Как безопасно проверить USB-флешку, найденную на парковке на работе?

Я работаю в компании по встраиваемому программному обеспечению. Этим утром я нашел флешку на парковке перед зданием. Имея в виду все истории «атак с USB-накопителей», я не собираюсь просто подключать их к своему ноутбуку. ОТО, мне любопытно узнать, была ли это попытка скомпрометировать наши системы, или это просто невинный случай, когда кто-то случайно потерял USB-флешку. Как безопасно осмотреть флешку, не рискуя разоблачить?

Я беспокоюсь не только о вредоносных программах и созданных образах файловой системы; Есть также такие вещи, как атаки с помощью скачков напряжения:
«USB Killer 2.0» показывает, что большинство устройств с поддержкой USB уязвимы для атак скачков напряжения .

РЕДАКТИРОВАТЬ: Многие из ответов, кажется, предполагают, что я хочу сохранить диск и использовать его впоследствии. Меня это совсем не интересует, я знаю, что USB-флешки дешевы, и что в любом случае это не мое. Я только хочу знать, действительно ли это была целенаправленная атака, частично из любопытства, происходит ли это на самом деле не только в документах по безопасности, но и в реальной жизни, чтобы я мог предупредить своих коллег.

Я хочу знать, как бы я выяснил, содержит ли флешка вредоносное ПО. И дело не только в том, чтобы посмотреть на содержимое диска и увидеть подозрительный файл autorun.inf или тщательно созданную поврежденную файловую систему - я очень хочу также проверить способ прошивки. Я как бы ожидал, что есть инструменты для извлечения этого и сравнения с хорошо известными или плохо известными двоичными файлами.

Если вы не хотите его использовать, но вам интересно, я бы начал с вскрытия корпуса (очень осторожно) и взглянул на чипы внутри.

Я знаю. Это звучит безумно, но наличие идентифицируемого контроллера и флеш-чипа повысило бы вероятность того, что это настоящий USB-накопитель, а не что-то вроде резиновой утки USB или USB-убийцы.

Затем сделайте то, что предлагают все остальные, и протестируйте его на одноразовой установке, запустите несколько загрузочных антивирусных сканеров, а затем, если вы уверены, что это безопасно, сотрите его.

TENS

Хорошим дистрибутивом безопасности для тестирования подозрительных флэш-накопителей USB, обнаруженных на парковке, является Trusted End Node Security (TENS), ранее называемый Lightweight Portable Security (LPS), дистрибутив безопасности Linux, который полностью запускается из оперативной памяти при загрузке из загрузочная флешка. TENS Public превращает ненадежную систему (например, домашний компьютер) в доверенного сетевого клиента. Никакие следы рабочей активности (или вредоносные программы) не могут быть записаны на жесткий диск локального компьютера.

Помимо функции безопасности TENS имеет еще одну полезную цель. Поскольку он работает исключительно из оперативной памяти, TENS может загружаться практически на любом оборудовании. Это делает его полезным для тестирования USB-порта компьютера, который не может загрузить большинство других живых загрузочных образов USB ISO.

USBGuard

Если вы используете Linux, программный каркас USBGuard помогает защитить ваш компьютер от мошеннических USB-устройств, реализуя базовые возможности создания белых и черных списков на основе атрибутов устройства. Для обеспечения реализации политики, определенной пользователем, она использует функцию авторизации USB-устройств, реализованную в ядре Linux с 2007 года.

По умолчанию USBGuard блокирует все вновь подключенные устройства и устройства, подключенные до запуска демона, остаются без изменений.

Быстрый способ начать использовать USBGuard для защиты вашей системы от USB-атак - это сначала создать политику для вашей системы. Затем запустите команду usbguard-daemon с помощью команды sudo systemctl start usbguard.service. Вы можете использовать usbguardкоманду интерфейса командной строки и ее generate-policysubcommand ( usbguard generate-policy), чтобы сгенерировать начальную политику для вашей системы вместо того, чтобы писать ее с нуля. Инструмент генерирует политику разрешений для всех устройств, подключенных к вашей системе в настоящий момент. ¹

Характеристики

• Язык правил для написания политик авторизации USB-устройств
• Компонент Daemon с интерфейсом IPC для динамического взаимодействия и применения политик
• Командная строка и графический интерфейс для взаимодействия с работающим экземпляром USBGuard
• C ++ API для взаимодействия с компонентом демона, реализованным в общей библиотеке

¹ _{Пересмотрено: Встроенная защита от USB-атак безопасности с USBGuard}

Установка

USBGuard по умолчанию установлен в RHEL 7.

Чтобы установить USBGuard в Ubuntu 17.04 и более поздних версиях, откройте терминал и введите:

sudo apt install usbguard  

Чтобы установить USBGuard в Fedora 25 и более поздних версиях, откройте терминал и введите:

sudo dnf install usbguard   

Чтобы установить USBGuard в CentOS 7 и более поздних версиях, откройте терминал и введите:

sudo yum install usbguard  

Компиляция из источника USBGuard требует установки нескольких других пакетов в качестве зависимостей.

Существуют различные подходы, но если в эту флешку встроено вредоносное ПО, это действительно довольно опасно.

Одним из подходов может быть загрузка одного из множества дистрибутивов LiveCD Linux, отключение любых жестких дисков и сетевых подключений, а затем просмотр.

Я думаю, что я бы порекомендовал вытащить старый ноутбук из шкафа, подключить его к нему, а затем ударить большим молотком.

Лучший подход - не будь любопытным! :)

Не. Выбросьте их в мусор, или Потерянный / Найденный с отметкой времени. Флешки дешевы, намного дешевле, чем время, затрачиваемое на очистку от вредоносных программ или физического саботажа. Есть USB-флешки, которые накапливают заряд в конденсаторах и внезапно разряжаются в ваш компьютер, разрушая его.

Эта тема связана с тем, что я нашел две USB-флешки на земле. Что теперь? , Другой поток включает в себя некоторые нетехнические соображения, такие как ответ innaM, который предполагает, что содержание не является вашим бизнесом, и вы должны просто вернуть его для возврата владельцу, и ответ Майка Чесс, в котором упоминается, что диск может содержать правительство секреты, террористические документы, данные , используемые в краже личных данных, детской порнографии и т.д., которые могли бы посадить вас в беде за то, что это в вашем распоряжении.

Другие ответы в обеих темах касаются того, как защитить себя от вредоносных программ при изучении содержимого, но эти ответы не защитят вас от «убийственного USB», ключевой момент в этом вопросе. Я не буду перефразировать то, что описано в других ответах, но достаточно сказать, что все советы по защите от вредоносных программ (включая резиновых уток, которые вводят нажатия клавиш), применимы.

Значение и фирменное наименование

Но я бы начал с высказывания Кристофера Хостажа о том, что флеш-накопители слишком дешевы, чтобы о них беспокоиться и рисковать. Если диск не востребован владельцем, и после рассмотрения всех предупреждений вы решаете, что вам просто нужно попытаться сделать его безопасным и пригодным для использования, начните с рассмотрения стоимости диска. Если это небольшая емкость, стандартная скорость, без названия диска неизвестного возраста, вы можете заменить его на новый за несколько долларов. Вы не знаете оставшуюся жизнь на диске. Даже если вы восстановите его до «свежего» состояния, можете ли вы доверять его надежности или оставшемуся сроку службы?

Что приводит нас к делу о невостребованном диске, который официально принадлежит вам, и:

• это диск большой емкости, высокой скорости, фирменного знака признанной надежности и производительности,
• Похоже, что он находится в новом состоянии, возможно, недавно выпущенный продукт, так что вы знаете, что он не может быть очень старым.

Одним из пунктов этих критериев является то, что диск на самом деле может стоить больше, чем тривиальная сумма. Но я рекомендую не связываться ни с чем другим по второй причине. Как отмечает в своем комментарии Journeyman Geek, резиновые утки и USB-убийцы выпускаются в виде обычных пакетов. Фирменную упаковку сложно подделать без дорогостоящего оборудования, а подделать фирменную упаковку необнаружимым способом сложно. Так что ограничивая себя знакомыми, фирменные диски предлагают небольшую защиту сами по себе.

Безопасное соединение

Первый вопрос: как можно физически безопасно подключить его к вашей системе, если это может быть убийственный USB, и на этом я сосредоточусь.

Инспекция привода

• Первая подсказка - это сам привод. Существуют миниатюрные стили, которые, в основном, представляют собой разъем USB, а также достаточно пластика, чтобы можно было что-то захватить, чтобы вставить и вынуть. Этот стиль, скорее всего, будет безопасным, особенно если на пластике есть торговая марка.

• Откидные диски популярны для резиновых уток, поэтому будьте особенно осторожны с ними.

• Если это флэш-накопитель стандартного размера, достаточно большой, чтобы вместить аппаратные средства-убийцы, осмотрите корпус на наличие признаков того, что он поддельный или был подделан. Если это оригинальный фирменный чехол, его будет сложно подделать, не оставив следов, которые будут видны при увеличении.

Электрическая изоляция

• Следующим шагом будет изоляция диска от вашей системы. Используйте дешевый USB-концентратор, которым вы готовы пожертвовать ради потенциальной стоимости флешки. Еще лучше, цепь гирлянд несколько хабов. Концентраторы обеспечивают некоторую степень электрической изоляции, которая может защитить ваш очень дорогой компьютер от «обязательного» бесплатного USB-накопителя.

  Предупреждение: я не проверял это и не могу знать, какую степень безопасности это обеспечит. Но если вы рискуете своей системой, это может свести к минимуму ущерб.

Как LPChip предлагает в комментарии к вопросу, единственный «безопасный» способ проверить это - использовать систему, которую вы считаете одноразовой. Даже тогда учтите, что практически любой работающий компьютер может быть полезен. Старый, недостаточно мощный компьютер может быть загружен с легким, резидентным дистрибутивом Linux и обеспечивать удивительную производительность для рутинных задач. Если вы не извлекаете компьютер из корзины для проверки флэш-накопителя, сравните значение работающего компьютера со значением неизвестного диска.

Вопрос был уточнен, чтобы описать цель как исследование USB-накопителя, а не просто идентификацию владельца или его повторное использование. Это чрезвычайно широкий вопрос, но я постараюсь охватить его в общих чертах.

Какие могут быть проблемы?

• «Убийственный USB». Представьте дизайн этого жанра, который подает высокое напряжение через USB-порт, чтобы поджарить ваш компьютер.
• Кастомная электроника прячется в упаковке флешки. Это может сделать все, что может придумать дизайнер. Обычный настоящий дизайн - резиновая утка, которая имитирует клавиатуру, чтобы вводить все, что можно сделать с клавиатуры.
• Флешка с модифицированной прошивкой. Опять же, ограничено только воображением дизайнера.
• Флешка заражена вредоносным ПО. Это может быть практически любое разнообразие вредоносных программ.
• Флешка предназначена для того, чтобы кого-то поймать Это может быть то, что используется разведывательной службой, правоохранительными органами, следователем или для защиты конфиденциального содержимого. Доступ к диску вызовет некоторую форму оповещения.
• Флэш-накопитель, содержащий материал, который может посадить вас в неприятности из-за обладания ею, например, секретной информации, украденной информации, детской порнографии и т.д.
• Люди с дурными намерениями всегда будут придумывать новые способы делать неприятные вещи, поэтому мы, вероятно, не можем знать все виды опасности, содержащиеся в пакете USB.

Расследование диска

подготовка

Учитывая диапазон возможностей, трудно полностью защитить себя, исследуя диск.

• Начните с разрешения на владение и проверку любого потенциального содержимого. Это проще, если вы работаете в разведывательном сообществе, правоохранительных органах или имеете какую-либо форму правового порядка или лицензии. Если не считать этого, заранее составьте бумажный след, доказывая, что он находится в ваших руках невинными средствами. Если содержимое принадлежит иностранным агентам, действующим незаконно или организованно, ваша бумажная книга может не обеспечить достаточной защиты. :-)
• Работа изолирована от интернета. Если вы хотите защитить от возможности встроенного радиопередатчика, работайте внутри клетки Фарадея.
• Защитите свое собственное оборудование от убийственного USB.
  • Откройте коробку и осмотрите кишки, как описывает Путник Гик. Это также идентифицирует нестандартную электронику в корпусе флешки.
  • Электрически изолировать привод. Вы можете использовать оптически изолированный USB-концентратор, но вы можете потратить на это больше, чем одноразовый компьютер. Как и предполагалось в моем другом ответе, вы можете подключить несколько дешевых USB-концентраторов к переносному компьютеру.
• Защитите свою систему от атак низкого уровня. Я не уверен, что есть способ защититься от чего-то вроде изменения вашей прошивки, кроме как использовать запасной, дешевый компьютер, который вы не возражаете ни восстановить, ни уничтожить.
• Защитите вашу систему от вредоносных программ. Это описано в различных ответах, включая связанные потоки, использование таких методов, как сеанс Linux в реальном времени или виртуальная машина, для работы в изоляции от вашей собственной ОС, программного обеспечения и файлов, отключение автозапуска и т. Д.

изучение

• Если в упаковке есть что-то, кроме электроники флэш-накопителя, открытие корпуса - единственный способ узнать, что это такое. Вы не можете запросить его интерфейс USB, чтобы спросить, какая модель убийцы USB это.
• Если диск содержит вредоносное ПО, это можно определить, запустив антивирусное сканирование с использованием нескольких авторитетных программ, использующих различные методологии.
• Исследование содержимого будет выполняться с помощью обычных инструментов, используемых для просмотра содержимого. Это может включать в себя небольшую детективную работу, например, скрывать вещи или искать замаскированные вещи. Содержимое может быть зашифровано или иным образом защищено, что является другим обсуждением.
• Модифицированную прошивку было бы крайне сложно исследовать. Вам понадобятся инструменты для доступа к коду прошивки, а также к нормальному коду для его сравнения (который, вероятно, будет закрытым). Если у вас был идентичный, зарекомендовавший себя хороший диск и инструменты для доступа к коду прошивки, это послужило бы источником для сравнения, но этот код будет отличаться в зависимости от поставщиков и, возможно, даже версий одного и того же продукта. Если флэш-накопитель на самом деле является разрушительным устройством, вам придется перепроектировать прошивку, чтобы выяснить, что она делает.

Если бы я действительно, очень хотел это сделать, я бы просто купил самый дешевый клон Raspberry Pi и подключил его к этому. Если это убивает компьютер, я не потерял много. ОС вряд ли будет заражена, и даже если она есть, ну и что?