Làm cách nào để điều tra an toàn một thanh USB được tìm thấy trong bãi đậu xe tại nơi làm việc?

Tôi làm việc tại một công ty phần mềm nhúng. Sáng nay tôi tìm thấy một chiếc USB ở bãi đậu xe trước tòa nhà. Với tất cả các câu chuyện về "các cuộc tấn công thanh USB bị rơi" trong tâm trí, rõ ràng tôi sẽ không chỉ cắm nó vào máy tính xách tay của mình. OTOH, tôi tò mò muốn biết liệu đây thực sự là một nỗ lực nhằm thỏa hiệp các hệ thống của chúng tôi hay thực sự chỉ là một trường hợp vô tội khi ai đó vô tình làm mất thẻ nhớ USB. Làm cách nào để kiểm tra thanh USB một cách an toàn mà không gặp rủi ro khi tiếp xúc?

Tôi lo lắng không chỉ về phần mềm độc hại và hình ảnh hệ thống tập tin thủ công; cũng có những thứ như các cuộc tấn công tăng sức mạnh:
'USB Killer 2.0' cho thấy hầu hết các thiết bị hỗ trợ USB đều dễ bị tấn công .

EDIT: Nhiều câu trả lời dường như cho rằng tôi muốn giữ ổ đĩa và sử dụng nó sau đó. Tôi không có hứng thú với điều đó, tôi biết rằng USB có giá rẻ và dù sao nó cũng không phải là của tôi. Tôi chỉ muốn biết liệu đây có thực sự là một cuộc tấn công nhắm mục tiêu hay không, một phần vì tò mò liệu điều này có thực sự xảy ra trong cuộc sống thực và không chỉ trong các giấy tờ an ninh, mà còn để tôi có thể cảnh báo đồng nghiệp của mình.

Tôi muốn biết làm thế nào tôi có thể tìm ra liệu thanh có chứa phần mềm độc hại hay không. Và đó không chỉ là vấn đề nhìn vào nội dung ổ đĩa và thấy một autorun.inf đáng ngờ hoặc một hệ thống tệp bị hỏng được chế tạo cẩn thận - tôi rất muốn có một cách để kiểm tra phần sụn. Tôi dự kiến ​​sẽ có các công cụ để trích xuất và so sánh với các nhị phân đã biết tốt hoặc đã biết xấu.

Nếu bạn không muốn sử dụng nó nhưng tò mò - tôi thực sự bắt đầu bằng cách mở hộp (rất cẩn thận) và xem xét các con chip bên trong.

Tôi biết. Điều này nghe có vẻ điên rồ, nhưng sự hiện diện của bộ điều khiển và chip flash có thể nhận dạng sẽ khiến nó có nhiều khả năng đó là ổ USB thực sự chứ không phải là một con vịt cao su USB hoặc kẻ giết USB.

Sau đó, làm những gì mọi người khác đề xuất và kiểm tra nó trên bản cài đặt dùng một lần, cũng chạy một vài máy quét vi rút có thể khởi động, sau đó nếu bạn chắc chắn rằng nó an toàn, hãy xóa sạch nó.

HÀNG

Một bản phân phối bảo mật tốt để kiểm tra các ổ flash USB đáng ngờ mà bạn tìm thấy trong bãi đỗ xe là Trusted End Node Security (TENS), trước đây được gọi là Light Portable Security (LPS), một bản phân phối bảo mật Linux chạy hoàn toàn từ RAM khi được khởi động từ một ổ đĩa flash USB có khả năng khởi động. TENS Public biến một hệ thống không tin cậy (như máy tính gia đình) thành một máy khách mạng đáng tin cậy. Không có dấu vết của hoạt động công việc (hoặc phần mềm độc hại) có thể được ghi vào ổ cứng máy tính cục bộ.

Ngoài tính năng bảo mật TENS còn có một mục đích hữu ích khác. Vì nó chạy hoàn toàn từ RAM, TENS có thể khởi động trên hầu hết mọi phần cứng. Điều này giúp ích cho việc kiểm tra cổng USB của máy tính không thể khởi động hầu hết các hình ảnh ISO USB có thể khởi động trực tiếp khác.

USBGuard

Nếu bạn đang sử dụng Linux, khung phần mềm USBGuard giúp bảo vệ máy tính của bạn chống lại các thiết bị USB lừa đảo bằng cách triển khai các khả năng danh sách trắng và danh sách đen cơ bản dựa trên các thuộc tính của thiết bị. Để thực thi chính sách do người dùng xác định, nó sử dụng tính năng ủy quyền thiết bị USB được triển khai trong nhân Linux từ năm 2007.

Theo mặc định, USBGuard chặn tất cả các thiết bị và thiết bị được kết nối mới được kết nối trước khi khởi động trình nền được giữ nguyên.

Một cách nhanh chóng để bắt đầu sử dụng USBGuard để bảo vệ hệ thống của bạn khỏi các cuộc tấn công USB là trước tiên hãy tạo chính sách cho hệ thống của bạn. Sau đó, khởi động usbguard-daemon bằng lệnh sudo systemctl start usbguard.service. Bạn có thể sử dụng usbguardlệnh giao diện dòng lệnh và generate-policytiểu ban ( usbguard generate-policy) của nó để tạo chính sách ban đầu cho hệ thống của bạn thay vì viết từ đầu. Công cụ tạo chính sách cho phép cho tất cả các thiết bị hiện được kết nối với hệ thống của bạn tại thời điểm thực thi. ¹

Đặc trưng

• Ngôn ngữ quy tắc để viết chính sách ủy quyền thiết bị USB
• Thành phần Daemon với giao diện IPC để tương tác động và thực thi chính sách
• Dòng lệnh và giao diện GUI để tương tác với phiên bản USBGuard đang chạy
• API C ++ để tương tác với thành phần daemon được triển khai trong thư viện dùng chung

¹ _{Sửa đổi từ: Bảo vệ tích hợp chống lại các cuộc tấn công bảo mật USB với USBGuard}

Cài đặt

USBGuard được cài đặt theo mặc định trong RHEL 7.

Để cài đặt USBGuard trong Ubuntu 17.04 trở lên, hãy mở thiết bị đầu cuối và gõ:

sudo apt install usbguard  

Để cài đặt USBGuard trong Fedora 25 trở lên, hãy mở thiết bị đầu cuối và gõ:

sudo dnf install usbguard   

Để cài đặt USBGuard trong CentOS 7 trở lên, hãy mở thiết bị đầu cuối và gõ:

sudo yum install usbguard  

việc biên dịch từ nguồn USBGuard yêu cầu cài đặt một số gói khác làm phụ thuộc.

Có nhiều cách tiếp cận khác nhau, nhưng nếu thanh đó có phần mềm độc hại nhúng phần mềm thì nó thực sự khá nguy hiểm.

Một cách tiếp cận có thể là tải xuống một trong nhiều bản phát hành LiveCD Linux, rút ​​phích cắm bất kỳ ổ đĩa cứng và kết nối mạng nào, sau đó xem xét.

Tôi nghĩ mặc dù tôi sẽ khuyên bạn nên lấy một chiếc máy tính xách tay cũ ra khỏi tủ, cắm nó vào đó và sau đó đập nó bằng một cây búa lớn.

Cách tiếp cận tốt nhất - Đừng tò mò! :)

Đừng. Vứt chúng vào thùng rác, hoặc Mất / Tìm thấy với dấu thời gian. Gậy USB có giá rẻ, rẻ hơn nhiều so với thời gian dọn dẹp từ phần mềm độc hại hoặc phá hoại vật lý. Có những thanh USB ngoài đó sẽ tích trữ điện tích trong các tụ điện, và đột nhiên xả vào PC của bạn, làm hỏng nó.

Chủ đề này được liên kết với tôi tìm thấy hai thanh usb trên mặt đất. Giờ thì sao? . Chủ đề khác bao gồm một số cân nhắc phi kỹ thuật như câu trả lời của innaM, cho thấy nội dung không phải là việc của bạn và bạn chỉ cần chuyển nó để trả lại cho chủ sở hữu và câu trả lời của Mike Chess, trong đó đề cập rằng ổ đĩa có thể chứa chính phủ bí mật, tài liệu khủng bố, dữ liệu được sử dụng trong hành vi trộm cắp danh tính, nội dung khiêu dâm trẻ em, v.v., có thể khiến bạn gặp rắc rối vì sở hữu nó.

Các câu trả lời khác trên cả hai luồng đề cập đến cách bảo vệ bạn khỏi phần mềm độc hại trong khi khám phá nội dung, nhưng những câu trả lời đó sẽ không bảo vệ bạn khỏi "USB sát thủ", một điểm chính được đặt ra trong câu hỏi này. Tôi sẽ không kiểm tra lại những gì được nêu trong các câu trả lời khác, nhưng đủ để nói rằng tất cả các lời khuyên về việc bảo vệ bạn khỏi phần mềm độc hại (bao gồm cả vịt cao su, sử dụng tổ hợp phím), sẽ được áp dụng.

Giá trị và thương hiệu

Nhưng tôi sẽ bắt đầu với quan điểm của Christopher Hostage về việc ổ đĩa flash quá rẻ không đáng để bận tâm và mạo hiểm. Nếu ổ đĩa không được chủ sở hữu yêu cầu và sau khi xem xét tất cả các cảnh báo, bạn quyết định rằng bạn chỉ cần cố gắng làm cho nó an toàn và có thể sử dụng được, hãy bắt đầu bằng cách xem xét giá trị của ổ đĩa. Nếu nó là công suất thấp, tốc độ tiêu chuẩn, không có tên ổ đĩa không rõ tuổi, bạn có thể thay thế nó bằng một cái mới với một vài đô la. Bạn không biết cuộc sống còn lại trên ổ đĩa. Ngay cả khi bạn khôi phục nó về tình trạng "mới", bạn có thể tin tưởng vào độ tin cậy hoặc thời gian phục vụ còn lại của nó không?

Điều này dẫn chúng ta đến trường hợp ổ đĩa không có người nhận chính thức là của bạn và:

• nó là một ổ đĩa công suất cao, tốc độ cao, có độ tin cậy và hiệu suất được công nhận,
• dường như đang ở trong tình trạng mới, có lẽ là một sản phẩm được phát hành gần đây để bạn biết rằng nó không thể rất cũ.

Một điểm của những tiêu chí này là ổ đĩa thực sự có thể có giá trị hơn một số tiền không đáng kể. Nhưng khuyến nghị của tôi sẽ không gây rối với bất cứ điều gì khác vì một lý do thứ hai. Như Journeyman Geek chỉ ra trong một bình luận, vịt cao su và kẻ giết USB đi kèm trong các gói tìm kiếm chung. Bao bì thương hiệu khó bị làm giả nếu không có thiết bị đắt tiền và việc giả mạo gói thương hiệu theo cách không thể phát hiện là khó khăn. Vì vậy, giới hạn bản thân với các ổ đĩa thương hiệu quen thuộc cung cấp một chút bảo vệ trong chính nó.

Kết nối an toàn

Câu hỏi đầu tiên là làm thế nào bạn có thể kết nối vật lý với hệ thống của mình một cách an toàn nếu đó có thể là USB giết người, và đó là điều tôi sẽ tập trung vào.

Kiểm tra ổ đĩa

• Manh mối đầu tiên là ổ đĩa. Có những kiểu thu nhỏ về cơ bản là đầu nối USB cộng với nhựa vừa đủ để có thứ gì đó để lấy và lấy ra. Phong cách đó có khả năng là an toàn, đặc biệt là nếu nhựa có tên thương hiệu trên đó.

• Ổ đĩa kiểu lật là phổ biến cho vịt cao su, vì vậy hãy đặc biệt cẩn thận với chúng.

• Nếu đó là ổ ngón tay cái kích thước tiêu chuẩn đủ lớn để chứa phần cứng sát thủ, hãy kiểm tra vỏ xem có dấu hiệu giả mạo hay đã bị giả mạo hay không. Nếu đó là trường hợp ban đầu, có nhãn hiệu, sẽ khó có thể giả mạo nó mà không để lại dấu hiệu có thể nhìn thấy với độ phóng đại.

Cách ly điện

• Bước tiếp theo sẽ là cách ly ổ đĩa khỏi hệ thống của bạn. Sử dụng một trung tâm USB giá rẻ mà bạn sẵn sàng hy sinh cho giá trị tiềm năng của ổ ngón tay cái. Thậm chí tốt hơn, chuỗi cúc vài trung tâm. Các trung tâm sẽ cung cấp một số mức độ cách ly điện có thể bảo vệ máy tính đắt tiền của bạn khỏi ổ USB giết người miễn phí "phải có".

  Cảnh báo: Tôi chưa kiểm tra điều này và không có cách nào để biết mức độ an toàn mà điều này sẽ cung cấp. Nhưng nếu bạn định mạo hiểm hệ thống của mình, nó có thể giảm thiểu thiệt hại cho nó.

Như LPChip gợi ý trong một nhận xét về câu hỏi, cách duy nhất "an toàn" để kiểm tra nó là sử dụng một hệ thống mà bạn cho là dùng một lần. Ngay cả khi đó, hãy xem xét rằng hầu như bất kỳ máy tính làm việc nào cũng có tiềm năng hữu ích. Một máy tính cổ, hoạt động kém có thể được tải với một bản phân phối Linux nhẹ, có bộ nhớ và cung cấp một số hiệu năng đáng kinh ngạc cho các tác vụ thông thường. Trừ khi bạn đang lấy một máy tính từ thùng rác cho mục đích kiểm tra ổ đĩa flash, hãy cân nhắc giá trị của một máy tính hoạt động so với giá trị của ổ đĩa không xác định.

Câu hỏi đã được làm rõ để mô tả mục tiêu là điều tra ổ USB thay vì chỉ đơn giản là xác định chủ sở hữu hoặc tái sử dụng nó. Đây là một câu hỏi cực kỳ rộng, nhưng tôi sẽ cố gắng nói một cách chung chung.

Vấn đề có thể là gì?

• Một "sát thủ USB". Trình bày các thiết kế của thể loại này bơm điện áp cao thông qua cổng USB để chiên máy tính của bạn.
• Tùy chỉnh thiết bị điện tử ẩn trong một gói ổ đĩa flash. Điều này có thể làm bất cứ điều gì nhà thiết kế có thể phát minh ra. Một thiết kế hiện tại phổ biến là con vịt cao su, mô phỏng bàn phím để tiêm bất cứ thứ gì bạn có thể làm từ bàn phím.
• Một ổ đĩa flash với phần sụn được sửa đổi. Một lần nữa, chỉ giới hạn bởi trí tưởng tượng của nhà thiết kế.
• Một ổ đĩa flash bị nhiễm phần mềm độc hại. Đây có thể là hầu như bất kỳ loại phần mềm độc hại.
• Một ổ đĩa flash có ý định nhốt ai đó. Đây sẽ là loại điều được sử dụng bởi một dịch vụ tình báo, thực thi pháp luật, điều tra viên hoặc bảo vệ các nội dung nhạy cảm. Truy cập vào ổ đĩa sẽ kích hoạt một số hình thức cảnh báo.
• Một ổ đĩa flash chứa tài liệu có thể khiến bạn gặp rắc rối khi sở hữu nó, chẳng hạn như thông tin được phân loại, thông tin bị đánh cắp, nội dung khiêu dâm trẻ em, v.v.
• Những người có ý định xấu sẽ luôn tìm ra những cách mới để làm những điều khó chịu, vì vậy chúng ta có lẽ không thể biết mọi loại nguy hiểm có trong gói USB.

Điều tra ổ đĩa

Sự chuẩn bị

Với phạm vi khả năng, rất khó để bảo vệ chính bạn để điều tra ổ đĩa.

• Bắt đầu với ủy quyền để sở hữu và kiểm tra bất kỳ nội dung tiềm năng. Điều này sẽ dễ dàng hơn nếu bạn làm việc cho cộng đồng tình báo, thực thi pháp luật hoặc có một số hình thức của lệnh hoặc giấy phép hợp pháp. Nói tóm lại, hãy thiết lập một dấu vết giấy trước để chứng minh rằng nó nằm trong tay bạn bằng những biện pháp vô tội. Nếu nội dung thuộc về các tác nhân nước ngoài hành động bất hợp pháp hoặc tội phạm có tổ chức, dấu vết giấy của bạn có thể không cung cấp nhiều sự bảo vệ. :-)
• Làm việc cách ly với Internet. Nếu bạn muốn bảo vệ chống lại khả năng của một máy phát radio nhúng, hãy làm việc bên trong lồng Faraday.
• Bảo vệ phần cứng của riêng bạn khỏi USB sát thủ.
  • Mở vỏ máy và kiểm tra can đảm như Journeyman Geek mô tả. Điều này cũng sẽ xác định các thiết bị điện tử tùy chỉnh trong trường hợp ổ đĩa flash.
  • Cách ly điện ổ đĩa. Bạn có thể sử dụng bộ chia USB được cách ly về mặt quang học, nhưng bạn có thể chi tiêu nhiều hơn cho máy tính dùng một lần. Như được đề xuất trong câu trả lời khác của tôi, bạn có thể xâu chuỗi một số trung tâm USB giá rẻ được kết nối với một máy tính rác.
• Bảo vệ hệ thống của bạn khỏi cuộc tấn công cấp thấp. Tôi không chắc chắn có cách nào để bảo vệ chống lại thứ gì đó như thay đổi phần sụn của bạn, ngoài việc sử dụng một máy tính rẻ tiền, dự phòng mà bạn không ngại khôi phục hoặc bỏ rác.
• Bảo vệ hệ thống của bạn khỏi phần mềm độc hại. Điều này được mô tả trong các câu trả lời khác nhau, bao gồm các luồng được liên kết, sử dụng các kỹ thuật như phiên Linux trực tiếp hoặc VM để hoạt động cách ly với hệ điều hành, phần mềm và tệp của riêng bạn, vô hiệu hóa tự động, v.v.

Cuộc điều tra

• Nếu gói chứa thứ gì đó không phải là ổ đĩa điện tử, mở vỏ máy là cách duy nhất để xem nó là gì. Bạn không thể truy vấn giao diện USB của nó để hỏi USB sát thủ kiểu gì.
• Nếu ổ đĩa chứa phần mềm độc hại, điều đó sẽ được xác định bằng cách chạy quét chống phần mềm độc hại bằng cách sử dụng một số chương trình có uy tín sử dụng các phương pháp khác nhau.
• Điều tra nội dung sẽ được thực hiện với các công cụ bình thường được sử dụng để xem nội dung. Điều này có thể bao gồm một công việc thám tử nhỏ, như những điều chưa biết hoặc tìm kiếm những thứ ngụy trang. Nội dung có thể được mã hóa hoặc bảo vệ theo cách khác, đó là một cuộc thảo luận khác.
• Firmware sửa đổi sẽ cực kỳ khó điều tra. Bạn sẽ cần các công cụ để truy cập mã chương trình cơ sở, cộng với mã thông thường để so sánh nó với (có khả năng là độc quyền). Nếu bạn có một ổ đĩa tốt, được biết đến giống hệt nhau và các công cụ để truy cập mã chương trình cơ sở, đó sẽ là một nguồn để so sánh, nhưng mã đó sẽ khác nhau giữa các nhà cung cấp và các phiên bản của cùng một sản phẩm. Nếu ổ đĩa flash thực sự là một nhà máy phá hoại, bạn sẽ phải đảo ngược phần sụn để tìm ra nó đang làm gì.

Nếu tôi thực sự, thực sự muốn làm điều này, tôi chỉ cần mua bản sao Raspberry Pi rẻ nhất tôi có thể và cắm nó vào đó. Nếu nó hạ gục máy tính thì tôi đã không mất nhiều. HĐH không có khả năng bị lây nhiễm, và ngay cả khi có, vậy thì sao?