Wie kann ich einen auf dem Parkplatz gefundenen USB-Stick bei der Arbeit sicher untersuchen?

Ich arbeite bei einem Embedded-Software-Unternehmen. Heute morgen habe ich auf dem Parkplatz vor dem Gebäude einen USB-Stick gefunden. In Anbetracht all der Geschichten über "fallengelassene USB-Stick-Angriffe" werde ich es offensichtlich nicht einfach in meinen Laptop stecken. OTOH, ich bin gespannt, ob dies tatsächlich ein Versuch war, unsere Systeme zu kompromittieren, oder ob es sich wirklich nur um einen unschuldigen Fall handelt, bei dem jemand versehentlich einen USB-Stick verliert. Wie überprüfe ich den USB-Stick sicher, ohne das Risiko einer Exposition einzugehen?

Ich mache mir nicht nur Sorgen um Malware und erstellte Dateisystem-Images. Es gibt auch Dinge wie Power-Surge-Angriffe:
"USB Killer 2.0" zeigt, dass die meisten USB-fähigen Geräte anfällig für Power-Surge-Angriffe sind .

EDIT: Viele der Antworten scheinen davon auszugehen, dass ich das Laufwerk behalten und anschließend verwenden möchte. Ich habe überhaupt kein Interesse daran, ich weiß, dass USB-Sticks billig sind und dass es sowieso nicht meins wäre, sie aufzubewahren. Ich möchte nur wissen, ob es sich tatsächlich um einen gezielten Angriff handelte, zum Teil aus Neugier, ob dies tatsächlich im wirklichen Leben und nicht nur in Sicherheitspapieren geschieht, sondern auch, um meine Kollegen warnen zu können.

Ich möchte wissen, wie ich herausfinden würde, ob der Stick Malware enthält. Dabei geht es nicht nur darum, den Inhalt des Laufwerks zu überprüfen und eine verdächtige autorun.inf oder ein sorgfältig erstelltes beschädigtes Dateisystem zu finden. Ich möchte auch unbedingt eine Möglichkeit, die Firmware zu überprüfen. Ich habe irgendwie erwartet, dass es Tools gibt, mit denen man das extrahieren und mit bekannten-guten oder bekannten-schlechten Binärdateien vergleichen kann.

Wenn Sie es nicht benutzen wollten, aber neugierig sind, würde ich zuerst das Gehäuse aufschlagen (sehr vorsichtig) und einen Blick auf die Chips im Inneren werfen.

Ich kenne. Das hört sich verrückt an, aber das Vorhandensein eines identifizierbaren Controllers und eines Flash-Chips würde es wahrscheinlicher machen, dass es sich eher um ein tatsächliches USB-Laufwerk als um etwas wie eine USB-Gummiente oder einen USB-Killer handelt.

Dann tun , was alle anderen schlägt vor , und testen Sie es auf einem Einweg installieren, aber auch ein paar bootfähigen Virenscanner laufen, dann , wenn Sie sicher sind , dass es sicher ist, wischen Sie es.

TENS

Eine gute Sicherheitsverteilung zum Testen verdächtiger USB-Flash-Laufwerke, die Sie auf dem Parkplatz gefunden haben, ist Trusted End Node Security (TENS), früher Lightweight Portable Security (LPS) genannt, eine Linux-Sicherheitsverteilung, die beim Booten von einem vollständig aus dem RAM ausgeführt wird bootfähiges USB-Flash-Laufwerk. TENS Public verwandelt ein nicht vertrauenswürdiges System (z. B. einen Heimcomputer) in einen vertrauenswürdigen Netzwerkclient. Es kann keine Spur von Arbeitsaktivitäten (oder Malware) auf die Festplatte des lokalen Computers geschrieben werden.

Neben dem Sicherheitsmerkmal hat TENS einen weiteren nützlichen Zweck. Da TENS vollständig aus dem RAM ausgeführt wird, kann es auf nahezu jeder Hardware gestartet werden. Dies ist nützlich, um den USB-Anschluss eines Computers zu testen, der die meisten anderen live bootfähigen USB-ISO-Images nicht booten kann.

USBGuard

Wenn Sie Linux verwenden, hilft das USBGuard- Software-Framework dabei, Ihren Computer vor unautorisierten USB-Geräten zu schützen, indem grundlegende Whitelisting- und Blacklisting-Funktionen basierend auf Geräteattributen implementiert werden. Um die benutzerdefinierte Richtlinie durchzusetzen, wird die seit 2007 im Linux-Kernel implementierte USB-Geräteautorisierungsfunktion verwendet.

Standardmäßig blockiert USBGuard alle neu verbundenen Geräte und Geräte, die vor dem Start des Daemons verbunden wurden.

Eine schnelle Möglichkeit, USBGuard zum Schutz Ihres Systems vor USB-Angriffen zu verwenden, besteht darin, zunächst eine Richtlinie für Ihr System zu erstellen . Starten Sie dann den usbguard-daemon mit dem Befehl sudo systemctl start usbguard.service. Sie können den usbguardBefehl für die Befehlszeilenschnittstelle und seinen generate-policyUnterbefehl ( usbguard generate-policy) verwenden, um eine anfängliche Richtlinie für Ihr System zu generieren, anstatt eine neue zu schreiben. Das Tool generiert eine Zulassungsrichtlinie für alle Geräte, die zum Zeitpunkt der Ausführung an Ihr System angeschlossen sind. ¹

Eigenschaften

• Regelsprache zum Schreiben von Autorisierungsrichtlinien für USB-Geräte
• Daemon-Komponente mit einer IPC-Schnittstelle für dynamische Interaktion und Richtliniendurchsetzung
• Befehlszeile und GUI-Oberfläche zur Interaktion mit einer laufenden USBGuard-Instanz
• C ++ API für die Interaktion mit der in einer gemeinsam genutzten Bibliothek implementierten Dämonkomponente

¹ _{Überarbeitet von: Integrierter Schutz vor USB-Sicherheitsangriffen mit USBGuard}

Installation

USBGuard ist standardmäßig in RHEL 7 installiert.

Um USBGuard in Ubuntu 17.04 und höher zu installieren, öffnen Sie das Terminal und geben Sie Folgendes ein:

sudo apt install usbguard  

Um USBGuard in Fedora 25 und höher zu installieren, öffnen Sie das Terminal und geben Sie Folgendes ein:

sudo dnf install usbguard   

Um USBGuard unter CentOS 7 und höher zu installieren, öffnen Sie das Terminal und geben Sie Folgendes ein:

sudo yum install usbguard  

Für die Kompilierung aus der Quelle von USBGuard müssen mehrere andere Pakete als Abhängigkeiten installiert werden.

Es gibt verschiedene Ansätze, aber wenn dieser Stick Firmware-Malware enthält, ist das wirklich sehr gefährlich.

Ein Ansatz könnte darin bestehen, eine der vielen LiveCD Linux-Distributionen herunterzuladen, alle Festplatten und Netzwerkverbindungen zu trennen und dann einen Blick darauf zu werfen.

Ich denke, ich würde empfehlen, einen alten Laptop aus dem Schrank zu holen, ihn anzuschließen und ihn anschließend mit einem großen Hammer zu schlagen.

Bester Ansatz - Seien Sie nicht neugierig! :)

Nicht. Wirf sie mit einem Zeitstempel in den Müll oder in das Fundbüro. USB-Sticks sind billig, viel billiger als das Entfernen von Malware oder Sabotage. Es gibt USB-Sticks, die Ladungen in Kondensatoren speichern und plötzlich in Ihren PC entladen und ihn zerstören.

Dieser Thread ist verknüpft mit zwei USB-Sticks, die ich am Boden gefunden habe. Was jetzt? . Der andere Thread enthält einige nicht-technische Überlegungen, wie die Antwort von innaM, die darauf hindeutet, dass der Inhalt nicht von Ihnen stammt und Sie ihn einfach an den Eigentümer zurücksenden sollten, sowie die Antwort von Mike Chess, in der erwähnt wird, dass das Laufwerk möglicherweise Regierungsbehörden enthält Geheimnisse, terroristische Dokumente, Daten, die bei Identitätsdiebstahl, Kinderpornografie usw. verwendet werden und die Sie in Schwierigkeiten bringen könnten, wenn Sie sie in Ihrem Besitz haben.

Andere Antworten zu beiden Themen befassen sich mit dem Schutz vor Malware beim Durchsuchen des Inhalts. Diese Antworten schützen Sie jedoch nicht vor einem "Killer-USB", einem wichtigen Punkt in dieser Frage. Ich werde nicht wiederholen, was in anderen Antworten behandelt wird, aber es genügt zu sagen, dass alle Ratschläge zum Schutz vor Malware (einschließlich Gummienten, die Tastenanschläge injizieren) zutreffen.

Wert und Markenname

Aber ich würde mit Christopher Hostages Argument beginnen, dass Flash-Laufwerke zu billig sind, um die Mühe und das Risiko wert zu sein. Wenn das Laufwerk vom Eigentümer nicht beansprucht wird und nachdem Sie alle Warnungen berücksichtigt haben, entscheiden Sie, dass Sie nur versuchen müssen, es sicher und benutzerfreundlich zu machen, indem Sie den Wert des Laufwerks berücksichtigen. Wenn es sich um ein Laufwerk mit geringer Kapazität, Standardgeschwindigkeit und keinem Namen von unbekanntem Alter handelt, können Sie es für ein paar Dollar durch ein neues ersetzen. Sie kennen die verbleibende Lebensdauer der Festplatte nicht. Können Sie sich auf die Zuverlässigkeit oder die verbleibende Lebensdauer des Geräts verlassen, selbst wenn Sie es in einen "frischen" Zustand zurückversetzen?

Das bringt uns zum Fall eines nicht beanspruchten Laufwerks, das offiziell Ihnen gehört, und:

• Es handelt sich um ein Markenlaufwerk mit hoher Kapazität, hoher Geschwindigkeit und anerkannter Zuverlässigkeit und Leistung.
• Scheint in neuem Zustand zu sein, vielleicht ein kürzlich veröffentlichtes Produkt, so dass Sie wissen, dass es nicht sehr alt sein kann.

Ein Punkt dieser Kriterien ist, dass das Laufwerk tatsächlich mehr als einen unbedeutenden Betrag wert sein könnte. Aber meine Empfehlung wäre, mich aus einem zweiten Grund nicht mit irgendetwas anderem anzulegen. Wie Journeyman Geek in einem Kommentar hervorhebt, sind Gummienten und USB-Killers in allgemein aussehenden Paketen erhältlich. Die Markennamenverpackung ist ohne teure Ausrüstung schwer zu fälschen, und es ist schwierig, eine Markennamenverpackung auf nicht nachweisbare Weise zu manipulieren. Beschränken Sie sich also auf vertraute Markenlaufwerke, um sich ein wenig zu schützen.

Sichere Verbindung

Die erste Frage ist, wie Sie es sicher physisch an Ihr System anschließen können, wenn es sich um einen Killer-USB handelt. Darauf werde ich mich konzentrieren.

Laufwerksinspektion

• Der erste Hinweis ist das Laufwerk selbst. Es gibt Miniaturstile, bei denen es sich im Grunde genommen um den USB-Anschluss handelt, und nur so viel Plastik, dass Sie etwas mitnehmen können, um es ein- und auszubauen. Dieser Stil ist wahrscheinlich sicher, besonders wenn der Kunststoff den Markennamen trägt.

• Flip-Style-Laufwerke sind beliebt bei Gummienten. Seien Sie daher besonders vorsichtig mit ihnen.

• Wenn es sich um ein Standard-USB-Stick handelt, das groß genug ist, um die beste Hardware aufzunehmen, überprüfen Sie das Gehäuse auf Anzeichen dafür, dass es sich um eine Fälschung handelt oder manipuliert wurde. Wenn es sich um das originale, mit einem Markenzeichen versehene Gehäuse handelt, ist es schwierig, es zu manipulieren, ohne Zeichen zu hinterlassen, die bei Vergrößerung sichtbar wären.

Galvanische Trennung

• Der nächste Schritt wäre, das Laufwerk von Ihrem System zu isolieren. Verwenden Sie einen billigen USB-Hub, den Sie für den potenziellen Wert des USB-Sticks opfern möchten. Noch besser ist es, mehrere Hubs hintereinander zu schalten. Die Hubs bieten einen gewissen Grad an galvanischer Trennung, die Ihren sehr teuren Computer vor dem "must have" -freien Killer-USB-Laufwerk schützen kann.

  Warnung: Ich habe dies nicht getestet und weiß nicht, welchen Grad an Sicherheit dies bieten würde. Wenn Sie jedoch ein Risiko für Ihr System eingehen, kann dies die Beschädigung des Systems minimieren.

Wie LPChip in einem Kommentar zu der Frage vorschlägt, ist die einzige "sichere" Möglichkeit, sie zu testen, die Verwendung eines Systems, das Sie für verfügbar halten. Beachten Sie auch dann, dass fast jeder funktionierende Computer das Potenzial hat, nützlich zu sein. Ein alter Computer mit unzureichender Leistung kann mit einer leichten, speicherresidenten Linux-Distribution geladen werden und bietet eine erstaunliche Leistung für Routineaufgaben. Wägen Sie den Wert eines funktionierenden Computers mit dem Wert des unbekannten Laufwerks ab, es sei denn, Sie rufen einen Computer zum Testen des Flash-Laufwerks aus dem Papierkorb ab.

Die Frage wurde geklärt, um zu beschreiben, dass das Ziel darin besteht, das USB-Laufwerk zu untersuchen, anstatt lediglich den Eigentümer zu identifizieren oder es erneut zu verwenden. Dies ist eine extrem breite Frage, aber ich werde versuchen, sie allgemein zu behandeln.

Was könnten die Probleme sein?

• Ein "Killer-USB". Präsentieren Sie Designs dieser Genre-Hochspannungspumpe über den USB-Anschluss, um Ihren Computer zu braten.
• Kundenspezifische Elektronik, die sich in einem Flash-Laufwerkspaket versteckt. Dies könnte alles tun, was der Designer erfinden kann. Ein gängiges derzeitiges Design ist die Gummiente, die eine Tastatur simuliert, um alles zu injizieren, was Sie mit der Tastatur tun können.
• Ein Flash-Laufwerk mit geänderter Firmware. Auch hier nur durch die Vorstellungskraft des Designers begrenzt.
• Ein mit Malware infiziertes Flash-Laufwerk. Dies kann praktisch jede Art von Malware sein.
• Ein Flash-Laufwerk, das dazu gedacht ist, jemanden einzuschließen. Dies wäre die Art von Dingen, die von einem Nachrichtendienst, Strafverfolgungsbehörden, Ermittlern oder zum Schutz sensibler Inhalte verwendet werden. Der Zugriff auf das Laufwerk würde eine Art Alarm auslösen.
• Ein Flash-Laufwerk, das Material enthält, das Sie in Schwierigkeiten bringen könnte, weil Sie es besitzen, wie z. B. Verschlusssachen, gestohlene Informationen, Kinderpornografie usw.
• Menschen mit böswilligen Absichten werden immer neue Wege finden, um böse Dinge zu tun. Wir können daher wahrscheinlich nicht jede Art von Gefahr in einem USB-Paket erkennen.

Untersuchen des Laufwerks

Vorbereitung

Angesichts der Vielzahl von Möglichkeiten ist es schwierig, sich vollständig zu schützen, um das Laufwerk zu untersuchen.

• Beginnen Sie mit der Genehmigung, potenzielle Inhalte zu besitzen und zu überprüfen. Dies ist einfacher, wenn Sie für die Geheimdienste oder Strafverfolgungsbehörden arbeiten oder eine Form von Rechtsordnung oder Lizenz haben. Erstellen Sie kurz davor eine Papierspur, um zu beweisen, dass Sie sie mit unschuldigen Mitteln in Ihren Händen haben. Wenn die Inhalte ausländischen Agenten gehören, die illegal handeln oder die organisierte Kriminalität begehen, bietet Ihr Papierpfad möglicherweise nicht viel Schutz. :-)
• Arbeit isoliert vom Internet. Wenn Sie vor der Möglichkeit eines eingebetteten Funksenders schützen möchten, arbeiten Sie in einem Faradayschen Käfig.
• Schützen Sie Ihre eigene Hardware vor einem Killer-USB.
  • Öffnen Sie den Koffer und untersuchen Sie die Eingeweide, wie es Journeyman Geek beschreibt. Dies würde auch kundenspezifische Elektronik in einem Flash-Laufwerksgehäuse identifizieren.
  • Trennen Sie den Antrieb elektrisch. Sie können einen optisch isolierten USB-Hub verwenden, aber dafür könnten Sie mehr ausgeben als für einen Einwegcomputer. Wie in meiner anderen Antwort vorgeschlagen, können Sie mehrere billige USB-Hubs hintereinander schalten, die an einen müllbaren Computer angeschlossen sind.
• Schützen Sie Ihr System vor Angriffen auf niedriger Ebene. Ich bin mir nicht sicher, ob es eine Möglichkeit gibt, sich vor Änderungen an Ihrer Firmware zu schützen, als einen billigen Ersatzcomputer zu verwenden, den Sie gerne wiederherstellen oder in den Papierkorb werfen.
• Schützen Sie Ihr System vor Malware. Dies wird in verschiedenen Antworten beschrieben, einschließlich verknüpfter Threads, die Techniken wie eine Live-Linux-Sitzung oder eine VM verwenden, um isoliert von Ihrem eigenen Betriebssystem, Ihrer eigenen Software und Ihren eigenen Dateien zu arbeiten. Deaktivieren Sie Autorun usw.

Ermittlung

• Wenn das Paket etwas anderes als eine Flash-Laufwerkselektronik enthält, ist das Öffnen des Gehäuses die einzige Möglichkeit, um festzustellen, um was es sich handelt. Sie können die USB-Schnittstelle nicht abfragen, um zu ermitteln, um welches USB-Modell es sich handelt.
• Wenn das Laufwerk Malware enthält, wird dies durch Ausführen von Anti-Malware-Scans mit mehreren seriösen Programmen identifiziert, die unterschiedliche Methoden verwenden.
• Die Untersuchung des Inhalts würde mit den normalen Werkzeugen erfolgen, die zum Betrachten des Inhalts verwendet werden. Dies kann ein bisschen Detektivarbeit beinhalten, wie das Aufdecken von Dingen oder das Suchen nach verkleideten Dingen. Inhalte könnten verschlüsselt oder anderweitig geschützt sein, was eine andere Diskussion darstellt.
• Geänderte Firmware wäre extrem schwer zu untersuchen. Sie benötigen die Tools, um auf den Firmware-Code zuzugreifen, sowie den normalen Code, mit dem Sie ihn vergleichen können (der wahrscheinlich proprietär ist). Wenn Sie ein identisches, bekanntermaßen funktionsfähiges Laufwerk und die Tools für den Zugriff auf den Firmware-Code hätten, wäre dies eine Vergleichsquelle. Dieser Code variiert jedoch zwischen Anbietern und möglicherweise sogar Versionen desselben Produkts. Wenn es sich bei dem Flash-Laufwerk tatsächlich um eine zerstörerische Anlage handelt, müssen Sie die Firmware zurückentwickeln, um herauszufinden, was sie tut.

Wenn ich das wirklich wollte, würde ich einfach den billigsten Raspberry Pi-Klon kaufen, den ich könnte, und ihn anschließen. Wenn es den Computer zappt habe ich nicht viel verloren. Es ist unwahrscheinlich, dass das Betriebssystem infiziert wird, und wenn ja, wie?