令人恐惧的是,似乎放错地方的记忆棒实际上实际上只是记忆棒。
后续问题:照相亭要采取什么措施/可以采取措施?对付这类攻击?
#1 楼
一种解决此问题的有趣方法是CIRClean,该方法也在LWN文章中进行了介绍。它使用了Raspberry Pi(在面对过压和其他电气攻击时可能相当消耗),不受信任的USB大量使用了它。存储设备和可信任的空白USB大容量存储设备应该插入。并且没有插入其他设备-它没有连接到任何网络或键盘/鼠标/显示器。而且没有可写的永久存储或BIOS被感染(我想,如果他们愿意的话,真正的偏执狂可以在每次使用前重新刷新启动SD卡)。
打开电源,然后会将文件从一个文件传输到另一个文件,对已知的恶意软件载体进行一些自动清理(例如,将PDF或MSOffice文件转换为更安全的HTML)。视觉和听觉指示器会显示该过程何时完成,并且可以关闭系统电源,从而为用户保留受信任存储上原始文件系统的经过某种程度净化的版本,准备将其传输到用户的工作站中。
如果您打算使用CIRClean,建议您检查其问题跟踪器是否存在当前缺陷-LWN文章说明(2014年12月)没有针对BadUSB键盘攻击的防护措施;我还不确定这是否仍然正确。查看Git存储库中的内核配置文件,看起来它肯定会被锁定得更多(Magic Sysrq,有人吗?)。也许是一个参与而不是完成产品的项目。
#2 楼
我会使用没有网络连接的Raspberry Pi(型号A / A +),因为:它(或更确切地说是Linux)可以读取USB记忆棒上的大多数类型的文件系统。
它唯一的非易失性存储是SD卡,之后可以重新格式化(如果您偏执,则可以丢弃)。
如果USB记忆棒被证明是电子恶意的,则您只需损失了20美元的硬件。
它在非x86平台上运行了某种非主流操作系统,这使其不太可能受到典型Windows恶意软件的攻击。<br />
这仍然是一个问题您在该文件上找到的所有文件的处理方式-将它们复制到其他计算机上显然会使该计算机面临风险。我不能说比詹姆斯·米肯斯更好:“如果你的对手是摩萨德,那你就是枪手了,那么你就无能为力了。”
评论
问题在于您可能没有检测到任何可疑的东西(取决于某些技能),但是仍然携带着危险的有效载荷。
–弗拉迪斯拉夫(Vladislavs Dovgalecs)
15年10月20日在23:01
树莓派,是吗?现在,我想知道何时有人找到感染HDMI控制器的方法。
–类风湿
15年10月21日在19:40
@xeon:如果发现找到的USB设备的政策是检查它们是否有明显的所有权迹象,如果发现任何迹象,请与明显的所有者联系(然后,谁应该知道该驱动器是否是他的驱动器,以及他有多偏执想要了解其被篡改的可能性),那么找到驱动器并寻找所有权迹象的实体将没有任何理由在乎隐藏的危险有效载荷,因为发现驱动器的实体将无所畏惧从这样的有效负载中获取,因为它们永远不会向相关驱动器暴露任何重要价值。
–超级猫
15年10月21日在21:56
+1这是比光隔离USB集线器便宜得多的解决方案。我能找到的最便宜的接近100美元。
– Ajedi32
15-10-22在13:17
您只是将Linux称为“非主流”吗?因为这仅适用于台式机市场,所以其他一切都由Linux或其他Unix主导。 (好吧,除了实时信息外,大部分是VxWorks,据我所知,不是Unix。)
– Bobby
2015年10月24日在9:49
#3 楼
如果通过光电隔离的集线器连接PC,USB杀手将不会杀死您的PC。它们确实存在((搜索:“光隔离USB集线器”),但是由于我自己从未使用过,因此我不会推荐特定型号。它们虽然不便宜。这是一个示例:一旦您处理了硬件方面的问题,便会遇到一个更常见的问题。您可能已经在其他答案中获得了更多的专家建议,但是我的想法是拔出PC的硬盘驱动器(以及所有其他可写存储),然后从实时CD或实时USB闪存盘(不会自动运行的USB闪存盘)中启动它。 -当然可以运行USB记忆棒的内容)。那是因为这是我从头开始付出的最大回报。如果您要养成这种习惯,将Live CD设置为不自动挂载和不自动安装硬件,并从网络上拔出计算机,这将是明智的。如果将其插入可疑位置,则进行引导也是个坏主意,以防万一它是可引导的,还因为插入后可能希望访问事件日志。
评论
这无助于保护您免受BIOS病毒或固件的攻击,使您保持与计算机的连接状态。甚至您的键盘或鼠标。
–乔恩·本特利
2015年10月19日在12:27
请注意,对于快速的usb2或usb3速度,市场上没有负担得起的光电隔离器
– PlasmaHH
2015年10月19日下午13:31
@PlasmaHH,我确定可以。但是:(i)3TB USB记忆棒并不完全常见; (ii)问题的前提不是取证,而是:“这是一个真正的USB记忆棒,如果是,则是谁的记忆棒”(例如,非安全IT专业人员被交给了另一台设备-我的解释)。如果不是USB记忆棒,请用火将其杀死,进行娱乐研究,或交给适当的取证部门。如果这显然是恶意的USB记忆棒,请采取类似的措施。在这个阶段,我们不需要对其进行映像(除非您以专业的身份进行工作,否则您可能不希望拥有这些内容)。
–克里斯H
2015年10月19日在14:24
考虑到购买光隔离USB集线器的价格,我认为您最好像@Matty建议的那样在网上购买便宜的二手PC更好-那么,您也不必担心软件。
–桑奇塞斯
2015年10月20日,9:46
@PlasmaHH市售最大的USB闪存驱动器为1 TB,价格超过650美元。当前周期中的3 TB USB意味着3件事之一。以减少出现在停车场中的可能性的顺序:1. USB设备出现故障,并夸大了其容量,在这种情况下,请不要信任它; 2.这是金士顿或爱国者(目前仅销售1 TB USB驱动器)的原型,应将其退还给他们; 3.该设备将来会以某种方式到达这里,并且当前的USB标准可能不允许您读取它。
– Nzall
15年10月20日在21:57
#4 楼
如果我们假设该棒可能已经过物理改造以达到最大的效果,则必须考虑到所谓的“记忆棒”插入计算机后会喷出一些炭疽芽孢或氧化oxide云的可能性,因此您的问题的答案是:没有安全的方法来检查记忆棒的内容(除非您可以将任务委派给将在另一座建筑物中执行的底层任务)。< br记忆棒可能会尝试滥用USB控制器硬件中的漏洞。该控制器是一个具有自己的固件的芯片,该固件也连接到计算机中的主要数据通道,因此在理论上存在可利用漏洞的可能性。这将非常特定于控制器的版本及其固件,我不知道有任何此类漏洞。
记忆棒可能会尝试滥用处理USB的操作系统代码中的漏洞。对话。这基本上就是PlayStation Jailbreak所做的:在USB级别上,该设备是几台设备,其中一台发送略有超出规格的消息,从而触发了检测并枚举USB设备的OS代码中的缓冲区溢出。 br事实上,记忆棒可能不是记忆棒,而是另一种设备,可能同时有几个。例如,从操作系统的角度来看,操纵杆可能是键盘,并且在插入时可以开始打字。这是在野外发生的。
记忆棒可以是真正的记忆棒,其文件系统利用文件系统的OS代码中的漏洞。除了直接的缓冲区溢出外,还可能存在自动运行功能等问题(值得注意的是,许多现有的非恶意记忆棒还精确地模拟了虚拟CD-ROM驱动器,以便尝试执行这样的自动运行)。一种变体是包含包含图片的棒,这些图片会利用图片渲染库中的漏洞(当尝试以图形方式浏览目录和文件时显示“缩略图”时,主机会调用该图片)。
最后但并非最不重要的是,涉及人员操作,这提供了许多攻击可能性。许多攻击只是简单地利用了人类的无能为力。棍子内容可能会诱使操作员不小心启动看起来像无害的可执行文件。或者,更糟糕的是,棍子可能会包含令人不安的文件(有些东西是看不见的),仍然算作“损害”。
“安全探索”的最佳选择最好的做法是使用一台基本的PC,该PC的操作系统在代码质量,良好的安全性补丁程序,以及至关重要的是,尽可能少的即插即用支持方面拥有良好的声誉。理想情况下,不会尝试使用新插入的USB设备自动执行任何操作的操作系统(即与Windows,OS X或Linux等现代操作系统完全不同的操作系统)。我建议从OpenBSD或NetBSD开始,它们被定制为停用任何形式的USB相关魔术。使用不常见的软件和不常见的硬件还提供了一些小的额外保护,原因是低级,广泛传播的攻击者往往不愿意为运行在基于PowerPC的旧Mac上的NetBSD系统编写漏洞利用程序。
#5 楼
在所有情况下,请记住,没有完美的沙盒系统(硬件/电气,软件)可以100%阻止此类可能的感染。另一方面,您的情况可能取决于关于您的身份以及在哪里找到它的信息。
如果您是一名合格的工人,对于一家汽车公司来说,您发现棍子在您的工作场所或居住地点附近(您是然后最好的方法是销毁该USB记忆棒,因为问题是您无法提前知道找到的USB记忆棒是否包含固件嵌入的恶意软件,在这种情况下,似乎没有用( “ BadUSB”恶意软件存在于USB固件中,无法检测,无法修复。这种恶意软件可能导致您的BIOS被感染,这可能很难清除(即使并非不可能)。
如果您是X或Y先生,并且发现了USB记忆棒在随机的公共场所,即使USK记忆棒被感染(无论是否出于故意),该恶意软件也不会那么严重,在这种情况下,可能是使用Linux Live-CD引导到您的计算机来引导和检查USB的内容可能是合理的操作。
#6 楼
尽管涵盖了电气方面,但许多仍在关注感染您BIOS的恶意软件。好吧,然后将其插入没有BIOS且不会运行任何操作的计算机:使用SPARC计算机。我看到在不确定的情况下,eBay上的Sunfire V100机器价格为50-60美元,所谓的“卖方翻新”价格不到200美元。可能有较旧的产品,因此价格更便宜的USB产品我都不记得了。 V100肯定具有USB端口。我敢肯定,如果一个三字母的代理商知道您使用SPARC,他们将能够使用USB记忆棒进行某些令人讨厌的操作,但这将是非常昂贵的攻击,因为他们将需要对如何做做原始的研究。这是Oracle在Solaris下安装USB记忆棒的官方页面。本论坛主题讨论了如何将USB添加到Ultra 5/10,如果您愿意的话,但我认为它们并不比Sunfire便宜得多V100。
评论
您提到了一个好点:无BIOS的机器。 +1
–user45139
15-10-20在7:09
SPARC系统具有BIOS。他们只是称其为“固件”。但是,所有计算机都以ROM / Flash中的某些代码启动,并且该代码,就像每一个软件一样,可能都有错误。当然,这与基于x86的计算机的BIOS的代码不同,因此人们可能希望攻击者“不会想到SPARC计算机”。
–汤姆韭菜
2015年10月21日在14:42
这完全是我的意思,BIOS表示PC BIOS,“不运行任何东西”,意思是“为x86 CPU编写的任何内容”。我什至提到了攻击的可能性,以及某人实际上想到SPARC的可能性/代价。它还显示了我过去的状况-Raspberry Pi的答案是相同的思路,但它是一种便宜的设备。但是,ARM比SPARC更为广泛,因此,如果我们遵循“没有像杀伤力一样的杀戮”的思想流派,那么SPARC也许是最佳选择。
–chx
2015年10月21日19:57
#7 楼
由于USB杀手设备存在风险,OP指的是电隔离:据报道,该设备通过从USB端口汲取功率并使用转换器直到负电压工作,从而工作。
然后将电源重新引导到计算机中,过程不断循环直到机器的电路出现故障。
遗憾的是,您无法防御这种攻击涉及电路(除非您构建自己的自定义USB端口!),但这似乎不太可能。
当今,最常见的攻击媒介是插入USB驱动器时Windows病毒自动运行。因此,我想说在Linux机器上检查USB驱动器的内容是相对安全的。从理论上讲这是不安全的,但实际上,除非有人将您或您的公司作为目标,否则您这样做的风险不会很高(在随机街道上找到的USB驱动器与公司的停车场中找到的USB驱动器之间存在差异)。
评论
克里斯(Chris)的回答提到了一个(光学)隔离的USB集线器,该集线器可能会抵御此类设备。
– Liilienthal
2015年10月19日在18:52
适当的保护电路(所有导线上的强钳位二极管和电流限制)也应该足够。
–迈克尔
15-10-19在20:03
该描述没有意义。 arstechnica.com/security/2015/10/…更好,以及评论。
–JDługosz
2015年10月22日在8:15
#8 楼
tl; dr:做一些根本的事情,例如使用一台“刻录机” PC或设备来读取USB记忆棒然后丢弃,这是(几乎)完全防弹的查看记忆棒上内容的方法。但是在调查时实际上走到这样的极端是过分的,有点傻。除了没有的地方。信不信由你,这是一种几乎万无一失的方法来检查这种USB记忆棒。步骤:
在Internet上找到一些超级旧,超便宜但仍能正常运行的笔记本电脑/上网本,然后购买。 (任何足够大的平板电脑都具有完整的USB端口,并且具有可以在该USB端口上使用外部存储的操作系统也可以使用。)
替代方法1:但是,如果您还真的很关心不会通过将USB闪存盘插入某些以前拥有未知安全历史记录的设备来潜在地感染USB闪存盘,例如,价格为60到70美元的桶装新型Windows平板电脑,完整的USB端口。 (在Newegg,Amazon,eBay等上以及通过Dealnews等网站都很难找到它们。)最便宜的商品硬件占有一席之地。
替代方法2:如果您想节省一点现金,并且已经有了旧的,破旧的或旧的破旧的设备,那么您很乐意牺牲一下,以找出USB随身碟中的内容,您当然可以走那条路线。但是,很显然,您想要确保在这样做之前绝对绝对不会留下任何形式的个人(或专业数据)。使用具有经典硬盘驱动器的PC,您很可能可以通过使用引导程序擦除该引导程序来完成此操作,该引导程序会用随机数据多次重写磁盘上的每个空间,然后重新安装所需的任何操作系统。大概。另一方面,如果要使用具有固态存储的设备...。
当包含设备的包装到达时,抓住它,用一根愿意舍弃的合适的充电电缆(一会儿就会明白为什么),然后前往有电源插头但没有(a)没有无线的地方网络可用性,或者(b)至少没有您以前连接过的无线网络,并且很可能将来再也不会连接。 (远离城镇的另一边的Panera或星巴克效果很好)。只是为了掩盖这种假设情况,即USB记忆棒上存在一些超复杂的NSA级恶意软件会感染您的设备,然后自动开始使用其无线电尝试破坏其周围的任何Wi-Fi,蓝牙等网络。偏执狂奖金:还可以将所有具有任何无线连接能力的其他电子设备留在家中。 (是的,包括您的智能手机。我知道很难分开,只需要一次。)
到达您的位置后,请拆箱并插入新设备。等待它充满电。
打开设备,等待其启动,然后插入可疑的USB驱动器。看一下其中的所有内容,文件结构以及所需的任何特征。如果您所在的地方有公共wifi,则可以连接并从Internet上获取一些工具(如果您的旧垃圾将安装并运行它们),请仔细看一下。
当您满足好奇心后,拿起您的设备和充电器,走到附近的某个地方,并通过从Officespace重新执行该场景来给他们一个很好的最终送出品。 (警告:使用NSFW语言自动播放YouTube vid。.。)
做任何您想使用USB记忆棒及其上的任何数据的事情。
(好吧,如果您以自己没有浪费和/或对环境不负责任而自豪,那么与其以有趣的方式破坏“燃烧的”设备/ PC,您可以将其回收,捐赠给慈善机构或以微薄的价格出售。如果您选择使用后两种路线中的任何一种,是否应该告诉接收方您为什么要删除该设备呢?好吧,也许我们再把这一问题称为网络道德问题。)
。
好吧,我有点滑稽。但是只有一点。事实仍然是,如果我们要讨论的是(几乎)零安全风险的USB设备,唯一的选择就是将其插入以下系统中:(a)绝对不包含您的敏感信息;(b)您愿意如果USB变成某种电子恶意物品,则必须做出牺牲。(c)您绝不会再将其用于任何需要对其安全性给予任何信任的目的,并且(d)物理上将无法连接至任何目的。网络或其他设备来传播可能来自有问题的USB驱动器的恶意软件感染。 (或者查找可能存在于那些设备和/或网络上的任何敏感信息。)
换句话说,“刻录机”是最好的选择。如果您确实真的要检查具有几乎完美的安全性的硬盘,那就是。
现在,如果我们只是在讨论USB记忆棒的“安全性/安全性,考虑到实际的考虑”,那么上述@Chris H的建议是一个很好的建议:拿起台式PC或笔记本电脑( (您实际上可以在不使用专业工具的情况下就可以打开/维修),取出存储驱动器,从您喜欢的实时CD / USB OS操作系统启动,并插入可疑/有趣的USB记忆棒。 USB仍有可能包含复杂的恶意软件,这些恶意软件可能会在您插入USB记忆棒然后刷新计算机的BIOS / UEFI或刷新视频卡,网卡, USB控制器等?是。 (尽管目前,除了BIOS / UEFI攻击外,所有其他东西在野外仍然很少见。甚至BIOS或UEFI恶意软件也需要专门针对目标机器上使用的制造商/版本实施编写。)实际上,一个USB记忆棒会成为一个USB杀手,会把您的主板炸掉吗?好吧...从理论上讲,是的。但是,反对其中任何一种情况都为真的可能性(尤其是USB杀手之一)非常有利于您。为了说明您在问题中提出的一个好观点,大多数情况下,一个普通的旧USB记忆棒只是一个普通的旧USB记忆棒。
除非您(您的雇主)在另一个实体上,否则您是其中的一部分可以被一些老练的攻击者视为非常高价值的目标。然后所有赌注都关闭了。而且在这种情况下,像上面那样的一种“万无一失”的安全方法实际上可能是唯一合适的方法。
*当然,没有“完美”的安全性。但是“几乎完美”的安全性足以满足我们此处的目的。
评论
虽然很难找到它们,但某些计算机没有任何形式的非易失性存储,可以在不更换芯片的情况下进行更改,或者至少在物理上更改跳线,而在检查带有USB闪存的USB记忆棒时,“感染”的风险应为零这样的计算机可以在以后关闭电源,因为木棍可能不会感染任何东西。
–超级猫
15年10月21日在22:02
这很有趣,但是我有同样的想法。但是我只是假设,对于一个人来说,找到一个像今天这样的新机器(或类似近期的机器)将或多或少是不可能的。 (显然,对安全性要求很高的大公司和政府机构可以使用个人没有的渠道/供应商。或者可以为定制商品支付高昂的价格。)现在,我很好奇地看看有哪些选择可能在那里。前往Google ...
–大多数情况下
15年10月22日在7:04
#9 楼
从技术上讲,在Linux上,停止udev
并卸载除usb-storage
之外的每个与USB相关的内核模块非常容易。但是,将存在两个实际问题:您的现有内核可能内置了
hid
模块,因此您必须重新编译内核以使其可加载。卸下
hid
模块后,合法的USB键盘和鼠标也将停止工作。查找旧的PS / 2键盘,或将虚拟键盘与触摸板/触摸屏配合使用(仅在非USB键盘上可用)。#10 楼
其他答案包括恶意的闪存驱动器,我将讨论您链接的答案中提到的USB杀手er。 (编辑-当我开始键入此命令时,它们确实执行了该操作)。虚拟机无法解决这些问题,它仍然可以获取电源并尝试油炸与其连接的任何设备。据我所知,您有三个选择:
打开驱动器,看它是否看起来合法,或者它是否被大容量电容器覆盖。
将其插入旧机器或rPi等(您不介意被炸的东西)
建立一个USB扩展,其中装有一些体面的二极管,它们具有较高的反向电压。
您选择做什么实际上取决于您在哪里找到驱动器以及您有多好奇。就个人而言,如果我发现一个外部工作并且必须进行检查,则可以将其插入到rPi中。如果我在街上找到一个,那就留在那里。
评论
您最好使用齐纳(加保险丝)电路:例如,参见electronics.stackexchange.com/questions/59666/…(假设您想构建一些东西,我建议在我的回答中购买一个光电隔离的集线器)
–克里斯H
15-10-19在10:35
我喜欢这个主意,可能一个周末就得把烙铁拿出来!
–杰伊
2015年10月21日在6:54
不带电源的USB集线器怎么样?
–JDługosz
15-10-22在7:43
#11 楼
您可以使虚拟机充当所谓的“避孕套”。几个流行的虚拟机管理程序包括VMware Player和Virtual Box。如果您使VM崩溃,则可以制作一个新的VM,然后重试。您可以在网上找到要使用的ISO文件。如果需要逐步浏览,可以通过谷歌搜索一些教程,具体取决于所使用的管理程序。如果您使用的是Linux计算机,则可以将磁盘设置为只读磁盘,并且可能会更容易,具体取决于关于你所拥有的。您可以通过Terminal中的
diskutil
来执行此操作。根据您选择的路线,只需发表评论即可,通过编辑此答案,我可以做得更深入。希望这能给您一些想法,并使您更接近目标。
评论
这不会保护您免受USB杀手设备之类的伤害。
–缠结
2015年10月19日在7:06
啊我懂了。我没有考虑这个。我唯一想到的是与软件相关的感染。谢谢@tangrs!
–万代
2015年10月19日在7:10
它也不能保证免受软件相关感染的侵害。虚拟机可以“转出”。系统管理程序是一款软件,可以像其他任何软件一样包含漏洞。将磁盘设为只读不会保护您免受操作系统,BIOS或其他固件上的攻击(例如,使磁盘再次可写)。
–乔恩·本特利
2015年10月19日,12:33
此外,有些固件级别的攻击会直接滥用USB协议,甚至有可能将设备连接到VM之前,很容易破坏任何未打补丁的主机OS。
–billc.cn
15-10-19在13:35
@ billc.cn:您想将USB控制器的一对端口传递给来宾OS,也许是VT-d之类的。 (为访客提供对PCIe设备的访问的硬件支持)。
– Peter Cordes
2015年10月20日,下午1:06
评论
将其插入不介意刻录的旧笔记本电脑(未连接到网络)。唯一真正安全的方法是将其拆开,拆下闪存芯片,然后使用自己信任的电路将其读出。
谁知道这不是装作USB记忆棒的炸弹?而且我猜想USB杀手的下一个版本可能会伪装成5种左右用途的好记忆棒。
照相亭可以采取什么措施来防止这类攻击?没有。他们只是让自己妥协。当我为一家主要的A / V供应商工作时,我们的一个办公室与药房在同一栋楼里,我们最终不得不解雇了几名员工,以便继续在药房使用照片打印机,因为他们使用了USB设备插入照相亭的设备将感染多种不同的恶意软件,当它们将USB设备插入工作机时,这些恶意软件就会进入我们的内部网络。
@Aequitas很多年前,由于某种原因,我遇到了一些装在单个塑料袋中的3.5软盘。我刚好有人相信他们是防毒套。