Как быть на 100% уверенным, что USB-накопитель не был подделан и не имеет вредоносного ПО? [Дубликат]

18

Допустим, вы нашли USB-накопитель на улице и хотите быть на 100% уверены, что он не был подделан ни программным обеспечением, ни модификацией его аппаратного обеспечения (добавление или изменение компонентов и т. Д.), Так что нет риска вредоносные программы.

Достаточно ли полного форматирования, чтобы быть на 100% уверенным, что вредоносных программ не осталось? Если да, достаточно ли для этого полного форматирования с помощью стандартного медленного процесса из Дисковой утилиты в Tails 3.2?

Получите максимально возможную техническую способность от атакующего. Не только разумные или правдоподобные сценарии.

usb security usb-flash-drive malware malware-removal Norbert
источник
40
Если ваш вопрос заключается в том, чтобы «получить от атакующего максимально возможную техническую возможность», тогда ответ на ваш вопрос прост ... как быть уверенным на 100%: не берите случайный USB-накопитель на улица и вставьте его в свой компьютер. Кроме этого нет такой вещи как 100% -ая уверенность.
n8te
6
Бросать его в огонь нужно на все 100%.
aroth
2
Вы хотите: 1) почистить флешку, чтобы потом безопасно ее использовать, или 2) безопасно скопировать с нее любые данные, не вызывая на ней никаких вредоносных или аппаратных «ловушек», или 3) просто узнать, действительно ли было что-то подозрительное на это или нет? Я думаю, что ответы на них, по крайней мере, немного отличаются. Вопрос, связанный @KamilMaciorowski, кажется, о (3).
ilkkachu
2
@ Mawg Хотя я не думаю, что этот вопрос не является темой для Супер пользователя , я согласен, что, возможно, стоит перенести его в информационную безопасность .
Stevoisiak
1
Почему вы так уверены, что это на самом деле USB-накопитель? Это прямоугольный кусок пластика с USB-разъемом на нем - это может быть буквально все, что использует USB.
Тристан,

Ответы:

30

Невозможно быть на 100% уверенным, что USB безопасен, и что он не будет содержать вредоносных программ, даже если он будет стерт. (Если бы я был таким образом склонен и знал, что это небольшая микросхема с вредоносным ПО, неактивная, с приличным размером флешки со случайным дерьмом - после X циклов питания включите микросхему).

Вы должны быть очень осторожны при подключении любого USB-ключа неизвестного происхождения к вашей системе, так как USB-убийцы - вещь, которая может привести к поломке вашего USB-порта и, возможно, системы - чтобы обойти это, вы можете использовать жертвенный USB-концентратор.

К сожалению, большинство USB-флешек дешевы и их легко открыть - кто-то с какими-то навыками может легко заменить внутреннюю часть флешки без видимых внешних признаков.

davidgo
источник
1
elie.net/blog/security/… рассказывает об атаке, которая делает USB похожей на клавиатуру - эта атака не будет предотвращена, если вытереть диск, поскольку неприятная полезная нагрузка не представляется как диск.
Давидго
3
положить ненадежного в блендер и новый от надежного поставщика, это единственный способ быть уверенным.
фрик с трещоткой
8
@ratchetfreak Если на диске нет сибирской язвы или чего-то подобного, а смесь смешивает его с легкими: P 100% -ная уверенность - это нонсенс. Если вы обнаружите флеш-диск с чем-то нелегальным, то он не должен содержать вредоносное ПО, чтобы, например, доставить вам немало хлопот; и форматирование не удалит данные.
Луаан
вам не нужен другой чип, просто перепрограммируйте контроллер, который находится в флешке
Пит
@davidgo Вы можете видеть , что это в HID устройство (клавиатура) вместо MSC устройства (привода) довольно легко , хотя
эндолиты
7

Вы предполагаете, что это испорчено.

Вы не можете быть преданы, если никогда не было никакого доверия, которое было бы предано.

И вы не понесете вреда, если будете считать, что вред - это то, что произойдет, и подготовитесь к нему.

Извлекайте жесткие диски, отключайтесь от сети, используйте загрузочный диск

Если вы с энтузиазмом изучаете этот USB-накопитель и хотите избежать вредоносного ПО, вы можете сделать это, взяв компьютер, вынув все его жесткие диски, отключив его от всех сетей (включая WiFi), а затем загрузив его с помощью загрузочного USB-накопителя. , Теперь у вас есть компьютер, который не может быть испорчен и который не может распространять содержимое найденного USB-накопителя.

Теперь вы можете подключить найденный USB-накопитель и проверить его содержимое. Даже если он испорчен, единственное, что достигает вредоносное ПО, - это «пустой» компьютер с ОС, который вас не волнует, если он все равно заразится.

Определите свой уровень паранойи

Обратите внимание, что даже это не совсем «безопасно». Предположим, что это The Perfect Malware ™.

  • Если вы загружаетесь с записываемого носителя (USB-накопитель, записываемый CD / DVD), то он также может стать испорченным, если он доступен для записи и останется в компьютере при вставке испорченного USB-накопителя.

  • Практически все периферийные устройства имеют какую-то прошивку, которую можно обновить. Вредоносные программы могут выбрать гнездо там.

  • Вы можете получить поврежденный BIOS, который навсегда скомпрометирует оборудование, даже после того, как вы извлекли испорченный диск и отключили питание.

Поэтому, если вы не готовы выбросить все оборудование после этого, вам необходимо определить, насколько сильно вы хотите проверить эту найденную флешку и какую цену вы готовы заплатить: 1) оставаться в безопасности и 2) принимать последствия, если что-то изменится плохо?

Приспособьте свою паранойю к разумным уровням согласно тем рискам, которые вы готовы принять.

MichaelK
источник
3
Вам лучше загрузиться с Live DVD, а не с USB-накопителя. В противном случае, когда вы подключите «подозрительный» USB, вы получите два USB-диска, которые могут быть испорчены. Загрузка с носителя только для чтения.
Мокубай
3
@Mokubai Конечно, есть живые образы, которые позволяют вам загрузиться, а затем удалить носитель, с которого вы загрузились?
MichaelK
11
Отключение сети и всех дисков недостаточно. В вашем компьютере гораздо больше постоянного хранилища, например EFI NVRAM, EFI Flash EEPROM, Flash EEPROM микроконтроллера на вашей клавиатуре и мыши, прошивка Flash EEPROM на вашей видеокарте, микрокод процессора и т. Д. И т. Д. И т. Д. , Я не думаю, что вредоносная программа, которая исправляет микрокод процессора, является общеизвестной (что, однако, не означает, что она не существует), но все остальные, по крайней мере, были продемонстрированы, а некоторые даже активно используются в атаках. Недостаточно отключить все диски, вам также нужно в основном…
Йорг Миттаг
9
… Выбрасывайте компьютер потом.
Йорг Миттаг
1
@MichaelKarnerfors может быть, но вы не упомянули об удалении USB, с которого вы загрузились. Я согласен с Йоргом, однако, существует много других энергонезависимых устройств хранения данных, кроме того, с которого вы загружаетесь в компьютер.
Мокубай
4

Что касается аппаратного взлома, то нелепо продвинутый специалист по электротехнике с определенной целью может создать логическую схему, которая проверяет, завершил ли вы запуск вашей программы очистки, а затем внедрила что-то в хост-компьютер и флэш-накопитель. Они могут даже сделать так, чтобы диск выглядел несколько нормально внутри, для случайного наблюдателя. Просто помните, теоретически ничего не безопасно. Безопасность основывается на усилиях, предпринимаемых людьми, чтобы взломать вас, и усилиях, которые вы прикладываете, чтобы их остановить.

matterny
источник
1
Подумайте о себе: безопасность основана на уровнях защиты, а время / затраты / неудобства для реализации и преодоления этих уровней.
Давидго
7
Вам не нужно быть "абсурдно продвинутым специалистом по электротехнике", чтобы это сделать.
glglgl
1

В безопасности, ответ на любой вопрос, который содержит фразу «100%», всегда является большим жирным НЕТ .

Простого форматирования, перезаписи, стирания или чего-либо еще, что вы можете придумать, недостаточно. Почему? Потому что во всех этих случаях вам всегда нужно пройти через палку, чтобы сделать это. Но, если я злая флешка, и вы говорите мне стереть себя ... зачем мне подчиняться? Я мог бы просто притвориться, что был занят некоторое время, а затем сказать вам «Я сделал», даже не сделав ничего на самом деле.

Так, например, флешка может просто игнорировать все команды записи. Или он может выполнить команды записи на чистом флеш-чипе, подождать, пока вы убедитесь, что запись действительно стерла все, а затем заменить реальный флеш-чип. Флэш-накопитель USB может содержать концентратор USB и фактически представлять собой два диска, один из которых вставляется очень коротко, пока вы стираете другой (что занимает много времени, и, следовательно, вполне понятно, что вы собираетесь покинуть компьютер и возьмите кофе или что-то в этом роде, чтобы у вас не было возможности это заметить).

Кроме того, USB-накопитель может вообще не быть USB-накопителем. Это может быть клавиатура USB, которая очень быстро вводит некоторые команды в ваш компьютер. Большинство операционных систем не проверяют подлинность подключенных клавиатур. (Да, эта атака действительно на самом деле существует в реальном мире.)

Или это может быть модем USB 3G ... и еще раз, ваш компьютер снова подключен к незащищенной сети.

Это может быть даже не устройство USB. Это может быть микрофон или камера, и просто используйте USB-порт для питания.

Или, возможно, он не пытается установить вредоносное ПО на ваш компьютер, а просто стремится уничтожить его, например, поставив 200 В на линии данных .

Йорг Миттаг
источник
Это также может быть USB-накопитель и камера / микрофон / что угодно - чтобы все казалось работающим нормально, на диске не было вредоносного ПО ... пока все ваши данные медленно шифруются: P USB гибок, а гибкость отсутствует. это не всегда хорошо ...
Луаан