Comment être certain à 100% qu'une clé USB n'a pas été falsifiée et ne contient aucun malware? [dupliquer]

18

Supposons que vous trouviez un lecteur USB dans la rue et que vous vouliez être sûr à 100% qu'il n'a pas été falsifié, ni via un logiciel ni en modifiant son matériel (ajout ou modification de composants, etc.), afin qu'il n'y ait aucun risque de malware.

Le formatage complet suffit-il pour être sûr à 100% qu'aucun logiciel malveillant ne reste? Si c'est le cas, le formater entièrement avec le processus lent standard à partir de l'Utilitaire de disque dans Tails 3.2 est-il suffisant pour le faire?

Supposez la capacité technique la plus élevée possible de l'attaquant. Pas seulement des scénarios raisonnables ou plausibles.

usb security usb-flash-drive malware malware-removal Norbert
la source
40
Si la portée de votre question est de "supposer la capacité technique la plus élevée possible de l'attaquant", alors la réponse à votre question est simple ..... comment être sûr à 100%: ne prenez pas une clé USB aléatoire sur le rue et insérez-le dans votre PC. En dehors de cela, il n'y a pas de certitude à 100%.
n8te
6
Le jeter dans un feu devrait être sûr à 100%.
2017 à 10h58
2
Voulez-vous 1) nettoyer le bâton pour l'utiliser en toute sécurité par la suite, ou 2) copier toutes les données de celui-ci en toute sécurité sans déclencher de logiciels malveillants ou de «pièges» matériels, ou 3) simplement découvrir s'il y avait effectivement quelque chose de suspect dessus ou pas? Je pense que les réponses à ces questions sont au moins légèrement différentes. Le Q lié par @KamilMaciorowski semble être d'environ (3).
ilkkachu
2
@Mawg Bien que je ne pense pas que cette question soit nécessairement hors sujet pour Super User , je reconnais qu'il peut être utile de la migrer vers la sécurité de l'information .
Stevoisiak
1
Qu'est-ce qui vous rend si certain qu'il s'agit en fait d'une clé USB? C'est un morceau rectangulaire de plastique avec une prise USB dessus - ce pourrait être littéralement tout ce qui utilise USB.
Tristan

Réponses:

30

Il n'y a aucun moyen d'être sûr à 100% que l'USB est sûr et qu'il n'hébergera pas de malware même s'il est effacé. (Si j'étais incliné de cette façon et si j'avais la connaissance, une petite puce avec des logiciels malveillants, non active, avec un bâton de taille décente avec de la merde aléatoire - après X nombre de cycles d'alimentation, changez de puce).

Vous devriez être très prudent de brancher n'importe quelle clé USB d'origine inconnue dans votre système car les tueurs USB sont une chose, et tuera votre port USB, et éventuellement votre système - pour contourner cela, vous pourriez être en mesure d'utiliser un concentrateur USB sacrificiel.

Malheureusement, la plupart des clés USB sont bon marché et faciles à ouvrir - une personne compétente pourrait facilement remplacer l'intérieur d'une sans aucune indication visible de l'extérieur.

davidgo
la source
1
elie.net/blog/security/… parle d'une attaque qui fait ressembler l'USB à un clavier - cette attaque ne serait pas contrecarrée en essuyant le disque car la charge utile désagréable ne se présente pas comme un disque.
davidgo
3
mettre celui qui n'est pas fiable dans un mélangeur et par un nouveau d'un fournisseur de confiance, c'est la seule façon d'en être sûr.
Ratchet Freak
8
@ratchetfreak Sauf si le lecteur est dopé d'anthrax ou quelque chose et que le mélange le disperse dans vos poumons: P 100% de certitude est un non-sens. Si vous trouvez un disque flash avec quelque chose d'illégal, il ne doit pas contenir de malware pour vous causer un grand flux de problèmes, par exemple; et le formatage ne supprimerait pas vraiment les données non plus.
Luaan
vous n'avez pas besoin d'une autre puce, reprogrammez simplement le contrôleur qui est dans le bâton - bunniestudios.com/blog/?p=3554
Pete Kirkham
@davidgo Vous pouvez voir que c'est un périphérique HID (clavier) au lieu d'un périphérique MSC (lecteur) assez facilement
endolith
7

Vous supposez qu'il est vicié.

Vous ne pouvez pas être trahi s'il n'y a jamais eu de confiance à trahir.

Et vous ne subirez aucun préjudice si vous supposez que le préjudice est ce qui se produira et vous préparez à y faire face.

Retirez les disques durs, déconnectez-vous du réseau, utilisez un lecteur de démarrage

Si vous êtes déterminé à examiner ce lecteur USB et que vous souhaitez éviter les logiciels malveillants, vous pouvez le faire en prenant un ordinateur, en retirant tous ses disques durs, en le débranchant de tous les réseaux (y compris le WiFi), puis en le démarrant à l'aide d'un lecteur USB amorçable . Vous avez maintenant un ordinateur qui ne peut pas être corrompu et qui ne peut pas diffuser le contenu du lecteur USB trouvé.

Vous pouvez maintenant monter le lecteur USB trouvé et examiner son contenu. Même s'il est corrompu, la seule chose que le malware atteint est un ordinateur "vide" avec un système d'exploitation que vous ne vous souciez pas s'il est infecté de toute façon.

Déterminez votre niveau de paranoïa

Notez que même cela n'est pas entièrement "sûr". Supposons qu'il s'agit de The Perfect Malware ™.

  • Si vous démarrez à partir d'un support inscriptible (clé USB, CD / DVD inscriptible), cela peut également devenir vicié s'il est inscriptible et reste dans l'ordinateur lorsque vous insérez le lecteur USB vicié.

  • Pratiquement tous les périphériques ont une sorte de firmware qui peut être mis à jour. Les logiciels malveillants peuvent choisir de s'y nicher.

  • Vous pourriez vous retrouver avec un BIOS corrompu qui compromet le matériel pour de bon même après avoir retiré le lecteur vicié et éteint.

Donc, sauf si vous êtes prêt à jeter tout le matériel par la suite, vous devez déterminer à quel point vous voulez examiner cette clé USB trouvée et quel prix êtes-vous prêt à payer pour 1) rester en sécurité et 2) prendre les conséquences si les choses tournent mauvais?

Ajustez votre paranoïa à des niveaux raisonnables en fonction des risques que vous êtes prêt à prendre.

MichaelK
la source
3
Vous feriez mieux de démarrer à partir d'un DVD Live plutôt que d'une clé USB. Sinon, une fois que vous avez branché l'USB «suspect», vous vous retrouvez avec deux lecteurs USB éventuellement viciés. Démarrez à partir d'un support en lecture seule.
Mokubai
3
@Mokubai Il y a sûrement des images en direct qui vous permettent de démarrer puis de supprimer le support à partir duquel vous avez démarré?
MichaelK
11
Déconnecter le réseau et tous les disques n'est pas suffisant. Il y a beaucoup plus de stockage permanent à l'intérieur de votre ordinateur, par exemple l'EFI NVRAM, l'EFI Flash EEPROM, le microcontrôleur Flash EEPROM sur votre clavier et votre souris, le firmware Flash EEPROM sur votre carte graphique, le microcode du CPU, etc., etc. . Je ne pense pas que les logiciels malveillants qui corrigent le microcode du processeur soient connus du public (ce qui ne signifie pas pour autant qu'ils n'existent pas), mais tous les autres ont au moins été démontrés et certains sont même activement utilisés dans les attaques. Il ne suffit pas de déconnecter tous les disques, il faut aussi fondamentalement…
Jörg W Mittag
9
… Jetez ensuite l'ordinateur.
Jörg W Mittag du
1
@MichaelKarnerfors peut-être, mais vous n'avez pas mentionné la suppression de l'USB à partir de laquelle vous avez démarré. Je suis d'accord avec Jörg cependant, il y a beaucoup d'autres périphériques de stockage non volatils que ceux que vous démarrez depuis l'ordinateur.
Mokubai
4

En ce qui concerne un piratage matériel, un spécialiste en électricité absurdement avancé avec une cible spécifique pourrait créer un circuit logique qui vérifie que vous avez terminé d'exécuter votre logiciel de nettoyage, puis injecte quelque chose dans l'ordinateur hôte et le lecteur flash. Ils pourraient même être en mesure de rendre le lecteur quelque peu normal en interne, pour un observateur occasionnel. N'oubliez pas que, théoriquement, rien n'est sûr. La sécurité est basée sur l'effort que les gens déploient pour vous pirater et l'effort que vous faites pour les arrêter.

la maternité
la source
1
pensé pour vous - la sécurité est basée sur les couches de protection, et le temps / coût / inconvénient à mettre en œuvre vs casser ces couches.
davidgo
7
Vous n'avez pas besoin d'être "un spécialiste en électricité absurdement avancé" pour pouvoir le faire.
glglgl du
1

Dans la sécurité, la réponse à toute question qui contient l'expression « 100% » est toujours un gros NO .

Le simple formatage, l'écrasement, l'effacement ou tout ce que vous pouvez trouver ne suffit pas. Pourquoi? Parce que dans tous ces cas, vous devez toujours passer par le bâton pour ce faire. Mais si je suis une mauvaise clé USB et que vous me dites de m'effacer… pourquoi devrais-je me conformer? Je pourrais simplement faire semblant d'être occupé pendant un certain temps et vous dire ensuite "j'ai fini", sans jamais avoir fait quoi que ce soit.

Ainsi, par exemple, le stick peut simplement ignorer toutes les commandes d'écriture. Ou bien, il pourrait exécuter les commandes d'écriture sur une puce flash à gratter, attendre que vous vérifiiez que l'écriture a vraiment tout effacé, puis échanger la vraie puce flash. La clé USB peut contenir un concentrateur USB et être en fait deux disques, dont l'un n'est inséré que très brièvement pendant que vous effacez l'autre (ce qui prend beaucoup de temps, et il va donc de soi que vous allez quitter votre ordinateur et prenez un café ou quelque chose comme ça, pour que vous n'ayez aucune chance de le remarquer).

En outre, le lecteur USB peut même ne pas être du tout un lecteur USB. Il peut s'agir d'un clavier USB qui tape très rapidement certaines commandes dans votre ordinateur. La plupart des systèmes d'exploitation ne vérifient pas l'identité des claviers connectés. (Oui, cette attaque n'existe réellement dans le monde réel.)

Ou, il pourrait s'agir d'un modem USB 3G… et boum, votre ordinateur est à nouveau connecté à un réseau non sécurisé ouvert.

Il pourrait même ne pas s'agir d'un périphérique USB. Il peut s'agir d'un microphone ou d'une caméra, et utilisez simplement le port USB pour l'alimentation.

Ou bien, il ne s'agit peut-être pas d'installer un logiciel malveillant sur votre ordinateur, mais simplement de le détruire, par exemple en mettant 200 V sur les lignes de données .

Jörg W Mittag
la source
Il pourrait également s'agir d'une clé USB et d' un appareil photo / microphone / autre - de sorte que tout semble fonctionner correctement, aucun logiciel malveillant sur le disque ... tandis que toutes vos données sont lentement cryptées: P USB est flexible et la flexibilité n'est pas pas toujours une bonne chose ...
Luaan