Como investigar com segurança um pendrive encontrado no estacionamento no trabalho?

Se você não quisesse usá-lo, mas estivesse curioso - na verdade eu começaria abrindo o gabinete (com muito cuidado) e dando uma olhada nas fichas internas.

Eu sei. Isso parece loucura, mas a presença de um controlador identificável e chip flash tornaria mais provável que seja uma unidade USB real, em vez de algo como um pato de borracha USB ou um USB killer.

Então faça o que todo mundo sugere e teste em uma instalação descartável, execute alguns scanners de vírus inicializáveis também, então se você tiver certeza de que é seguro, limpe isto.

LPS

Uma boa distribuição de segurança para testar unidades flash USB suspeitas encontradas no estacionamento é Lightweight Portable Security (LPS ), uma distribuição de segurança do Linux que é executada inteiramente a partir da RAM quando é inicializada a partir de uma unidade flash USB inicializável. O LPS-Public transforma um sistema não confiável (como um computador doméstico) em um cliente de rede confiável. Nenhum vestígio de atividade de trabalho (ou malware) pode ser gravado no disco rígido do computador local.

Além do recurso de segurança, o LPS tem outro propósito útil. Como ele é executado inteiramente a partir da RAM, o LPS pode inicializar em praticamente qualquer hardware. Isso o torna útil para testar a porta USB de um computador que não consegue inicializar a maioria das outras imagens ISO USB inicializáveis ao vivo.

USBGuard

SevocêestiverusandooLinux,a USBGuard estrutura de software ajuda a proteger seu computador contra dispositivos USB desonestos implementando recursos básicos de lista branca e lista negra com base nos atributos do dispositivo. Para impor a política definida pelo usuário, ela usa o recurso de autorização de dispositivo USB implementado no kernel do Linux desde 2007.

Por padrão, o USBGuard bloqueia todos os dispositivos e dispositivos conectados recentemente, antes que a inicialização do daemon seja deixada como está.

Uma maneira rápida de começar a usar o USBGuard para proteger seu sistema contra ataques USB é gerar primeiro uma política Seu sistema. Em seguida, inicie o daemon usbguard com o comando sudo systemctl start usbguard.service . Você pode usar o comando da interface da linha de comandos usbguard e seu subcomando generate-policy ( usbguard generate-policy ) para gerar uma política inicial para o sistema, em vez de gravar um do zero. A ferramenta gera uma política de permissão para todos os dispositivos atualmente conectados ao seu sistema no momento da execução. ¹

Recursos

• Idioma da regra para escrever políticas de autorização de dispositivos USB
• Componente do daemon com uma interface IPC para interação dinâmica e aplicação de política
• Linha de comando e interface gráfica para interagir com uma instância USBGuard em execução
• API C ++ para interação com o componente daemon implementado em uma biblioteca compartilhada

¹ _{Revisado de: Proteção integrada contra ataques de segurança USB com USBGuard}

Instalação

O USBGuard é instalado por padrão no RHEL 7.

Para instalar o USBGuard no Ubuntu 17.04 e posterior, abra o terminal e digite:

sudo apt install usbguard  

Para instalar o USBGuard no Fedora 25 e posterior, abra o terminal e digite:

sudo dnf install usbguard   

Para instalar o USBGuard no CentOS 7 e posterior, abra o terminal e digite:

sudo yum install usbguard  

compilação da fonte do USBGuard requer a instalação de vários outros pacotes como dependências.

Existem várias abordagens, mas se esse dispositivo tiver um malware incorporado ao firmware, ele é bastante perigoso.

Uma abordagem pode ser baixar uma das muitas distribuições do LiveCD Linux, desconectar todos os discos rígidos e conexões de rede e, em seguida, dar uma olhada.

Eu acho que eu recomendaria tirar um laptop velho do armário, conectá-lo a ele e depois acertá-lo com um grande martelo.

Melhor abordagem - não seja curioso! :)

Não. Jogue-os no lixo, ou o Lost / Found com um timestamp. Os pen drives USB são baratos, muito mais baratos do que o tempo gasto com a limpeza de malware ou sabotagem física. Há pendrives USB que armazenam carga nos capacitores e descarregam repentinamente no seu PC, arruinando-o.

Esse tópico está vinculado a Eu encontrei dois usb gruda no chão. Agora o que? O outro segmento inclui algumas considerações não técnicas, como a resposta da innaM, que sugere que o conteúdo não é da sua conta e você deve simplesmente entregá-lo para retornar ao proprietário, e a resposta de Mike Chess, que menciona que a unidade pode conter governo segredos, documentos terroristas, dados usados em roubo de identidade, pornografia infantil, etc., que podem lhe causar problemas por tê-lo em sua posse.

Outras respostas em ambos os tópicos abordam como se proteger contra malware enquanto explora o conteúdo, mas essas respostas não o protegerão de um "killer USB", um ponto-chave colocado nessa questão. Eu não vou repetir o que está coberto em outras respostas, mas basta dizer que todos os conselhos sobre como se proteger de malware (incluindo patos de borracha, que injetam pressionamentos de teclas), se aplicam.

Valor e nome da marca

Mas eu começaria com o argumento de Christopher Hostage sobre flash drives sendo muito baratos para valer a pena o incômodo e o risco. Se a unidade não for reivindicada pelo proprietário e, depois de considerar todos os avisos, você decidir que precisa tentar torná-la segura e utilizável, comece considerando o valor da unidade. Se for uma capacidade baixa, velocidade padrão, nenhuma unidade de nome de idade desconhecida, você poderia substituí-la por uma nova por alguns dólares. Você não conhece a vida restante na unidade. Mesmo se você restaurá-lo para a condição "novo", você pode confiar em sua confiabilidade ou em sua vida útil restante?

O que nos leva ao caso de uma unidade não reivindicada que é oficialmente sua e:

• é uma unidade de marca de alta capacidade e alta velocidade de confiabilidade e desempenho reconhecidos,
• parece estar em nova condição, talvez um produto lançado recentemente, então você sabe que não pode ser muito antigo.

Um ponto desses critérios é que a unidade pode realmente valer mais do que uma quantia trivial. Mas minha recomendação seria não mexer com qualquer outra coisa por um segundo motivo. Como Journeyman Geek aponta em um comentário, patos de borracha e assassinos USB vêm em pacotes comuns. A embalagem de marca é difícil de falsificar sem equipamento caro, e adulterar um pacote de marca de uma forma indetectável é difícil. Então, limitar-se a unidades familiares de marca oferece pouca proteção por si só.

Conexão Segura

A primeira pergunta é como você pode conectá-lo fisicamente ao seu sistema com segurança, se ele puder ser um killer USB, e é nisso que vou me concentrar.

Inspecção de carro

• A primeira pista é a própria unidade. Existem estilos em miniatura que são basicamente o conector USB mais plástico suficiente para ter algo para pegar para entrar e sair. Esse estilo provavelmente será seguro, especialmente se o plástico tiver o nome da marca.

• AsunidadesdeestiloFlipsãopopularesparapatosdeborracha,porissotenhacuidadoespecialcomelas.

• Seforumpendrivedetamanhopadrãograndeosuficienteparaprenderpeçasimportantes,inspecioneogabineteembuscadesinaisdequeeleéfalsificadoouadulterado.Seforocasooriginal,marcadopelamarca,serádifícilalterá-losemdeixarsinaisvisíveiscomaampliação.

Isolamentoelétrico

• Opróximopassoseriaisolaraunidadedoseusistema.UseumhubUSBbaratoquevocêestádispostoasacrificarpelovalorpotencialdopendrive.Melhorainda,encadearvárioshubs.Ohub(s)iráforneceralgumgraudeisolamentoelétricoquepodeprotegeroseucomputadormuitocaroapartirdo"must have", free killer drive USB.

  Aviso: Eu não testei isso e não tenho como saber o grau de segurança que isso proporcionaria. Mas se você arriscar seu sistema, isso pode minimizar os danos a ele.

Como LPChip sugere em um comentário sobre a questão, a única maneira "segura" de testá-lo é usando um sistema que você considera descartável. Mesmo assim, considere que praticamente qualquer computador funcional tem o potencial de ser útil. Um computador antigo e pouco potente pode ser carregado com uma distro Linux leve e residente na memória e fornecer um desempenho incrível para tarefas rotineiras. A menos que você esteja recuperando um computador da lixeira para testar a unidade flash, pondere o valor de um computador em funcionamento em relação ao valor da unidade desconhecida.

A questão foi esclarecida para descrever o objetivo como investigar a unidade USB em vez de simplesmente identificar o proprietário ou redirecioná-lo. Esta é uma questão extremamente ampla, mas vou tentar abordá-la de maneira geral.

Quais poderiam ser os problemas?

• Um "killer USB". Projetos atuais deste gênero bombeiam alta voltagem através da porta USB para fritar seu computador.
• Aparelhos eletrônicos personalizados escondidos em um pacote de pen drive. Isso pode fazer qualquer coisa que o designer possa inventar. Um design comum é o pato de borracha, que simula um teclado para injetar qualquer coisa que você possa fazer no teclado.
• Um pen drive com firmware modificado. Mais uma vez, limitado apenas pela imaginação do designer.
• Um flash drive infectado com malware. Isso pode ser praticamente qualquer tipo de malware.
• Um pen drive com intenção de prender alguém. Esse seria o tipo de coisa usada por um serviço de inteligência, aplicação da lei, um investigador ou como proteção em conteúdos sensíveis. Acessar a unidade acionaria alguma forma de alerta.
• Um pendrive contendo material que poderia causar problemas por possuí-lo, como informações classificadas, informações roubadas, pornografia infantil etc.
• As pessoas com más intenções sempre encontrarão novas maneiras de fazer coisas desagradáveis, então provavelmente não podemos conhecer todos os tipos de riscos contidos em um pacote USB.

Investigando o disco

Preparação

Dado o leque de possibilidades, é difícil proteger-se totalmente para investigar o disco.

• Comece com a autorização para possuir e inspecionar qualquer conteúdo potencial. Isso é mais fácil se você trabalha para a comunidade de inteligência, aplicação da lei ou tem alguma forma de ordem legal ou licença. Afora isso, estabeleça uma trilha de papel com antecedência, provando que ela está em suas mãos por meios inocentes. Se o conteúdo pertence a agentes estrangeiros que atuam ilegalmente ou ao crime organizado, sua trilha de papel pode não fornecer muita proteção. : -)
• Trabalhe isolado da Internet. Se você quiser proteger contra a possibilidade de um transmissor de rádio embutido, trabalhe dentro de uma gaiola de Faraday.
• Proteja seu próprio hardware de um USB matador.
  • Abra o estojo e inspecione a coragem como o Journeyman Geek descreve. Isso também identificaria componentes eletrônicos personalizados em um caso de unidade flash.
  • Isolar eletricamente a unidade. Você pode usar um hub USB opticamente isolado, mas pode gastar mais com isso do que com um computador descartável. Como sugerido na minha outra resposta, você poderia encadear vários hubs USB baratos conectados a um computador que pode ser trocado.
• Proteja seu sistema contra ataques de baixo nível. Eu não tenho certeza se há uma maneira de proteger contra algo como ter seu firmware alterado, além de usar um computador barato que você não se importa de restaurar ou destruir.
• Proteja seu sistema contra malware. Isso é descrito em várias respostas, incluindo encadeamentos vinculados, usando técnicas como uma sessão Linux ao vivo ou VM para trabalhar isolado de seu próprio sistema operacional, software e arquivos, desativando a execução automática etc.

Investigação

• Se o pacote contiver algo diferente da eletrônica do pen drive, abrir o gabinete é a única maneira de ver o que é. Você não pode consultar sua interface USB para perguntar qual é o modelo assassino USB.
• Se a unidade contiver malware, isso seria identificado pela execução de varreduras anti-malware usando vários programas confiáveis que empregam metodologias diferentes.
• Investigar o conteúdo seria feito com as ferramentas normais usadas para examinar o conteúdo. Isso pode incluir um pequeno trabalho de detetive, como mostrar coisas ou procurar por coisas disfarçadas. O conteúdo pode ser criptografado ou protegido, o que é uma discussão diferente.
• O firmware modificado seria extremamente difícil de investigar. Você precisaria das ferramentas para acessar o código do firmware, além do código normal para compará-lo (que provavelmente será proprietário). Se você tivesse uma unidade boa e idêntica e as ferramentas acessarem o código do firmware, isso seria uma fonte de comparação, mas esse código varia entre fornecedores e, potencialmente, até mesmo versões do mesmo produto. Se a unidade flash for realmente uma planta destrutiva, você terá que fazer engenharia reversa no firmware para descobrir o que está fazendo.

Se eu realmente quisesse fazer isso, eu simplesmente compraria o clone Raspberry Pi mais barato que eu pudesse e ligaria isso nele. Se zaps o computador eu não perdi muito. É improvável que o SO seja infectado e, mesmo que seja, e daí?