Frage:
Gibt es eine Möglichkeit, den Inhalt eines USB-Speichersticks sicher zu überprüfen?
200_success
2015-10-19 11:28:56 UTC
view on stackexchange narkive permalink

Angenommen, ich habe einen herumliegenden USB-Speicherstick gefunden und wollte seinen Inhalt untersuchen, um seinen rechtmäßigen Besitzer zu finden. Gibt es eine Möglichkeit, dies sicher zu tun, wenn man bedenkt, dass USB-Sticks tatsächlich bösartiger sind als ein Massenspeichergerät? Ist ein elektrisch isoliertes "Kondom" möglich? Gibt es eine Möglichkeit, USB-Treiber unter Linux / Windows / OS X manuell zu laden, um sicherzustellen, dass das Gerät nicht als etwas anderes als USB-Massenspeicher behandelt wird?

Trotz aller Befürchtungen - Es ist immer noch überwältigend wahrscheinlicher, dass es sich bei einem scheinbar verlegten Memory Stick tatsächlich nur um einen Memory Stick handelt.

Folgefrage: Welche Maßnahmen ergreifen Fotodruckkioske, um sich dagegen zu schützen? Arten von Angriffen?

Schließen Sie es an einen alten Laptop an (der nicht mit einem Netzwerk verbunden ist), den Sie gerne brennen.
Der einzig wirklich sichere Weg besteht darin, ihn auseinanderzunehmen, den Flash-Chip zu entlöten und ihn mit Ihrer eigenen vertrauenswürdigen Schaltung auszulesen.
Neben jeder Art von Software-Angriff können Sie Ihren PC mechanisch / elektrisch schützen, indem Sie einen billigen USB-Hub verwenden.
Aus den Antworten geht hervor, dass es Hardware- und Software-Angriffe gibt. Der erste Typ kann über bestimmte USB-Hubs gesteuert werden, die die Stromversorgung trennen. Die zweite scheint schwieriger zu sein, da sie sich in der Firmware verstecken und unentdeckt bleiben können.
@PlasmaHH: und geben Sie es dann an seinen rechtmäßigen Eigentümer zurück. Er wird wahrscheinlich glücklich sein, ja!
Wer weiß, dass es keine Bombe ist, die vorgibt, ein USB-Speicherstick zu sein? Und ich denke, die nächste Version von USB Killer könnte vorgeben, ein guter Memory Stick für die 5 oder so zu sein.
`Welche Maßnahmen ergreifen / können Fotodruckkioske ergreifen, um sich vor solchen Angriffen zu schützen?` Keine. Sie lassen sich einfach kompromittieren. Als ich für einen großen A / V-Anbieter arbeitete, befand sich eines unserer Büros im selben Gebäude wie eine Apotheke, und wir mussten schließlich einige Mitarbeiter entlassen, um den Fotodrucker in der Apotheke weiter zu verwenden, weil sie USB-Geräte waren An die Fotokioske angeschlossene Geräte würden von * Dutzenden * verschiedener Malware infiziert, und diese würden in unser internes Netzwerk gelangen, wenn sie das USB-Gerät an ihre Arbeitsmaschinen anschließen.
@HopelessN00b Huch! Ich stelle mir vor, dass dies auch für Blutdruckkioske mit Anschlüssen für verschiedene Geräte gilt, wie die in meinem örtlichen Lebensmittelgeschäft. Oder so ziemlich jeder öffentliche Kiosk mit einem freiliegenden USB-Anschluss.
@user23013 Das moderne Trojanische Pferd, das (* fast *) die Zivilisation beendete. USB-Speichersticks, die Atombomben sind. Glücklicherweise nahm ein höchst skeptischer Mitarbeiter der Informationssicherheit es auseinander und entdeckte die Bombe. Jetzt sind alle USB-Geräte nicht mehr vertrauenswürdig und sollten niemals angeschlossen werden, selbst wenn Sie sie aus dem Geschäft erhalten haben. Noch nie!
Himbeerkuchen waren perfekt für diese Art von Prüfung, bis sie populär genug wurden, um gezielt eingesetzt zu werden.
@HopelessN00b Meine Güte. Ich hoffe, sie haben zuerst ein paar Warnungen erhalten.
@Shane Oh, sie haben mehr als ein Jahr lang gewarnt. Und Anweisungen, in welche Netzwerke sie potenziell infizierte USB-Geräte * einstecken * könnten. Und das Unternehmen hat Geräte ausgestellt, damit sie den Kiosk nicht benutzen müssen. Wir IT-Leute hatten es lange satt, danach aufzuräumen und nach Blut zu schreien, lange bevor sie in die Dose gingen ... aber schließlich störte oder beschämte eine der Infektionen einen unserer C-Levels, und das war's.
@200_success +1 willkürlicher Internetpunkt, um mich zum Lachen zu bringen, nicht eine Gegenstimme: P.
@Aequitas Vor vielen, vielen Jahren stieß ich auf 3,5-Disketten, die aus irgendeinem Grund in einzelnen Plastiktüten geliefert wurden. Ich hatte gerade jemanden davon überzeugt, dass sie Kondome für den Virenschutz sind.
Dies ist keine Antwort; nur eine Beobachtung. Vorausgesetzt, die Hardware ist sicher, enthält der Stick nur Nullen und Einsen. Es ist die Schuld des PCs, dass er diese Daten verarbeitet. Jeder Port sollte in einen abgesicherten Modus programmiert werden können, in dem jeder Eingang nicht ausführbar ist.
Wie wäre es mit Software wie Deep-Freeze? in meinem Fall funktioniert es wie Charme :)
Sie sind sich nicht sicher, ob dies eine vollständige Frage rechtfertigt (und Gott weiß, welcher Stapelaustausch angemessen wäre), aber benötigen BIOS Schreibzugriff für den normalen Gebrauch? Könnten Sie den Schreibstift physisch trennen oder einen Hardware-Schreibblocker inline hinzufügen (wenn diese jetzt seriell sind) - vorausgesetzt, natürlich werden auch andere Maßnahmen ergriffen?
Verwandte Themen: [Wie können USB-Sticks gefährlich sein?] (Https://security.stackexchange.com/q/102873/34757), [Wie untersuche ich sicher einen USB-Stick, der auf dem Parkplatz bei der Arbeit gefunden wurde?] (Https://superuser.com/q/1206321/150988), [Sicheres Öffnen eines verdächtigen USB-Laufwerks] (https://superuser.com/q/167878/150988), [Wie kann ich ein nicht vertrauenswürdiges USB-Flash-Laufwerk sicher durchsuchen?](https://superuser.com/q/983709/150988), [Welche Gefahr besteht beim Einstecken und Durchsuchen eines nicht vertrauenswürdigen USB-Laufwerks?] (https://superuser.com/q/709275/150988), [Wie kannEin Flash-Laufwerk hat einen Virus verbreitet?] (https://superuser.com/q/93939/150988) und wahrscheinlich mehr.
Elf antworten:
#1
+78
Ian H
2015-10-20 18:33:08 UTC
view on stackexchange narkive permalink

Ich würde einen Raspberry Pi verwenden, das Modell A / A + ohne Netzwerkverbindung, da:

  • Er (oder besser Linux) kann die meisten Arten von Dateisystemen auf einem USB-Stick lesen.
  • Der einzige nichtflüchtige Speicher ist eine SD-Karte, die anschließend neu formatiert (oder verworfen werden kann, wenn Sie paranoid sind).
  • Wenn sich herausstellt, dass dies der USB-Stick ist Elektrisch bösartig, Sie haben nur 20 US-Dollar an Hardware verloren.
  • Auf einer Nicht-x86-Plattform wird ein Betriebssystem ausgeführt, das nicht zum Mainstream gehört, wodurch die Wahrscheinlichkeit geringer ist, dass es für typische Windows-Malware anfällig ist.

Dies lässt immer noch die Frage offen, was Sie mit den darin enthaltenen Dateien tun würden. Wenn Sie sie auf einen anderen Computer kopieren, ist dieser Computer offensichtlich gefährdet.

Nichts ist 100% sicher, wohlgemerkt. Ich kann es nicht besser ausdrücken als James Mickens: "Wenn Ihr Gegner der Mossad ist, werden Sie sterben und es gibt nichts, was Sie dagegen tun können."

Das Problem ist, dass Sie möglicherweise nichts Verdächtiges entdecken (hängt natürlich von Ihren Fähigkeiten ab), aber dennoch eine gefährliche Nutzlast tragen.
Ein Himbeer-Pi, oder? Jetzt frage ich mich, wann jemand einen Weg findet, HDMI-Controller zu infizieren.
@xeon: Wenn die Richtlinie für gefundene USB-Geräte darin besteht, sie auf offensichtliche Anzeichen von Besitz zu untersuchen und gegebenenfalls den offensichtlichen Besitzer zu kontaktieren (der dann eine Ahnung haben sollte, ob das Laufwerk ihm gehört und wie paranoid er möchte Wenn es um die Möglichkeit geht, dass es manipuliert wurde, hätte das Unternehmen, das das Laufwerk findet und nach Anzeichen von Eigentum sucht, keinen Grund, sich um eine versteckte gefährliche Nutzlast zu kümmern, da das Unternehmen, das das Laufwerk gefunden hat, nichts zu befürchten hätte eine Nutzlast, da sie dem betreffenden Laufwerk niemals etwas von größerem Wert aussetzen würden.
+1 Dies ist eine viel billigere Lösung als ein optisch isolierter USB-Hub. Die billigsten von denen, die ich finden konnte, waren näher an 100 Dollar.
Haben Sie Linux gerade als "Nicht-Mainstream" bezeichnet? Da dies nur für den Desktop-Markt gilt, wird alles andere von Linux oder einem anderen Unix dominiert. (Nun, außer Echtzeit-Sachen, das sind hauptsächlich VxWorks, was meines Wissens nicht Unix ist.)
@Bobby ist das Linux-Betriebssystem, das unter PRI läuft, eine Mainstream-Version von Linux?
@Bobby Das stimmt. Linux dominiert in Märkten, in denen das Anschließen eines zufälligen USB-Laufwerks unwahrscheinlich ist, und nicht in Märkten, in denen das Anschließen des USB-Geräts wahrscheinlicher ist. Der Punkt steht also.
@schroeder Das empfohlene Betriebssystem für Raspberry Pi ist Raspbian, ein Debian-Derivat. Es gibt andere, aber sie scheinen größtenteils auch leicht modifizierte Versionen des Originals zu sein. Siehe [hier] (https://www.raspberrypi.org/downloads/).
Sie können versuchen, es zuerst an einen [CIRCLean USB Sanitizer] (https://www.circl.lu/projects/CIRCLean/) anzuschließen und dann das kopierte Laufwerk an einen Linux Live Boot-Computer ohne Netzwerkverbindung anzuschließen.Sie müssen auch nach einem [BadUSB] -Szenario (https://youtu.be/nuruzFqMgIw) Ausschau halten, in dem der eigentliche USB-Controller-Chip selbst gehackt wurde.Aus diesem Grund kopieren Sie zuerst alle gewünschten Daten auf ein bekanntermaßen funktionsfähiges Gerät und werfen dann das Original weg.Dann würde ich NUR dann in Betracht ziehen, das Risiko einzugehen, das kopierte Laufwerk an einen Computer anzuschließen, den ich tatsächlich benutze.Selbst dann wahrscheinlich nicht.
#2
+49
Chris H
2015-10-19 15:32:30 UTC
view on stackexchange narkive permalink

Der USB-Killer würde Ihren PC nicht töten, wenn Sie ihn über einen optisch isolierten Hub anschließen würden. Sie existieren zwar (Suche: "Opto-isolierter USB-Hub"), aber da ich selbst noch nie einen verwendet habe, werde ich kein bestimmtes Modell empfehlen. Sie sind aber nicht billig. Hier ein Beispiel:

usb hub

Wenn Sie sich mit dem Hardwareaspekt befasst haben, werden Sie auf ein häufigeres Problem reduziert. In anderen Antworten haben Sie wahrscheinlich bereits mehr kompetente Ratschläge, aber ich gehe davon aus, die Festplatte (und alle anderen beschreibbaren Speicher) eines PCs vom Computer zu trennen und von einer Live-CD oder einem Live-USB-Stick (einer, der nicht automatisch funktioniert) zu booten -Laufen Sie den Inhalt von USB-Sticks natürlich). Das liegt daran, dass es die maximale Rendite für den Aufwand ist, mit dem ich angefangen habe. Es wäre sinnvoll, wenn Sie es sich zur Gewohnheit machen würden, sogar Ihre Live-CD so einzustellen, dass Hardware nicht automatisch gemountet und nicht automatisch installiert wird, und den Computer vom Netzwerk zu trennen. Das Booten mit dem verdächtigen Stick wäre ebenfalls eine schlechte Idee, falls es bootfähig ist, aber auch, weil Sie möglicherweise Zugriff auf Ereignisprotokolle haben möchten, wenn Sie es gerade angeschlossen haben.

Dies schützt Sie nicht vor einem [BIOS-Virus] (https://en.wikipedia.org/wiki/BIOS#Security) oder Firmware-Angriffen auf Hardware, die Sie mit Ihrem Computer verbunden lassen. Vielleicht sogar Ihre [Tastatur oder Maus] (http://security.stackexchange.com/q/100743/17049).
@JonBentley,, das nicht automatisch ausgeführt wird oder versucht, vom Memory Stick zu booten, sollte das BIOS schützen, nicht wahr? Die Annahme eines böswilligen Wiederaufflammens ist natürlich der Vektor. Ich habe auch den Maus-Thread und eine kürzlich als USB-Stick getarnte "Tastatur" gesehen. Ich werde meine "Festplatte trennen" verallgemeinern, um den beschreibbaren Speicher zu trennen. Ich frage mich, ob es möglich ist, ein Tastaturmakro ein Skript schreiben und ausführen zu lassen, das das BIOS flashen könnte.
Beachten Sie, dass es für schnelle USB2- oder USB3-Geschwindigkeit keine erschwinglichen Optokoppler auf dem Markt gibt
@PlasmaHH, Ich bin nicht überrascht, aber die Rückkompatibilität wäre gut genug, um eine Untersuchung zu ermöglichen. Wenn die * Hardware * harmlos ist, ist das Speichern der Dateien auf dem Laufwerk möglicherweise der nächste Schritt. Anschließend wird möglicherweise der Inhalt der Dateien angezeigt, beginnend mit kleinen Textdateien.
@ChrisH: Das Herunterladen von 3 TB Daten über 12 MBit kann nur eine Weile dauern, wenn Sie ein Bild für die Forensik zeichnen möchten ...
@PlasmaHH, Ich bin sicher, es kann. Aber: (i) 3 TB USB-Sticks sind nicht gerade üblich; (ii) Die Prämisse der Frage war nicht Forensik, sondern: "Ist dies ein echter USB-Stick und wenn ja, wessen" (z. B. wird einem IT-Profi ohne Sicherheit ein foudn-Gerät übergeben - meine Interpretation). Wenn es sich nicht um einen USB-Stick handelt, töten Sie ihn mit Feuer, untersuchen Sie ihn zum Spaß oder übergeben Sie ihn an eine zuständige Behörde für Forensik. Wenn es sich um einen offensichtlich böswilligen USB-Stick handelt, ergreifen Sie ähnliche Maßnahmen. Zu diesem Zeitpunkt müssen wir uns kein Bild davon machen (und Sie möchten möglicherweise nicht den Inhalt übernehmen, es sei denn, Sie arbeiten professionell daran).
@PlasmaHH Fortsetzung dessen, was Chris sagte, können normal große USB-Sticks in angemessener Zeit über eine 1.0-Verbindung abgebildet werden. Etwa einen halben Tag für einen vollen 64-GB-Stick (über Nacht laufen lassen, am nächsten Tag ansehen) oder anderthalb Stunden für 8 GB.
Angesichts des Preises für den Kauf eines opto-isolierten USB-Hubs ist es meiner Meinung nach viel besser, einen billigen gebrauchten PC online zu kaufen, wie von @Matty vorgeschlagen - dann müssen Sie sich auch keine Gedanken über Software machen.
@PlasmaHH Das größte im Handel erhältliche USB-Flash-Laufwerk ist 1 TB und kostet über 650 USD. Ein 3 TB USB in der aktuellen Periode bedeutet eines von 3 Dingen. In abnehmender Reihenfolge der Wahrscheinlichkeit, dass Sie auf Ihrem Parkplatz landen: 1. Das USB-Gerät ist fehlerhaft und meldet seine Kapazität übermäßig. In diesem Fall vertrauen Sie ihm nicht. 2. Es handelt sich um einen Prototyp von Kingston oder Patriot (die einzigen, die derzeit USB-Laufwerke mit 1 TB verkaufen), die an diese zurückgegeben werden sollten. 3. Das Gerät ist irgendwie aus der Zukunft hierher gekommen und es ist möglich, dass Sie es aufgrund der aktuellen USB-Standards nicht lesen können.
Du machst keine Witze über den Preis! Ich hatte im Laufe der Jahre viele Probleme mit USB-Hubs, die Spannung auf das Motherboard zurückspeisen, also habe ich sie beim Lesen Ihres Beitrags nachgeschlagen.
@NateKerkhofs, Sie sind genau richtig, aber PlasmaHH könnte sich auf externe USB-Festplatten beziehen, die leicht zu USB-Killern verarbeitet werden könnten. Sie benötigen jedoch nur USB 1.0, um dies zu überprüfen.
@ChrisH Sie könnten eine externe Festplatte in einen USB-Killer verwandeln, aber es wäre viel kostengünstiger, so etwas wie eine 8-GB-USB-Festplatte (die Sie für einen Bruchteil der Kosten einer externen 3-TB-Festplatte erhalten können) zu verwenden oder sogar zu bauen ein Gerät von Grund auf neu. Es ist auch wahrscheinlicher, dass ein USB-Laufwerk "versehentlich" auf einem Parkplatz abgelegt wird (z. B. aus einer Tasche), insbesondere wenn die Idee besteht, dass das Ding noch funktionieren sollte.
@NateKerkhofs, Ich stimme vollkommen zu.
#3
+35
Tom Leek
2015-10-20 20:32:05 UTC
view on stackexchange narkive permalink

Wenn wir davon ausgehen, dass der Stick für maximale Unangenehmkeit physisch verändert worden sein könnte, muss man die Möglichkeit berücksichtigen, dass der angebliche "Memory Stick" beim Einsetzen in einen Computer einige Anthraxsporen oder eine Wolke aus Plutoniumoxid ausspuckt Die Antwort auf Ihre Frage lautet also: Es gibt keine sichere Möglichkeit, den Inhalt eines Memory Sticks zu untersuchen (es sei denn, Sie können die Aufgabe an einen Untergebenen delegieren, der sie in einem anderen Gebäude ausführt).


Wenn wir dagegen annehmen, dass der Angreifer nicht so gründlich ist, verwenden wir implizit eine "Schwelle der Bosheit", die willkürlicher Natur ist. Wenn wir rohe physikalische Zerstörungseffekte ausschließen (einschließlich des Versuchs, die Elektronik des Host-Computers zu braten), gibt es meistens fünf Möglichkeiten, wie ein böser Memory Stick die Maschine beschädigen kann, in die er eingesetzt ist:

  • Der Memory Stick könnte versuchen, eine Sicherheitsanfälligkeit in der USB-Controller-Hardware zu missbrauchen. Dieser Controller ist ein Chip mit eigener Firmware, der auch mit den Hauptdatenspuren im Computer verbunden ist, sodass theoretisch die Möglichkeit besteht, Löcher auszunutzen. Dies wäre sehr spezifisch für eine Version des Controllers und seiner Firmware, und mir ist kein solches Loch in der Natur bekannt.

  • Der Memory Stick könnte versuchen, a zu missbrauchen Sicherheitslücke im Betriebssystemcode, der den USB-Dialog behandelt. Dies war im Grunde das, was der PlayStation Jailbreak tat: Das Gerät bestand auf USB-Ebene aus mehreren Geräten, von denen eines leicht außerhalb der Spezifikation liegende Nachrichten sendete, die a auslösten Pufferüberlauf im Betriebssystemcode, der USB-Geräte erkennt und auflistet.

  • Der Memory Stick kann tatsächlich kein Memory Stick sein, sondern eine andere Art von Gerät, möglicherweise mehrere sie gleichzeitig. Zum Beispiel könnte der Stick aus Sicht des Betriebssystems eine Tastatur sein, und beim Einsetzen könnte er anfangen, Dinge zu tippen. Dies geschieht in freier Wildbahn.

  • Der Memory Stick kann ein echter Memory Stick mit einem Dateisystem sein, das eine Sicherheitsanfälligkeit im Betriebssystemcode für Dateisysteme ausnutzt. Abgesehen von direkten Pufferüberläufen kann es auch Probleme mit beispielsweise automatisch ausgeführten Funktionen geben (es ist bemerkenswert, dass eine Reihe vorhandener, nicht böswilliger Speichersticks auch ein virtuelles CD-ROM-Laufwerk emulieren, um zu versuchen, zu trainieren solche automatische Ausführung). Eine Variante wäre ein Stick mit Bildern, die Lücken in Bildwiedergabebibliotheken ausnutzen (die vom Host-Computer aufgerufen werden, wenn beim grafischen Durchsuchen der Verzeichnisse und Dateien versucht wird, "Miniaturansichten" anzuzeigen).

  • Last but not least ist ein menschlicher Bediener beteiligt, der viele Angriffsmöglichkeiten eröffnet. Viele Angriffe nutzen einfach den bodenlosen Brunnen der menschlichen Leichtgläubigkeit. Der Inhalt des Sticks könnte den menschlichen Bediener dazu veranlassen, unachtsam eine harmlose ausführbare Datei zu starten. Oder, noch schlimmer, der Stick könnte Dokumente von störender Natur enthalten (manche Dinge können nicht einfach unsichtbar sein), was immer noch als "Schaden" gilt.

Ihr Die beste Wahl für eine "sichere Erkundung" des Sticks wäre die Verwendung eines Basis-PCs mit einem Betriebssystem, das in Bezug auf die Codequalität einen guten Ruf hat, mit Sicherheitspatches auf dem neuesten Stand ist und vor allem mit so wenig Plug-and -Spielunterstützung wie möglich. Idealerweise versucht ein Betriebssystem, das nicht versucht, automatisch etwas mit dem neu eingesteckten USB-Gerät zu tun (d. H. Ein Betriebssystem, das genau das ist, was moderne Betriebssysteme wie Windows, OS X oder Linux nicht sind). Ich schlage vor, mit OpenBSD oder NetBSD zu beginnen, die so angepasst sind, dass jede Form von USB-Magie deaktiviert wird. Die Verwendung ungewöhnlicher Software und ungewöhnlicher Hardware bietet auch einen kleinen zusätzlichen Schutz, da Angreifer mit geringer Qualität und großer Verbreitung sich nicht die Mühe machen, Exploits beispielsweise für NetBSD-Systeme zu schreiben, die auf einem alten PowerPC-basierten Mac ausgeführt werden.

#4
+19
user45139
2015-10-19 12:00:50 UTC
view on stackexchange narkive permalink

Denken Sie in jedem Fall daran, dass es kein perfektes Sandbox-System (Hardware / Elektrik, Software) gibt, das Sie zu 100% vor solchen möglichen Infektionen schützen kann.

Andererseits Ihre Situation kann davon abhängen, wer Sie sind und wo Sie es gefunden haben.

Wenn Sie ein qualifizierter Arbeiter sind, sagen wir, für eine Autofirma, und Sie haben den Stock neben Ihrem Arbeitsplatz oder neben Ihrem Wohnort (Ihnen) gefunden zielen) dann ist das Beste, was Sie tun können, diesen USB-Stick zu zerstören, da das Problem darin besteht, dass Sie nicht im Voraus wissen können, ob der von Ihnen gefundene USB-Stick in Firmware eingebettete Malware enthält. In diesem Fall scheint nichts nützlich zu sein ( 'BadUSB'-Malware lebt in der USB-Firmware, um unentdeckt und nicht reparierbar zu bleiben). Solche Malware kann zu einer Infektion Ihres BIOS führen, die möglicherweise zu schwer zu entfernen ist (wenn nicht unmöglich).

Wenn Sie ein Mr. X oder Y sind und den USB-Stick gefunden haben Selbst wenn der USK-Stick infiziert ist (absichtlich oder nicht), kann die Malware nicht so dramatisch sein und in diesem Fall möglicherweise mit einer Linux Live-CD auf Ihrem Computer booten, um die Malware zu starten und zu überprüfen Der Inhalt Ihres USB kann eine vernünftige Maßnahme sein.

#5
+11
chx
2015-10-20 11:39:30 UTC
view on stackexchange narkive permalink

Während oben die elektrischen Aspekte behandelt wurden, sind viele von einer Malware betroffen, die Ihr BIOS infiziert. Schließen Sie es dann an einen Computer an, der kein BIOS hat und auf dem Stick nichts ausführt: Verwenden Sie einen SPARC-Computer. Ich sehe Sunfire V100-Maschinen bei eBay für 50-60 US-Dollar unter unsicheren Bedingungen, weniger als 200 US-Dollar für sogenannte "Verkäufer überholt". Es ist möglich, dass es ältere, also sogar billigere gab, die USB hatten, an die ich mich einfach nicht erinnern kann. Der V100 hat definitiv USB-Anschlüsse. Ich bin mir sicher, wenn eine Agentur mit drei Buchstaben weiß, dass Sie einen SPARC verwenden, können sie mit einem USB-Stick etwas Böses tun, aber es wäre ein äußerst kostspieliger Angriff, da sie originelle Nachforschungen anstellen müssten, wie das geht. Hier ist die offizielle Oracle-Seite zum Mounten von USB-Sticks unter Solaris.

In diesem Forenthema wird das Hinzufügen von USB zu Ultra 5/10 behandelt, wenn Sie sich die Mühe machen möchten damit sehe ich sie aber nicht viel billiger als die Sunfire V100.

Sie haben einen guten Punkt erwähnt: * BIOSless * Maschine. +1
SPARC-Systeme verfügen über ein BIOS. Sie nennen es einfach "Firmware". Aber alle Computer booten mit einem Code in ROM / Flash, und dieser Code kann, wie jede einzelne Software, Fehler aufweisen. Dies ist natürlich nicht derselbe Code wie ein BIOS für einen x86-basierten Computer. Man kann also hoffen, dass der Angreifer "nicht an SPARC-Maschinen gedacht hat".
Genau das habe ich gemeint, mit BIOS meinte ich PC-BIOS und mit "wird nichts auf dem Stick laufen lassen" meinte ich "alles, was für eine x86-CPU geschrieben wurde". Ich erwähnte sogar die Möglichkeit eines Angriffs und wie unwahrscheinlich / kostspielig es ist, dass jemand tatsächlich an einen SPARC dachte. Es zeigt auch, wie schrecklich ich in der Vergangenheit verankert bin - die Raspberry Pi-Antwort ist der gleiche Gedankengang, aber es ist ein billig verfügbares Gerät. ARM ist jedoch viel weiter verbreitet als ein SPARC. Wenn wir uns also an die Denkschule "Es gibt keinen Kill wie Overkill" halten, ist SPARC vielleicht die beste Wahl.
#6
+11
Toby Speight
2015-10-21 21:19:04 UTC
view on stackexchange narkive permalink

Ein interessanter Ansatz für dieses Problem ist CIRClean, der auch in einem LWN-Artikel beschrieben wird.

Es wird ein Raspberry Pi verwendet (vermutlich ziemlich entbehrlich in das Gesicht von Überspannungen und anderen elektrischen Angriffen), an die der nicht vertrauenswürdige USB-Massenspeicher und ein vertrauenswürdiger, leerer USB-Massenspeicher angeschlossen werden sollten. Und keine anderen Geräte sind angeschlossen - er ist nicht mit einem Netzwerk oder einer Tastatur / Maus verbunden /Monitor. Und es gibt keinen beschreibbaren permanenten Speicher oder ein zu infizierendes BIOS (und der wirklich Paranoide kann die Boot-SD-Karte vor jedem Gebrauch neu flashen, wenn er dies wünscht, nehme ich an).

Schalten Sie sie ein und es wird Übertragen Sie Dateien von einem zum anderen, indem Sie bekannte Malware-Vektoren automatisch bereinigen (z. B. PDF- oder MSOffice-Dateien in sichereres HTML umwandeln). Eine visuelle und akustische Anzeige zeigt an, wann der Vorgang abgeschlossen ist und das System heruntergefahren werden kann, sodass der Benutzer eine etwas bereinigte Version des ursprünglichen Dateisystems auf dem vertrauenswürdigen Speicher hat, die zur Übertragung auf die Arbeitsstation des Benutzers bereit ist.

Wenn Sie CIRClean verwenden möchten, empfehle ich, den Issue-Tracker auf aktuelle Fehler zu überprüfen. In dem LWN-Artikel (Dezember 2014) wird darauf hingewiesen, dass kein Schutz gegen BadUSB-Tastaturangriffe besteht. Ich habe nicht festgestellt, ob das noch stimmt. Wenn man sich die Kernel-Konfigurationsdatei im Git-Repository ansieht, sieht es sicherlich so aus, als könnte sie viel mehr gesperrt werden (Magic Sysrq, irgendjemand?). Vielleicht ein Projekt, an dem man sich beteiligen kann, anstatt (noch) ein fertiges Produkt.

#7
+8
dr_
2015-10-19 12:01:42 UTC
view on stackexchange narkive permalink

Das OP bezieht sich auf eine elektrische Isolation aufgrund des Risikos eines USB-Killers:

Das Gerät arbeitet Berichten zufolge, indem es Strom von den USB-Anschlüssen bezieht und Verwenden eines Wandlers, bis eine negative Spannung erreicht ist. Die Energie wird dann zurück in den Computer geleitet, wobei der Prozess eine Schleife durchläuft, bis die Schaltkreise der Maschine braten.

Leider gibt es keine Möglichkeit, sich gegen diesen Angriff zu verteidigen, da es sich um die elektrischen Schaltkreise handelt (es sei denn, Sie Bauen Sie Ihre eigenen USB-Anschlüsse!), aber es scheint sehr unwahrscheinlich.

Der häufigste Angriffsvektor ist heutzutage die automatische Ausführung eines Windows-Virus, wenn Sie das USB-Laufwerk einstecken. Daher würde ich sagen, dass das Überprüfen des Inhalts eines USB-Laufwerks auf einem Linux-Computer relativ sicher ist. Theoretisch ist es unsicher, aber in Wirklichkeit riskieren Sie nicht viel, es sei denn, jemand zielt auf Sie oder Ihr Unternehmen ab (es gibt einen Unterschied zwischen einem USB-Laufwerk in einer zufälligen Straße und einem USB-Laufwerk auf dem Parkplatz Ihres Unternehmens ).

[Chris 'Antwort] (http://security.stackexchange.com/a/103102/58810) erwähnt einen (optisch) isolierten USB-Hub, der vermutlich vor dieser Art von Gerät schützen würde.
Eine geeignete Schutzschaltung (starke Klemmdioden an allen Drähten und Strombegrenzung) sollte ebenfalls ausreichen.
Die Beschreibung macht keinen Sinn. http://arstechnica.com/security/2015/10/usb-killer-flash-drive-can-fry-your-computers-innards-in-seconds/ Ist besser, zusammen mit den Kommentaren.
#8
+4
Dmitry Grigoryev
2015-10-20 13:39:43 UTC
view on stackexchange narkive permalink

Technisch gesehen ist es unter Linux recht einfach, udev zu stoppen und jedes USB-bezogene Kernelmodul mit Ausnahme von USB-Speicher zu entladen. Es gibt jedoch zwei praktische Probleme:

  1. In Ihrem Standardkernel ist möglicherweise das Modul versteckt integriert, sodass Sie den Kernel neu kompilieren müssen Machen Sie es ladbar.

  2. Sobald Sie das Modul hid entladen, funktionieren auch die legitimen USB-Tastaturen und -Mäuse nicht mehr. Suchen Sie eine alte PS / 2-Tastatur oder verwenden Sie eine virtuelle Tastatur mit Touchpad / Touchscreen (funktioniert nur, wenn diese nicht über USB angeschlossen sind).

  3. ol>
#9
+4
mostlyinformed
2015-10-21 08:06:57 UTC
view on stackexchange narkive permalink

tl; dr: Etwas Radikales wie die Verwendung eines "Brenner" -PCs oder -Geräts zu tun, mit dem Sie den USB-Stick einmal lesen und dann wegwerfen, ist eine (fast) vollständig kugelsichere Sichtweise Was ist auf dem Stock. Aber tatsächlich zu solchen Extremen zu gehen, während man nachforscht, ist übertrieben und ein wenig albern. Außer wo es nicht ist.


Ob Sie es glauben oder nicht, es gibt eine nahezu kinderleichte Möglichkeit, einen solchen USB-Stick zu untersuchen. Schritt für Schritt:

  1. Finden Sie im Internet einen super alten, supergünstigen, aber immer noch irgendwie funktionierenden Laptop / Netbook und kaufen Sie ihn. (Jedes Tablet, das groß genug ist, um einen USB-Anschluss in voller Größe zu haben, und ein Betriebssystem, das externen Speicher an diesem USB-Anschluss verwenden kann, funktioniert auch.)

  2. Alternative 1: Wenn jedoch Außerdem ist es Ihnen sehr wichtig, den USB-Stick nicht potenziell zu infizieren , indem Sie ihn an ein zuvor im Besitz befindliches Gerät mit unbekannter Sicherheitsgeschichte anschließen, das Sie beispielsweise für einen Preis von 60 bis 70 US-Dollar verwenden könnten. Das neue Windows-Tablet mit vollem USB-Anschluss. (Sie sind auf Newegg, Amazon, eBay usw. und über Websites wie Dealnews nicht schwer zu finden.) Günstigste Standardhardware hat ihren Platz.

  3. Alternative Nr. 2: Wenn Sie ein wenig Geld sparen möchten und bereits ein altes, beschissenes oder altes &-beschissenes Gerät haben, würden Sie gerne Opfer für diesen Zweck bringen Wenn Sie herausfinden, was sich auf diesem USB-Stick befindet, können Sie diesen Weg auch gehen. Es ist jedoch ziemlich offensichtlich, dass Sie sicherstellen möchten, dass absolut keine persönlichen (oder beruflichen) Daten mehr darauf vorhanden sind, bevor Sie dies tun. Mit einem PC mit einer klassischen Festplatte können Sie dies sehr wahrscheinlich erreichen, indem Sie ihn mit einem Startprogramm löschen, das jeden Speicherplatz auf der Festplatte mit zufälligen Daten um ein Vielfaches überschreibt, und dann das gewünschte Betriebssystem neu installieren. Wahrscheinlich. Auf der anderen Seite, wenn Sie ein Gerät mit Festkörperspeicher verwenden möchten....

  4. Wenn das Paket mit Ihrem Gerät ankommt, nehmen Sie es, ein geeignetes Ladekabel, das Sie opfern möchten (Sie werden gleich sehen, warum), und machen Sie einen Ausflug zu einem Ort, an dem jedoch Netzstecker vorhanden sind Entweder (a) keine drahtlose Netzwerkverfügbarkeit oder (b) zumindest keine drahtlosen Netzwerke, mit denen Sie jemals zuvor eine Verbindung hergestellt haben und die höchstwahrscheinlich in Zukunft keine Verbindung mehr herstellen werden. (Ein Panera oder Starbucks auf der anderen Seite der Stadt, der weit außerhalb Ihrer normalen Möglichkeiten liegt, funktioniert hervorragend). Nur um den hypothetischen Fall abzudecken, in dem auf dem USB-Stick vorhandene hochentwickelte Malware auf NSA-Ebene Ihr Gerät infiziert und dann autonom mit seinen Funkgeräten versucht, alle Wi-Fi-, Bluetooth- usw. Netzwerke in der Umgebung zu beschädigen. Paranoia-Bonus: Lassen Sie auch alle anderen elektronischen Geräte von Ihnen, die über eine drahtlose Verbindung verfügen, zu Hause. (Ja, einschließlich Ihres Smartphones. Ich weiß, dass es schwierig ist, getrennt zu sein, aber nur einmal.)

  5. Wenn Sie an Ihrem Standort ankommen, entpacken Sie Ihr neues Gerät und schließen Sie es an . Warten Sie, bis es etwas aufgeladen ist.

  6. Schalten Sie Ihr Gerät ein, warten Sie, bis es gestartet ist, und schließen Sie Ihr verdächtiges USB-Laufwerk an. Schauen Sie sich alles an, was darauf steht, die Dateistruktur und die Eigenschaften, die Sie mögen. Wenn Sie sich an einem Ort befinden, an dem öffentliches WLAN verfügbar ist, stellen Sie möglicherweise eine Verbindung her und greifen Sie auf einige Tools aus dem Internet zu (wenn Ihr altes Stück Müll & installiert, führen Sie sie aus), und schauen Sie sie sich genauer an. Machen Sie buchstäblich nichts anderes mit dem Gerät.

  7. Wenn Sie Ihre Neugier befriedigt haben, nehmen Sie Ihr Gerät und Ihr Ladegerät und gehen Sie zu einem Feld in der Nähe und geben Sie ihnen einen schönen letzten Abschied , indem Sie diese Szene aus dem Officespace nachspielen. (Warnung: Automatisches Abspielen von YouTube-Videos mit wahrscheinlich NSFW-Sprache. Duh.)

  8. Tun Sie alles, was Sie mit dem USB-Stick & tun möchten.

  9. ol>

    (Okay, wenn Sie stolz darauf sind, nicht sehr verschwenderisch und / oder umweltverantwortlich zu sein, anstatt Ihr "verbranntes" Gerät / Ihren PC auf unterhaltsame Weise zu zerstören, können Sie es recyceln, für wohltätige Zwecke spenden oder für eine Person verkaufen Wenn Sie eine der beiden letztgenannten Routen wählen, sollten Sie der empfangenden Partei genau mitteilen, warum Sie das Gerät loswerden? Nennen wir das vielleicht eine Frage der Cybermoral für einen anderen Tag.)

    Das Ende.

    Nun, okay, ich bin ein bisschen scherzhaft. Aber nur etwas. Die Tatsache bleibt, dass, wenn wir über die Untersuchung eines USB-Geräts mit (nahezu) null Sicherheitsrisiko sprechen, die einzige echte Option darin besteht, es an ein System anzuschließen, das (a) absolut keine vertraulichen Informationen von Ihnen enthält, (b) Sie bereit sind Sollte sich herausstellen, dass es sich bei dem USB-Gerät um ein elektrisch böswilliges Objekt handelt, (c) werden Sie es nie wieder für einen Zweck verwenden, bei dem Sie Vertrauen in seine Sicherheit setzen müssen, und (d) Sie können sich physisch nicht mit einem Gerät verbinden Netzwerke oder andere Geräte, um Malware-Infektionen zu verbreiten, die möglicherweise vom fraglichen USB-Laufwerk ausgehen. (Oder um nach vertraulichen Informationen zu suchen, die sich möglicherweise auf diesen Geräten und / oder Netzwerken befinden.)

    Mit anderen Worten, ein "Brenner" -Computer ist die beste Wahl. Wenn Sie das Laufwerk wirklich, wirklich, wirklich mit nahezu perfekter Sicherheit untersuchen möchten, ist dies der Fall.

    Wenn wir nur über die Untersuchung des USB-Sticks mit einem Sicherheitsgrad sprechen, der "aus praktischen Gründen sehr wahrscheinlich gut genug" ist, ist der obige Vorschlag von @Chris H gut: Besorgen Sie sich einen Desktop-PC oder einen Laptop-Maschine (die Sie ohne professionelle Tools öffnen / warten können), nehmen Sie das / die Speicherlaufwerk (e) heraus, booten Sie von einer von Ihnen bevorzugten Live-CD / USB-Betriebssystem-Variante und schließen Sie den verdächtigen / faszinierenden USB-Stick an. Gibt es immer noch eine geringe Wahrscheinlichkeit, dass der USB hochentwickelte Malware enthält, die ausgeführt werden kann, wenn Sie den USB-Stick anschließen und dann das BIOS / UEFI Ihres Computers flashen oder andere beschreibbare Firmware flashen, die in Dingen wie Ihrer Grafikkarte, Ihrer Netzwerkkarte oder Ihrer enthalten ist USB-Controller usw.? Ja. (Obwohl im Moment alle Dinge außer BIOS / UEFI-Angriffen in der Natur sehr selten sind. Und selbst BIOS- oder UEFI-Malware muss speziell für die Hersteller- / Versionsimplementierung geschrieben werden, die auf einem Zielcomputer verwendet wird.) Könnte das Element sein, das zu sein scheint Ist ein USB-Speicherstick tatsächlich ein USB-Killer, der Ihr Motherboard elektrisch ausfüllt? Nun ... theoretisch ja. Aber die Wahrscheinlichkeiten dafür, dass eines dieser Dinge wahr ist - insbesondere das USB-Killer-Problem - sprechen stark für Sie. Um einen guten Punkt zu paraphrasieren, den Sie in Ihrer Frage angesprochen haben, ist ein einfacher alter USB-Stick meistens nur ein einfacher alter USB-Stick.

    Es sei denn, Sie, Ihr Arbeitgeber, in einem anderen Unternehmen, zu dem Sie gehören, könnten von einem hoch entwickelten Angreifer da draußen als ein sehr wertvolles Ziel angesehen werden. Dann sind alle Wetten geschlossen. In diesem Fall ist eine verschlungene Sicherheitsmethode wie die oben beschriebene möglicherweise die einzig geeignete.

    * Natürlich gibt es keine "perfekte" Sicherheit. Aber "fast perfekte" Sicherheit ist für unsere Zwecke hier nah genug.

Während es schwieriger wird, sie zu finden, haben einige Computer keine Form von nichtflüchtigem Speicher, der geändert werden kann, ohne Chips auszutauschen oder zumindest Jumper physisch zu ändern. Bei der Untersuchung eines USB-Sticks sollte kein Risiko einer "Infektion" bestehen Solch ein Computer vorausgesetzt, man schaltet ihn danach aus, weil es nichts geben würde, was der Stick möglicherweise infizieren könnte.
Es ist lustig, aber ich hatte den gleichen Gedanken. Aber ich habe nur angenommen, dass es für einen Einzelnen mehr oder weniger unmöglich wäre, heute eine neue (oder neuere) Maschine wie diese zu finden. (Offensichtlich haben sehr sicherheitsbewusste große Unternehmen und Regierungsbehörden Zugang zu Kanälen / Lieferanten, die Einzelpersonen nicht haben. Oder sie können einfach umwerfende Preise für kundenspezifische Produkte zahlen.) Jetzt bin ich gespannt, welche Optionen es gibt könnte da draußen sein. Auf zu Google ...
#10
+3
Jay
2015-10-19 12:07:48 UTC
view on stackexchange narkive permalink

Die anderen Antworten beziehen sich auf bösartige Flash-Laufwerke. Ich werde über den USB-Killer sprechen, der in Ihrer verknüpften Antwort erwähnt wird. (BEARBEITEN - sie haben es getan, als ich angefangen habe, dies zu tippen)

Eine virtuelle Maschine hilft dabei nicht, sie wird immer noch Strom bekommen und versuchen, alles zu braten, mit dem sie verbunden ist. Soweit ich das beurteilen kann, haben Sie drei Möglichkeiten:

  1. Öffnen Sie das Laufwerk und prüfen Sie, ob es echt aussieht oder ob es mit einer Last großer Kondensatoren bedeckt ist.
  2. Schließen Sie es an eine alte Maschine oder ein rPi usw. an (etwas, das Ihnen nichts ausmacht, wenn Sie gebraten werden).
  3. Bauen Sie eine USB-Erweiterung mit einigen anständigen Dioden, die eine hohe Sperrspannung haben.
  4. ol>

    Was Sie tun, hängt wirklich davon ab, wo Sie das Laufwerk finden und wie neugierig Sie sind. Persönlich, wenn ich eine externe Arbeit finden würde und sie unbedingt überprüfen müsste, würde ich sie an ein rPi anschließen. Wenn ich einen auf der Straße gefunden habe, bleibt er dort.

Am besten verwenden Sie eine Zener-Schaltung (plus Sicherung): Siehe zum Beispiel http://electronics.stackexchange.com/questions/59666/protect-dc-circuit-from-too-much-voltage (vorausgesetzt, Sie wollten etwas bauen, ich schlage vor, einen opto-isolierten Hub in meiner Antwort zu kaufen)
Ich mag diese Idee, muss vielleicht eines Wochenendes den Lötkolben rausholen!
Was ist mit einem USB-Hub ohne Stromversorgung?
#11
+1
Vandal
2015-10-19 11:57:07 UTC
view on stackexchange narkive permalink

Sie können eine virtuelle Maschine als sogenanntes "Kondom" verwenden. Einige beliebte Hypervisoren sind VMware Player und Virtual Box. Wenn Sie Ihre VM zum Absturz bringen, können Sie einfach eine neue erstellen und es erneut versuchen. Sie können ISO-Dateien im Web finden, mit denen Sie sie erstellen können. Gehen Sie einfach einige Tutorials durch, wenn Sie je nach verwendetem Hypervisor einen Rundgang benötigen.

Wenn Sie einen Linux-Computer haben, können Sie die Festplatte schreibgeschützt machen und sind je nach Bedarf möglicherweise einfacher was du hast. Sie können dies über diskutil im Terminal tun.

Abhängig von der Route, die Sie nehmen, kommentieren Sie einfach, und ich kann durch Bearbeiten dieser Antwort ausführlicher darauf eingehen. Ich hoffe, dies gibt Ihnen einige Ideen und bringt Sie Ihrem Ziel näher.

Das schützt Sie nicht vor so etwas wie dem [USB-Killer] (http://kukuruku.co/hub/diy/usb-killer).
Oh ich verstehe. Das habe ich nicht berücksichtigt. Das einzige, was ich im Sinn hatte, waren softwarebezogene Infektionen. Danke @tangrs!
Es garantiert auch keinen Schutz vor softwarebezogenen Infektionen. Virtuelle Maschinen können ["entkommen"] (http://security.stackexchange.com/q/3056/17049) von. Ein Hypervisor ist eine Software und kann wie jeder andere auch Schwachstellen enthalten. Wenn Sie Ihre Festplatte schreibgeschützt machen, werden Sie nicht vor Angriffen auf das Betriebssystem (z. B. um die Festplatte wieder beschreibbar zu machen), auf Ihr [BIOS] (https://en.wikipedia.org/wiki/BIOS#Security) oder auf geschützt andere Firmware.
Es gibt auch Angriffe auf Firmware-Ebene, die das USB-Protokoll direkt missbrauchen und leicht gegen jedes nicht gepatchte Host-Betriebssystem verstoßen können, bevor Sie überhaupt die Möglichkeit haben, das Gerät mit der VM zu verbinden.
@billc.cn: Sie möchten den USB-Controller für zwei Ports an das Gastbetriebssystem weiterleiten, möglicherweise mit VT-d oder ähnlichem. (Hardware-Unterstützung für den Zugriff eines Gastes auf ein PCIe-Gerät).


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...