemiga, mis (a) ei sisalda teie absoluutselt tundlikku teavet, (b) olete nõus ohverdama, kui USB osutub elektriliselt pahatahtlikuks objektiks, (c) te ei kasuta enam kunagi mingil eesmärgil, mis nõuab mis tahes usalduse loomist selle turvalisuse vastu, ja (d) ei saa füüsiliselt ühendust ühegi seadmega võrgus või muudes seadmetes, et levitada kahtlasest USB-draivist nakatunud pahavara nakatumist. (Või otsige mis tahes tundlikku teavet, mis võiks nendes seadmetes ja / või võrkudes asuda.)

Teisisõnu, teie kirjutatud arvuti on parim valik. Kui soovite tõesti, tõesti, tõesti uurida draivi peaaegu * täiusliku ohutuse / turvalisusega, see tähendab.

Kui räägime lihtsalt USB-mälupulga uurimisest ohutuse / turvalisuse tasemega "väga tõenäoliselt piisavalt hea, arvestades praktilisi kaalutlusi", on @Chris H ülaltoodud soovitus hea: haarake lauaarvuti või muu sülearvuti (mida saate tegelikult avada / teenindada ilma professionaalsete tööriistadeta), võtke mäluseade / draivid välja, käivitage eelistatud CD / USB OS-i eelistatud maitse ja ühendage kahtlane / intrigeeriv USB-mälupulk. Kas on veel väike võimalus, et USB võib sisaldada keerukat pahavara, mida saaks käivitada, kui ühendate USB-mälupulga ja seejärel vilgutate oma arvuti BIOS / UEFI-d või välgatate muud kirjutatavat püsivara, mis sisaldub näiteks videokaardis, võrgukaardis, USB-kontrollerid jne? Jah. (Kuigi praegu jäävad kõik asjad peale BIOS / UEFI rünnakute looduses väga haruldaseks. Ja isegi BIOSi või UEFI pahavara tuleb kirjutada spetsiaalselt sihitud masinas kasutatava looja / versiooni juurutamiseks.) Kas näib olevat üksus Kas USB-mälupulk on tegelikult USB-tapja, mis praeb teie emaplaadi elektriliselt? Noh ... teoreetiliselt jah. Kuid tõenäosus, et kumbki neist asjadest vastab tõele - eriti USB-tapjale -, on kindlalt teie kasuks. Parafraseerides oma küsimuses mainitud head väidet, on enamasti tavaline vana USB-mälupulk lihtsalt tavaline vana USB-mälupulk.

Kui teie, teie tööandja, ei saaks mõnes muus üksuses, kus te olete osa, pidada mõni kogenud ründaja seal väga väärtuslikuks sihtmärgiks, see tähendab. Siis on kõik panused ära. Ja sel juhul võib ülaltoodud moodi keerukas ohutusmeetod olla tegelikult ainus sobiv meetod.

* Muidugi pole olemas sellist asja nagu "täiuslik" turvalisus. Kuid "peaaegu täiuslik" turvalisus on siin meie eesmärkide jaoks piisavalt lähedal.

Kuigi neid on raskem leida, pole mõnel arvutil püsivat salvestusruumi, mida saab muuta ilma kiipe vahetamata või minimaalselt džemprit füüsiliselt muutmata. USB-mälupulga uurimisel ei tohiks olla nakatumise ohtu. selline arvuti tingimusel, et keegi lülitab selle pärast voolu alla, sest poleks võimalik midagi nakatada.
See on naljakas, aga mul oli sama mõte. Kuid ma lihtsalt eeldasin, et sellise uue (või hiljuti-ish) masina leidmine on tänapäeval inimese jaoks enam-vähem võimatu. (Ilmselt on väga turvateadlikel suurkorporatsioonidel ja valitsusasutustel juurdepääs kanalitele / tarnijatele, mida üksikisikutel pole. Või saavad lihtsalt kohandatud kraami eest lõualuu hinda maksta.) Nüüd on mul uudishimulik heita pilk, milliseid võimalusi võib olla seal väljas. Google'ile välja lülitatud ...
Jay
2015-10-19 12:07:48 UTC
view on stackexchange narkive permalink

Teised vastused hõlmavad pahatahtlikke välklampe, räägin teie lingitud vastuses mainitud USB-tapjast. (EDIT - nad tegid seda siis, kui ma seda trükkima hakkasin)

Virtuaalmasin ei aita nendest midagi, see saab ikkagi energiat ja üritab praadida kõike, millega see on ühendatud. Niipalju kui ma oskan öelda, on teil kolm võimalust:

  1. avage draiv ja vaadake, kas see tundub seaduslik või on see kaetud suurte kondensaatorite koormaga.
  2. Ühendage see vana masina või rPi-ga vms (midagi, mida te ei viitsi praadida)
  3. Ehitage USB-pikendus, milles on korralikud dioodid ja millel on kõrge vastupidine pinge.

See, mida otsustate teha, sõltub tegelikult sellest, kust draivi leiate ja kui uudishimulik olete. Isiklikult, kui ma leidsin ühe väljaspool tööd ja peaksin seda kindlasti kontrollima, ühendaksin selle rPi-ga. Kui ma tänavalt ühe leidsin, jääb see sinna.

Tõenäoliselt oleksite kõige parem kasutada zeneri (pluss kaitsme) vooluahelat: vaadake näiteks http://electronics.stackexchange.com/questions/59666/protect-dc-circuit-from-too-much-voltage (eeldades, et tahtsite midagi ehitada, soovitan oma vastuses osta optoisolatsiooniga jaotur)
Mulle see idee meeldib, võib juhtuda, et ühel nädalavahetusel tuleb jootekolb välja saada!
Aga toiteta USB-jaotur?
Vandal
2015-10-19 11:57:07 UTC
view on stackexchange narkive permalink

Võite panna virtuaalmasina toimima nn kondoomina. Paari populaarse hüpervisori hulka kuuluvad VMware Player ja Virtual Box. Kui kukute oma VM-i kokku, saate lihtsalt uue luua ja proovida uuesti. ISO-faile leiate veebist, et neid teha. Kui vajate läbikäimist, olenevalt hüpervisorist, kellega käite, lihtsalt googeldage mõned õpetused.

Kui teil on Linuxi masin, saate muuta ketta kirjutuskaitstavaks ja sõltuvalt mis teil on. Seda saate teha terminali diskutil kaudu.

Sõltuvalt valitud marsruudist lihtsalt kommenteerige ja ma saan selle vastuse muutmisega põhjalikumalt tutvuda. Loodetavasti pakub see teile ideid ja viib teid oma eesmärgile lähemale.

See ei kaitse teid seadme [USB killer] (http://kukuruku.co/hub/diy/usb-killer) taolise eest.
Ah, ma saan aru. Ma ei arvestanud sellega. Ainus asi, mida ma silmas pidasin, oli tarkvaraga seotud nakkused. Aitäh @tangrs!
See ei taga ka kaitset tarkvaraga seotud nakkuste eest. Virtuaalmasinaid saab ["põgeneda"] (http://security.stackexchange.com/q/3056/17049). Hüpervisor on tarkvara ja võib sisaldada nõrku kohti nagu iga teine. Ketta kirjutuskaitseks muutmine ei kaitse teid rünnakute eest OS-il (nt ketta uuesti kirjutatavaks muutmiseks), teie [BIOS-is] (https://et.wikipedia.org/wiki/BIOS#Security) või muu püsivara.
Samuti on püsivara taseme rünnakuid, mis kuritarvitavad otse USB-protokolli ja võivad hõlpsasti rikkuda kõik parandamata host OS-id, enne kui teil on isegi võimalus seade VM-iga ühendada.
@billc.cn: soovite paari pordi USB-kontrolleri läbida külalise operatsioonisüsteemile, võib-olla VT-d või midagi muud. (Riistvaraline tugi külalisele juurdepääsu võimaldamiseks PCIe-seadmele).


See küsimus ja vastus tõlgiti automaatselt inglise keelest.Algne sisu on saadaval stackexchange-is, mida täname cc by-sa 3.0-litsentsi eest, mille all seda levitatakse.
Loading...