Je travaille dans une entreprise de logiciels embarqués. Ce matin, j'ai trouvé une clé USB sur le parking devant l'immeuble. Avec toutes les histoires de "attaques de clés USB lâchées" en tête, je ne vais évidemment pas simplement le brancher à mon ordinateur portable. OTOH, je suis curieux de savoir s'il s'agissait en fait d'une tentative de compromettre nos systèmes ou s'il s'agissait simplement d'un cas innocent de perte accidentelle d'une clé USB. Comment inspecter la clé USB en toute sécurité sans risquer d’être exposée?
Je ne m'inquiète pas seulement des logiciels malveillants et des images de système de fichiers spécialement conçues; il y a aussi des choses comme les attaques de surtension:
«USB Killer 2.0» montre que la plupart des périphériques compatibles USB sont vulnérables aux attaques de surtension .
EDIT: Beaucoup de réponses semblent supposer que je veux garder le lecteur et l’utiliser après. Cela ne m'intéresse pas du tout, je sais que les clés USB ne coûtent pas cher, et que ce ne serait pas à moi de les garder de toute façon. Je veux seulement savoir s’il s’agissait bien d’une attaque semi-ciblée, en partie par curiosité, si cela se produit réellement dans la vie réelle et pas seulement dans les journaux de sécurité, mais aussi pour que je puisse avertir mes collègues.
Je veux savoir comment déterminer si le stick contient des logiciels malveillants. Et ce n’est pas seulement une question de regarder le contenu du disque et de voir un fichier autorun.inf suspect ou un système de fichiers corrompu soigneusement conçu. Je souhaite également pouvoir inspecter le firmware. Je m'attendais en quelque sorte à trouver des outils pour extraire cela et comparer des binaires connus, bons ou mauvais.
la source
Réponses:
Si vous ne voulez pas l'utiliser mais que vous êtes curieux, je commencerai en ouvrant (très soigneusement) le boîtier et en jetant un coup d'œil aux puces à l'intérieur.
Je connais. Cela semble fou, mais la présence d’un contrôleur identifiable et d’une puce flash rendrait plus probable le fait qu’il s’agisse d’un véritable lecteur USB plutôt que d’un dispositif semblable à un canard en caoutchouc ou à un tueur USB.
ensuite faites ce que tout le monde suggère et testez-le sur une installation jetable, exécutez également quelques analyseurs de virus amorçables, puis si vous êtes sûr que c'est sûr, essuyez-le.
la source
LPS
Une bonne distribution de sécurité pour tester les clés USB suspectes trouvées sur le parking est Sécurité portable légère (LPS), une distribution de sécurité Linux qui fonctionne entièrement à partir de la RAM lorsqu'elle est démarrée à partir d'un lecteur flash USB amorçable. LPS-Public transforme un système non approuvé (tel qu'un ordinateur domestique) en un client réseau approuvé. Aucune trace d'activité professionnelle (ou de logiciel malveillant) ne peut être écrite sur le disque dur de l'ordinateur local.
En plus de la fonction de sécurité, LPS a un autre objectif utile. Parce qu'il fonctionne entièrement à partir de la RAM, LPS peut démarrer sur presque tous les matériels. Cela le rend utile pour tester le port USB d'un ordinateur qui ne peut pas démarrer la plupart des autres images ISO USB bootables en direct.
USBGuard
Si vous utilisez Linux, le USBGuard La structure logicielle aide à protéger votre ordinateur contre les périphériques USB non fiables en implémentant des fonctionnalités de base de listes blanches et de listes noires basées sur les attributs de périphérique. Pour appliquer la stratégie définie par l'utilisateur, il utilise la fonctionnalité d'autorisation de périphérique USB implémentée dans le noyau Linux depuis 2007.
Par défaut, USBGuard bloque tous les nouveaux périphériques connectés et les périphériques connectés avant le démarrage du démon sont laissés tels quels.
Un moyen rapide de commencer à utiliser USBGuard pour protéger votre système contre les attaques USB consiste à générer un politique pour votre système. Ensuite, lancez usbguard-daemon avec la commande
sudo systemctl start usbguard.service
. Vous pouvez utiliser leusbguard
commande d'interface de ligne de commande et songenerate-policy
sous-commande (usbguard generate-policy
) pour générer une stratégie initiale pour votre système au lieu d’en écrire une de toutes pièces. L'outil génère une politique d'autorisation pour tous les périphériques actuellement connectés à votre système au moment de l'exécution. 1Caractéristiques
1 Révisé de: Protection intégrée contre les attaques de sécurité USB avec USBGuard
Installation
USBGuard est installé par défaut dans RHEL 7.
Pour installer USBGuard dans Ubuntu 17.04 et versions ultérieures, ouvrez le terminal et tapez:
Pour installer USBGuard dans Fedora 25 et versions ultérieures, ouvrez le terminal et tapez:
Pour installer USBGuard dans CentOS 7 et versions ultérieures, ouvrez le terminal et tapez:
compilation à partir de la source de USBGuard nécessite l’installation de plusieurs autres packages en tant que dépendances.
la source
Il existe différentes approches, mais si cette clé contient un logiciel malveillant intégré au micrologiciel, cela est vraiment dangereux.
Une approche pourrait consister à télécharger l’une des nombreuses distributions LiveCD Linux, à débrancher tous les disques durs et connexions réseau, puis à regarder.
Je pense cependant que je recommanderais de sortir un ancien ordinateur portable du placard, de le brancher dessus et de le frapper ensuite avec un gros marteau.
Meilleure approche - Ne soyez pas curieux! :)
la source
Ne pas Jetez-les à la poubelle ou les objets perdus / trouvés avec un horodatage. Les clés USB ne coûtent pas cher, beaucoup moins cher que le temps passé à nettoyer les logiciels malveillants ou le sabotage physique. Il existe des clés USB qui stockeront la charge dans des condensateurs et se déchargeront soudainement sur votre PC, le ruinant.
la source
Ce fil est lié à J'ai trouvé deux clés USB sur le sol. Maintenant quoi? . L'autre fil inclut des considérations non techniques telles que la réponse de innaM, qui suggère que le contenu ne vous concerne pas et que vous devriez simplement le rendre au propriétaire, et la réponse de Mike Chess, qui mentionne que la commande pourrait contenir le gouvernement des secrets, des documents terroristes, des données utilisées dans le vol d'identité, de la pornographie enfantine, etc., qui pourraient vous causer des ennuis pour l'avoir en votre possession.
Les autres réponses des deux discussions traitent de la façon de vous protéger des logiciels malveillants lorsque vous explorez le contenu, mais ces réponses ne vous protégeront pas contre un "killer USB", un point clé posé dans cette question. Je ne reviendrai pas sur ce qui est couvert dans d'autres réponses, mais il suffit de dire que tous les conseils relatifs à la protection contre les logiciels malveillants (y compris les canards en caoutchouc, qui injectent des frappes au clavier) s'appliquent.
Valeur et marque
Mais je commencerais par le point de Christopher Hostage sur le fait que les lecteurs flash sont trop bon marché pour en valoir la peine et le risque. Si le lecteur n'est pas réclamé par le propriétaire, et après avoir pris en compte tous les avertissements, vous décidez que vous devez simplement essayer de le rendre sûr et utilisable, commencez par considérer la valeur du lecteur. S'il s'agit d'une capacité faible, d'une vitesse standard, sans lecteur de nom d'un âge inconnu, vous pouvez la remplacer par une nouvelle unité moyennant quelques dollars. Vous ne connaissez pas la durée de vie restante sur le lecteur. Même si vous le restaurez à l'état "frais", pouvez-vous vous fier à sa fiabilité ou à sa durée de vie restante?
Ce qui nous amène au cas d'un lecteur non réclamé qui est officiellement le vôtre, et:
L'un des critères de ces critères est que le disque dur pourrait en réalité valoir plus qu'une somme dérisoire. Mais ma recommandation serait de ne rien toucher d'autre pour une deuxième raison. Comme le souligne Journeyman Geek dans un commentaire, les canards en caoutchouc et les tueurs USB se présentent sous une forme commune. Les emballages de marque sont difficiles à contrefaire sans équipement coûteux, et il est difficile de manipuler indûment un emballage de marque. En vous limitant ainsi aux lecteurs familiers, les lecteurs de marque offrent un peu de protection en soi.
Connexion sécurisée
La première question est de savoir comment vous pouvez physiquement le connecter à votre système en toute sécurité s'il s'agit d'une clé USB meurtrière, et c'est ce sur quoi je vais me concentrer.
Inspection de conduite
Isolation électrique
La prochaine étape consisterait à isoler le lecteur de votre système. Utilisez un concentrateur USB bon marché que vous êtes prêt à sacrifier pour la valeur potentielle de la clé USB. Mieux encore, daisy chain plusieurs hubs. Le ou les concentrateurs fourniront un certain degré d’isolation électrique qui pourrait protéger votre ordinateur très coûteux du "must have", clé USB gratuite.
Attention: je n’ai pas testé cela et je n’ai aucun moyen de savoir quel degré de sécurité cela fournirait Mais si vous allez risquer votre système, cela pourrait minimiser les dommages.
Comme LPChip le suggère dans un commentaire sur la question, le seul moyen "sûr" de le tester consiste à utiliser un système que vous considérez comme jetable. Même dans ce cas, considérez que presque tous les ordinateurs en fonctionnement ont le potentiel d’être utiles. Un ancien ordinateur sous-alimenté peut être chargé avec une distribution Linux légère résidant en mémoire et offrant des performances étonnantes pour les tâches de routine. Sauf si vous extrayez un ordinateur de la corbeille dans le but de tester le lecteur flash, évaluez la valeur d'un ordinateur en activité par rapport à celle du lecteur inconnu.
la source
La question a été clarifiée pour décrire l'objectif comme une enquête sur la clé USB plutôt que comme une simple identification du propriétaire ou une nouvelle utilisation. C'est une question extrêmement vaste, mais je vais essayer de la couvrir de manière générale.
Quels pourraient être les problèmes?
Enquête sur le lecteur
Préparation
Compte tenu de l'éventail des possibilités, il est difficile de se protéger complètement pour enquêter sur le lecteur.
Enquête
la source
Si je voulais vraiment faire cela, j'achèterais simplement le clone Raspberry Pi le moins cher que je pouvais et le brancherais là-dessus. Si ça zappe l'ordinateur je n'ai pas beaucoup perdu. Le système d'exploitation est peu susceptible d'être infecté, et même si c'est le cas, et alors?
la source