Como posso procurar uma unidade flash USB não confiável com segurança? [duplicado]

5

Digamos que eu tenha uma unidade flash USB que encontrei no chão. Eu quero ver se tem alguma informação que possa me ajudar a devolvê-la ao seu dono, mas eu moro em uma sociedade urbana. Ele poderia facilmente conter malware e estar deitado no chão à espera de sua próxima vítima.

Como posso navegar pelo conteúdo dessa unidade flash USB com segurança?

    
por IntrepidPig 08.10.2015 / 06:00

2 respostas

6

Havia muitas opções para abri-lo, mas em caso de preocupação com a segurança, ele consumiria mais tempo:

  1. Abra através de uma versão live do Linux. Se a unidade flash USB estivesse infectada, ela infectaria apenas o sistema operacional no live CD.
  2. Inicialize o sistema operacional em uma máquina virtual e teste a unidade flash USB [Nota: você pode configurar o sistema operacional convidado para detectar primeiro o USB, o que desativaria a detecção do host USB].
  3. Se você estiver usando uma máquina Windows: desative autorun.inf em um computador local.
  4. Se você está no mac mount the USB como readonly
  5. Você pode desativar a execução automática no mac seguindo estas etapas :

Você precisa remover o trabalho de início automático com o comando launchctl .

Por exemplo, no meu caso eu já instalei um modem fabricado pela ZTE. Então, procurei as listagens de LAUNCHD usando o comando launchctl list e grepped para essas cadeias de caracteres de modem.

launchctl list | grep -i zte

Mostrando:

5681    -   cn.com.zte.usbswapper.plist

Se você não encontrar seu aplicativo, envie todos os trabalhos para um arquivo. Este comando awk tenta superar a chance de você ter espaços no nome do job de seu launchd.

launchctl list 2>/dev/null | awk '
{ x="\""substr($0, match($0, $3), 100)"\""; print x; system("launchctl list " x) }
' > launchList.txt

Abra o launchList.txt. O nome do trabalho launchd será mostrado em "..." acima do {} bloco onde você encontrará uma string "Mobile Partner" ou "AutoOpen".

Talvez inspecione o item para ficar mais confiante antes da remoção. Envolva por "" se houver espaços no nome do trabalho.

launchctl list "cn.com.zte.usbswapper.plist"

Em seguida, basta removê-lo. Este é o comando para parar a carga automática. Esteja certo de que você está removendo o agente correto ou deamon.

launchctl remove "cn.com.zte.usbswapper.plist"

Adicione-o novamente, se desejar, usando o caminho completo do arquivo PLIST.

launchctl load /Library/LaunchAgents/cn.com.zte.usbswapper.plist

Digitalize regularmente um computador e todas as unidades flash USB.

Nota para BADUSB :

When you plug a USB device into a computer, the device tells the computer what sort of thing it is, so the computer can select the appropriate driver. For example, a thumb drive declares itself as a "USB Mass Storage" device, while a keyboard is a "Human Interface Device".

BadUSB is a technique for re-writing the firmware of a plugged-in USB device from the computer. For example, it could make a thumb drive identify itself as a mouse and cause the pointer to jump around at random. Or it could make the thumb drive identify as a USB hub with connected keyboard and mass storage, that when plugged in types a sequence of keystrokes that causes a program on the thumb drive to be run.

Se você estava usando o linux e queria prevenir o badusb:

Os ataques BadUSB baseiam-se no fato de que os computadores permitem e habilitam dispositivos HID em todas as portas USB. Adaptadores de rede falsificados não são um perigo real. Minha resposta tenta descrever como usar o udev para desativar temporariamente a adição de novos dispositivos HID

Para preparação , crie um arquivo /etc/udev/rules.d/10-usbblock.rules com o conteúdo:

#ACTION=="add", ATTR{bInterfaceClass}=="03" RUN+="/bin/sh -c 'echo 0 >/sys$DEVPATH/../authorized'"

Se você quiser bloquear outras classes também, procure o número da classe e copie a linha, e mude a classe.

Agora você pode bloquear todos os novos dispositivos HID usando o comando

sed -i 's/#//' /etc/udev/rules.d/10-usbblock.rules; udevadm control --reload-rules

e desbloquear com:

sed -i 's/^/#/' /etc/udev/rules.d/10-usbblock.rules; udevadm control --reload-rules

Antes de desligar, sempre desbloqueia , pois a configuração é persistente e seus "bons" dispositivos HID serão rejeitados na reinicialização.

Não sei se você pode editar o diretório temporário de regras, mas se as alterações afetarem o comportamento, você deverá editá-lo, pois não será necessário desbloqueá-lo antes do desligamento.

BADUSB Créditos fonte: Segurança DMZ

    
por 08.10.2015 / 08:26
0

Desative a execução automática no Windows, conforme mencionado aqui: link

Depois disso, você pode navegar com segurança pelos arquivos. Se você não executar / abrir arquivos que possam infectar vírus / malware, você está seguro.

O malware pode ser colocado nesses arquivos: .exe, .dll, .scr, .doc (m) **, .xls (m), .xlsb, .ppt (m), .dot (m),. xlt (m), .pot (m), .bat, .cmd, etc.

O malware não pode ser colocado em: .jpeg, .gif, .png, .txt, .docx, .xlsx, .pptx

** Podem ser as versões .doc ou .docm

    
por 08.10.2015 / 11:28