Comment enquêter en toute sécurité sur une clé USB trouvée dans le parking au travail?

17

Je travaille dans une entreprise de logiciels embarqués. Ce matin, j'ai trouvé une clé USB sur le parking devant l'immeuble. Avec toutes les histoires de "attaques de clés USB lâchées" en tête, je ne vais évidemment pas simplement le brancher à mon ordinateur portable. OTOH, je suis curieux de savoir s'il s'agissait en fait d'une tentative de compromettre nos systèmes ou s'il s'agissait simplement d'un cas innocent de perte accidentelle d'une clé USB. Comment inspecter la clé USB en toute sécurité sans risquer d’être exposée?

Je ne m'inquiète pas seulement des logiciels malveillants et des images de système de fichiers spécialement conçues; il y a aussi des choses comme les attaques de surtension:
«USB Killer 2.0» montre que la plupart des périphériques compatibles USB sont vulnérables aux attaques de surtension .

EDIT: Beaucoup de réponses semblent supposer que je veux garder le lecteur et l’utiliser après. Cela ne m'intéresse pas du tout, je sais que les clés USB ne coûtent pas cher, et que ce ne serait pas à moi de les garder de toute façon. Je veux seulement savoir s’il s’agissait bien d’une attaque semi-ciblée, en partie par curiosité, si cela se produit réellement dans la vie réelle et pas seulement dans les journaux de sécurité, mais aussi pour que je puisse avertir mes collègues.

Je veux savoir comment déterminer si le stick contient des logiciels malveillants. Et ce n’est pas seulement une question de regarder le contenu du disque et de voir un fichier autorun.inf suspect ou un système de fichiers corrompu soigneusement conçu. Je souhaite également pouvoir inspecter le firmware. Je m'attendais en quelque sorte à trouver des outils pour extraire cela et comparer des binaires connus, bons ou mauvais.

Villemoes
la source
2
La seule façon d’en être sûr est de le tester, de préférence sur un système pouvant être mis au rebut. Par exemple, un ordinateur avec une version Windows qui n'est pas connectée au réseau et qui n'est pas réinstallé n'est pas un problème, connecté à un concentrateur USB, connecté à la clé USB.
LPChip
2
Dupliquer de superuser.com/questions/63499/… (et non l'inverse)
Stefano Borini
Si les réponses semblent aller au-delà de ce que vous recherchiez concernant votre propre situation, c'est que les gens répondent de manière à être également utiles aux autres lecteurs. Les gens vont atterrir ici avec une question plus ou moins similaire mais des objectifs différents.
fixer1234
1
@ fixer1234: Aller au-delà serait une bonne chose, mais jusqu'à présent, personne n'a expliqué comment je déterminerais si le stick contient des logiciels malveillants. Et ce n’est pas seulement une question de regarder le contenu du disque et de voir un fichier autorun.inf suspect ou un système de fichiers corrompu soigneusement conçu. Je souhaite également pouvoir inspecter le firmware. Je m'attendais en quelque sorte à trouver des outils pour extraire cela et comparer des binaires connus, bons ou mauvais.
Villemoes

Réponses:

13

Si vous ne voulez pas l'utiliser mais que vous êtes curieux, je commencerai en ouvrant (très soigneusement) le boîtier et en jetant un coup d'œil aux puces à l'intérieur.

Je connais. Cela semble fou, mais la présence d’un contrôleur identifiable et d’une puce flash rendrait plus probable le fait qu’il s’agisse d’un véritable lecteur USB plutôt que d’un dispositif semblable à un canard en caoutchouc ou à un tueur USB.

ensuite faites ce que tout le monde suggère et testez-le sur une installation jetable, exécutez également quelques analyseurs de virus amorçables, puis si vous êtes sûr que c'est sûr, essuyez-le.

Journeyman Geek
la source
2
s'il y a un tas de gros condensateurs en céramique, c'est probablement un tueur USB. S'il n'y a pas de gros condensateurs, il y a fort à parier que cela n'endommagera pas l'ordinateur
Blaine
Si le but de l’enquête sur le lecteur trouvé est d’identifier le propriétaire, il ne serait pas très souhaitable d’ouvrir le dossier. Même si vous le gardez, vous avez un lecteur flash avec un boîtier cassé.
fixer1234
Et si le but de l’enquête sur le lecteur trouvé est d’identifier le propriétaire, «l’effacer» n’appartient pas à la réponse - sauf peut-être après que vous ayez effectué une inspection du contenu du lecteur, puis que semaine pour voir si quelqu'un a signalé qu'il a perdu.
Scott
vrai. Cela aurait pu être "renversé par une voiture" et je prenais clairement le risque que quelqu'un le fasse exprès.
Journeyman Geek
Ouvrir le boîtier et déterminer le contrôleur USB et le modèle Flash est toujours la première chose à faire avec une clé USB inconnue. Si vous souhaitez conserver le boîtier intact, vous pouvez essayer de déterminer sa marque, puis recherchez en ligne un lecteur flash USB de même apparence. S'il est trouvé, il y a de fortes chances que ce soit également le même lecteur.
iBug
9

LPS

Une bonne distribution de sécurité pour tester les clés USB suspectes trouvées sur le parking est Sécurité portable légère (LPS), une distribution de sécurité Linux qui fonctionne entièrement à partir de la RAM lorsqu'elle est démarrée à partir d'un lecteur flash USB amorçable. LPS-Public transforme un système non approuvé (tel qu'un ordinateur domestique) en un client réseau approuvé. Aucune trace d'activité professionnelle (ou de logiciel malveillant) ne peut être écrite sur le disque dur de l'ordinateur local.

En plus de la fonction de sécurité, LPS a un autre objectif utile. Parce qu'il fonctionne entièrement à partir de la RAM, LPS peut démarrer sur presque tous les matériels. Cela le rend utile pour tester le port USB d'un ordinateur qui ne peut pas démarrer la plupart des autres images ISO USB bootables en direct.

enter image description here


USBGuard

Si vous utilisez Linux, le USBGuard La structure logicielle aide à protéger votre ordinateur contre les périphériques USB non fiables en implémentant des fonctionnalités de base de listes blanches et de listes noires basées sur les attributs de périphérique. Pour appliquer la stratégie définie par l'utilisateur, il utilise la fonctionnalité d'autorisation de périphérique USB implémentée dans le noyau Linux depuis 2007.

Par défaut, USBGuard bloque tous les nouveaux périphériques connectés et les périphériques connectés avant le démarrage du démon sont laissés tels quels.

Un moyen rapide de commencer à utiliser USBGuard pour protéger votre système contre les attaques USB consiste à générer un politique pour votre système. Ensuite, lancez usbguard-daemon avec la commande sudo systemctl start usbguard.service. Vous pouvez utiliser le usbguard commande d'interface de ligne de commande et son generate-policy sous-commande ( usbguard generate-policy ) pour générer une stratégie initiale pour votre système au lieu d’en écrire une de toutes pièces. L'outil génère une politique d'autorisation pour tous les périphériques actuellement connectés à votre système au moment de l'exécution. 1

Caractéristiques

  • Langage de la règle pour écrire des politiques d'autorisation de périphérique USB
  • Composant démon avec une interface IPC pour l'interaction dynamique et l'application des règles
  • Ligne de commande et interface graphique pour interagir avec une instance USBGuard en cours d'exécution
  • API C ++ pour interagir avec le composant démon implémenté dans une bibliothèque partagée

1 Révisé de: Protection intégrée contre les attaques de sécurité USB avec USBGuard

Installation

USBGuard est installé par défaut dans RHEL 7.

Pour installer USBGuard dans Ubuntu 17.04 et versions ultérieures, ouvrez le terminal et tapez:

sudo apt install usbguard  

Pour installer USBGuard dans Fedora 25 et versions ultérieures, ouvrez le terminal et tapez:

sudo dnf install usbguard   

Pour installer USBGuard dans CentOS 7 et versions ultérieures, ouvrez le terminal et tapez:

sudo yum install usbguard  

compilation à partir de la source de USBGuard nécessite l’installation de plusieurs autres packages en tant que dépendances.

karel
la source
4
Il me manque des informations à propos de pouvoirs détruisant tout port USB. Je conseillerais donc l'utilisation d'un hub USB jetable
LPChip
1
Il est important de noter que si votre clé USB amorçable peut monter votre disque réel, une clé USB illicite pourrait l'exploiter pour monter / chiffrer / rançonner / etc. Si vous envisagez de le faire, utilisez un ordinateur jetable sans autre disque. Idéalement via un concentrateur USB alimenté. Dans une cage de Faraday.
Oli
3

Il existe différentes approches, mais si cette clé contient un logiciel malveillant intégré au micrologiciel, cela est vraiment dangereux.

Une approche pourrait consister à télécharger l’une des nombreuses distributions LiveCD Linux, à débrancher tous les disques durs et connexions réseau, puis à regarder.

Je pense cependant que je recommanderais de sortir un ancien ordinateur portable du placard, de le brancher dessus et de le frapper ensuite avec un gros marteau.

Meilleure approche - Ne soyez pas curieux! :)

mayersdesign
la source
1
hah. J'allais suggérer l'option du système de pile de ferraille. Bien que vous deviez être un peu plus explicite sur ce que vous voulez frapper avec un marteau.
Journeyman Geek
2
@ Jobneyman Geek Après avoir examiné le contenu, je frappais TOUT avec un marteau. L'ordinateur portable, la clé USB (deux fois) et peut-être même le bureau :)
mayersdesign
@Villemoes Cela vous a-t-il été utile?
mayersdesign
3

Ne pas Jetez-les à la poubelle ou les objets perdus / trouvés avec un horodatage. Les clés USB ne coûtent pas cher, beaucoup moins cher que le temps passé à nettoyer les logiciels malveillants ou le sabotage physique. Il existe des clés USB qui stockeront la charge dans des condensateurs et se déchargeront soudainement sur votre PC, le ruinant.

Christopher Hostage
la source
6
Bien sûr, les clés USB non utilisées sont bon marché, mais que faire si elle a les scripts Star Wars VIII et IX dessus?
Scott
3

Ce fil est lié à J'ai trouvé deux clés USB sur le sol. Maintenant quoi? . L'autre fil inclut des considérations non techniques telles que la réponse de innaM, qui suggère que le contenu ne vous concerne pas et que vous devriez simplement le rendre au propriétaire, et la réponse de Mike Chess, qui mentionne que la commande pourrait contenir le gouvernement des secrets, des documents terroristes, des données utilisées dans le vol d'identité, de la pornographie enfantine, etc., qui pourraient vous causer des ennuis pour l'avoir en votre possession.

Les autres réponses des deux discussions traitent de la façon de vous protéger des logiciels malveillants lorsque vous explorez le contenu, mais ces réponses ne vous protégeront pas contre un "killer USB", un point clé posé dans cette question. Je ne reviendrai pas sur ce qui est couvert dans d'autres réponses, mais il suffit de dire que tous les conseils relatifs à la protection contre les logiciels malveillants (y compris les canards en caoutchouc, qui injectent des frappes au clavier) s'appliquent.

Valeur et marque

Mais je commencerais par le point de Christopher Hostage sur le fait que les lecteurs flash sont trop bon marché pour en valoir la peine et le risque. Si le lecteur n'est pas réclamé par le propriétaire, et après avoir pris en compte tous les avertissements, vous décidez que vous devez simplement essayer de le rendre sûr et utilisable, commencez par considérer la valeur du lecteur. S'il s'agit d'une capacité faible, d'une vitesse standard, sans lecteur de nom d'un âge inconnu, vous pouvez la remplacer par une nouvelle unité moyennant quelques dollars. Vous ne connaissez pas la durée de vie restante sur le lecteur. Même si vous le restaurez à l'état "frais", pouvez-vous vous fier à sa fiabilité ou à sa durée de vie restante?

Ce qui nous amène au cas d'un lecteur non réclamé qui est officiellement le vôtre, et:

  • c’est un lecteur de grande capacité, à grande vitesse et de marque réputée pour sa fiabilité et ses performances reconnues,
  • semble être à l'état neuf, peut-être un produit récemment sorti afin que vous sachiez qu'il ne peut pas être très vieux.

L'un des critères de ces critères est que le disque dur pourrait en réalité valoir plus qu'une somme dérisoire. Mais ma recommandation serait de ne rien toucher d'autre pour une deuxième raison. Comme le souligne Journeyman Geek dans un commentaire, les canards en caoutchouc et les tueurs USB se présentent sous une forme commune. Les emballages de marque sont difficiles à contrefaire sans équipement coûteux, et il est difficile de manipuler indûment un emballage de marque. En vous limitant ainsi aux lecteurs familiers, les lecteurs de marque offrent un peu de protection en soi.

Connexion sécurisée

La première question est de savoir comment vous pouvez physiquement le connecter à votre système en toute sécurité s'il s'agit d'une clé USB meurtrière, et c'est ce sur quoi je vais me concentrer.

Inspection de conduite

  • Le premier indice est le lecteur lui-même. Il existe des styles de miniatures qui sont essentiellement le connecteur USB et juste assez de plastique pour avoir quelque chose à saisir pour le faire entrer et sortir. Ce style est susceptible d'être sûr, surtout si le plastique porte le nom de la marque.

enter image description here

  • Les disques de style flip sont populaires pour les canards en caoutchouc, soyez donc particulièrement prudent avec eux.

enter image description here

  • S'il s'agit d'une clé USB de taille standard suffisamment grande pour contenir du matériel meurtrier, vérifiez si le boîtier contient des signes de contrefaçon ou d'altération. S'il s'agit du boîtier d'origine portant la marque, il sera difficile de le manipuler sans laisser de signes qui seraient visibles avec un grossissement.

Isolation électrique

  • La prochaine étape consisterait à isoler le lecteur de votre système. Utilisez un concentrateur USB bon marché que vous êtes prêt à sacrifier pour la valeur potentielle de la clé USB. Mieux encore, daisy chain plusieurs hubs. Le ou les concentrateurs fourniront un certain degré d’isolation électrique qui pourrait protéger votre ordinateur très coûteux du "must have", clé USB gratuite.

    Attention: je n’ai pas testé cela et je n’ai aucun moyen de savoir quel degré de sécurité cela fournirait Mais si vous allez risquer votre système, cela pourrait minimiser les dommages.

Comme LPChip le suggère dans un commentaire sur la question, le seul moyen "sûr" de le tester consiste à utiliser un système que vous considérez comme jetable. Même dans ce cas, considérez que presque tous les ordinateurs en fonctionnement ont le potentiel d’être utiles. Un ancien ordinateur sous-alimenté peut être chargé avec une distribution Linux légère résidant en mémoire et offrant des performances étonnantes pour les tâches de routine. Sauf si vous extrayez un ordinateur de la corbeille dans le but de tester le lecteur flash, évaluez la valeur d'un ordinateur en activité par rapport à celle du lecteur inconnu.

fixer1234
la source
Les canards USB en caoutchouc et ces tueurs USB ressemblent BEAUCOUP aux styles de rabat qui sont super communs
Journeyman Geek
@JourneymanGeek, à droite. Les canards en caoutchouc que j'ai rassemblés avec des logiciels malveillants et qui n'ont pas répondu à cela. La question du style d’emballage concerne le fait de ne pas déconner, sauf s’il s’agit d’un emballage de marque connue. Il serait difficile pour un pirate informatique de dupliquer le paquet de marque ou d’en altérer un. Je vais rendre cela plus explicite.
fixer1234
3

La question a été clarifiée pour décrire l'objectif comme une enquête sur la clé USB plutôt que comme une simple identification du propriétaire ou une nouvelle utilisation. C'est une question extrêmement vaste, mais je vais essayer de la couvrir de manière générale.

Quels pourraient être les problèmes?

  • Un "tueur USB". Les modèles actuels de ce genre pompent la haute tension via le port USB pour faire frire votre ordinateur.
  • Électronique personnalisée cachée dans un boîtier de lecteur flash. Cela pourrait faire tout ce que le concepteur peut inventer. Le canard en caoutchouc est une conception courante courante qui simule un clavier pour injecter tout ce que vous pouvez faire depuis le clavier.
  • Un lecteur flash avec firmware modifié. Encore une fois, limité seulement par l'imagination du designer.
  • Un lecteur flash infecté par des logiciels malveillants. Cela pourrait être pratiquement n'importe quelle variété de malware.
  • Un lecteur flash destiné à piéger quelqu'un. Ce serait le genre de chose utilisée par un service de renseignement, l'application de la loi, un enquêteur ou la protection de contenus sensibles. L'accès au lecteur déclencherait une forme d'alerte.
  • Une clé USB contenant des informations susceptibles de vous poser problème, telles que des informations classifiées, des informations volées, de la pornographie mettant en scène des enfants, etc.
  • Les personnes mal intentionnées trouveront toujours de nouvelles façons de faire des choses désagréables. Nous ne pouvons donc probablement pas connaître tous les types de risques contenus dans un boîtier USB.

Enquête sur le lecteur

Préparation

Compte tenu de l'éventail des possibilités, il est difficile de se protéger complètement pour enquêter sur le lecteur.

  • Commencez avec l'autorisation de posséder et d'inspecter tout contenu potentiel. Cela est plus facile si vous travaillez pour la communauté du renseignement, les forces de l'ordre, si vous avez un ordre juridique ou une licence. En dehors de cela, établissez à l’avance une trace écrite prouvant qu’elle est entre vos mains par des moyens innocents. Si le contenu appartient à des agents étrangers agissant illégalement ou au crime organisé, votre trace écrite peut ne pas offrir beaucoup de protection. :-)
  • Travail isolé d'Internet. Si vous souhaitez vous protéger contre la possibilité d’un émetteur radio intégré, travaillez à l’intérieur d’une cage de Faraday.
  • Protégez votre propre matériel contre une clé USB meurtrière.
    • Ouvrez le boîtier et inspectez les entrailles comme décrit par Journeyman Geek. Cela permettrait également d'identifier des composants électroniques personnalisés dans un boîtier de lecteur flash.
    • Isoler électriquement le lecteur. Vous pouvez utiliser un hub USB isolé optiquement, mais vous pourriez dépenser plus que cela en un ordinateur jetable. Comme suggéré dans mon autre réponse, vous pouvez chaîner plusieurs concentrateurs USB bon marché connectés à un ordinateur transférable.
  • Protégez votre système des attaques de bas niveau. Je ne suis pas sûr qu'il existe un moyen de se protéger, par exemple, de modifier son micrologiciel, autrement que d'utiliser un ordinateur de rechange bon marché, que vous ne craignez pas de restaurer ou de supprimer.
  • Protégez votre système contre les logiciels malveillants. Ceci est décrit dans diverses réponses, y compris les threads liés, l'utilisation de techniques telles qu'une session Linux en direct ou une VM pour travailler isolé de votre propre système d'exploitation, de vos logiciels et fichiers, la désactivation de l'exécution automatique, etc.

Enquête

  • Si l'emballage contient autre chose que de l'électronique de lecteur flash, ouvrir le boîtier est le seul moyen de voir ce dont il s'agit. Vous ne pouvez pas interroger son interface USB pour demander quel est le modèle tueur USB.
  • Si le lecteur contient des logiciels malveillants, ceux-ci seront identifiés en exécutant des analyses anti-programmes malveillants à l'aide de plusieurs programmes réputés utilisant différentes méthodologies.
  • L'examen du contenu se ferait à l'aide des outils habituels utilisés pour examiner le contenu. Cela pourrait inclure un peu de travail de détective, comme révéler des choses ou chercher des choses déguisées. Le contenu peut être crypté ou autrement protégé, ce qui est une discussion différente.
  • Le micrologiciel modifié serait extrêmement difficile à étudier. Vous aurez besoin des outils pour accéder au code du micrologiciel, ainsi que du code normal avec lequel le comparer (qui est probablement propriétaire). Si vous disposiez d'un lecteur identique, connu, et des outils permettant d'accéder au code du micrologiciel, ce serait une source de comparaison, mais ce code varierait selon les fournisseurs et même les versions du même produit. Si le lecteur flash est en réalité une installation destructive, vous devrez procéder à un reverse engineering du microprogramme pour savoir ce qu’il fait.
fixer1234
la source
2

Si je voulais vraiment faire cela, j'achèterais simplement le clone Raspberry Pi le moins cher que je pouvais et le brancherais là-dessus. Si ça zappe l'ordinateur je n'ai pas beaucoup perdu. Le système d'exploitation est peu susceptible d'être infecté, et même si c'est le cas, et alors?

davidgo
la source
1
Ne pourriez-vous pas simplement acheter un nouveau lecteur flash connu de bonne qualité? :-)
fixer1234
@ fix1234 OP veut savoir s'il s'agit d'une attaque ou non, il n'est pas intéressé par l'utilisation du lecteur. Le seul moyen de savoir quoi que ce soit consiste à effectuer une inspection.
Baldrickk
@Baldrickk, oui, la question a été clarifiée après la publication de nombreuses réponses et commentaires.
fixer1234