Comment insérer en toute sécurité une clé / un périphérique USB sur un ordinateur Linux?

25

Lors de l'insertion d'une clé USB ou d'un périphérique dans un ordinateur, il y a toujours le risque que le périphérique soit malveillant, agisse comme un HID et puisse potentiellement endommager l'ordinateur. Comment puis-je éviter ce problème? La désactivation de HID sur un port USB spécifique est-elle suffisante? Comment je fais ça?

Martin Heralecký
la source
2
Écrivez des règles udev personnalisées.
Ipor Sircer
3
(sidenote: il peut également se présenter comme un périphérique réseau avec DHCP à l'autre extrémité; il peut également essayer de générer une surtension pour faire frire la carte mère)
Ulrich Schwarz
2
Je demanderais probablement ceci sur le site security.stackexchange.com ...
thecarpy
1
Tout type d'appareil pris en charge est activé par défaut. Ce n'est pas intrinsèquement un problème, car les masques et les périphériques réseau peuvent être exactement ce que vous souhaitez utiliser. Définir la malveillance à partir du noyau est beaucoup plus compliqué.
Zip

Réponses:

34

Installez USBGuard - il fournit un cadre pour autoriser les périphériques USB avant de les activer. Il peut faire apparaître une notification lorsque vous connectez un nouvel appareil, vous demandant quoi faire; et il peut stocker des règles permanentes pour les appareils connus afin que vous n'ayez pas à confirmer encore et encore. Les règles sont définies à l'aide d'un langage complet prenant en charge tout attribut USB (y compris le numéro de série, le port d'insertion ...), vous pouvez donc écrire des règles aussi spécifiques que vous le souhaitez - mettez ce clavier en liste blanche s'il a cet identifiant, ce numéro de série , est connecté à ce port, etc.

Stephen Kitt
la source
Qu'est-ce qui rend les appareils connus «connus»? Il stocke leur carte d'identité ou quelque chose? Cela ne peut-il pas être truqué aussi?
Martin Heralecký
4
Les appareils connus sont appariés en utilisant un langage de conditions riche , vous pouvez être aussi spécifique que vous le souhaitez (y compris le numéro de série USB, le port d'insertion ...). Tout peut être truqué, mais si vous êtes face à un adversaire qui comprend ce que vous avez mis sur la liste blanche, vous avez probablement perdu de toute façon. (Vous ne pouvez bien sûr jamais mettre sur liste blanche quoi que ce soit en dehors de votre clavier si vous voulez vraiment jouer en toute sécurité.)
Stephen Kitt
Mettez l'accent sur votre clavier, pas sur "n'importe quel clavier USB".
grawity
10

Pour compléter l'autre réponse, il faut savoir que vous ne pouvez jamais protéger complètement un ordinateur contre des périphériques USB malveillants. Il existe plusieurs dispositifs de preuve de concept et disponibles dans le commerce tels que le USB Killer qui peuvent littéralement faire frire le port ou la carte mère.

Un logiciel ne pourra jamais se protéger de cela, et il y a toujours une chance qu'il soit vulnérable. Si vous avez vraiment besoin d'une protection renforcée, rendez les ports physiquement inaccessibles (pensez aux distributeurs automatiques de billets, par exemple).

Baptiste Candellier
la source
7
Je suppose que l'OP avait en tête les appareils qui n'essaient pas de détruire physiquement votre ordinateur ou son propriétaire. Sinon, un peu d'anthrax suffirait à faire de l'essuie-glace un problème de sécurité.
9ilsdx 9rvj 0lo
1
Je pense que c'est toujours pertinent - bien sûr, cela ne va pas être un problème dans toutes (la plupart) des situations, mais il est toujours bon de garder à l'esprit si vous ne faites pas confiance à votre utilisateur, ce que la question implique.
Baptiste Candellier
1
Oui, je posais principalement des questions sur la sécurité des logiciels. Protéger contre la clé USB en train de frire ma carte mère est bien sûr une chose différente. Mais merci de l'avoir mentionné quand même.
Martin Heralecký
1
L'OP mentionne spécifiquement les appareils HID, que votre réponse ne résout pas du tout.
Dmitry Grigoryev