Jak być w 100% pewnym, że dysk USB nie został naruszony i nie ma złośliwego oprogramowania? [duplikować]

18

Załóżmy, że znajdujesz napęd USB na ulicy i chcesz być w 100% pewien, że nie został naruszony, ani przez oprogramowanie, ani przez modyfikację sprzętu (dodawanie lub modyfikowanie komponentów itp.), Aby nie było ryzyka złośliwe oprogramowanie.

Czy pełne sformatowanie go wystarczy, aby mieć 100% pewność, że nie pozostanie złośliwe oprogramowanie? Jeśli tak, to czy pełne formatowanie przy użyciu standardowego powolnego procesu z narzędzia dyskowego w Tails 3.2 wystarcza?

Załóż od atakującego najwyższą możliwą zdolność techniczną. Nie tylko rozsądne lub prawdopodobne scenariusze.

usb security usb-flash-drive malware malware-removal Norbert
źródło
40
Jeśli Twoim pytaniem jest „założyć najwyższą możliwą zdolność techniczną atakującego”, odpowiedź na twoje pytanie jest prosta ..... jak być w 100% pewnym: nie wybieraj przypadkowego napędu USB na ulica i włóż go do komputera. Poza tym nie ma czegoś takiego jak 100% pewność.
n8te
6
Rzucenie go w ogień powinno być w 100% pewne.
aroth
2
Czy chcesz 1) wyczyścić pamięć, aby bezpiecznie z niej później skorzystać, lub 2) bezpiecznie skopiować z niej dane bez uruchamiania szkodliwego oprogramowania lub „pułapek” sprzętowych, lub 3) po prostu dowiedzieć się, czy rzeczywiście było coś podejrzanego na to czy nie? Myślę, że odpowiedzi na te pytania są przynajmniej nieco inne. Wydaje się, że Q połączone przez @KamilMaciorowski wynosi około (3).
ilkkachu
2
@Mawg Chociaż nie sądzę, aby to pytanie było niekoniecznie związane z Super User , zgadzam się, że warto migrować je do Security Information .
Stevoisiak
1
Co sprawia, że ​​masz pewność, że w rzeczywistości jest to dysk USB? To prostokątny kawałek plastiku z wtyczką USB - może to być dosłownie wszystko, co korzysta z USB.
Tristan

Odpowiedzi:

30

Nie ma 100% pewności, że USB jest bezpieczne i że nie będzie zawierało złośliwego oprogramowania, nawet jeśli zostanie wyczyszczone. (Gdybym był w ten sposób skłonny i posiadał wiedzę, mały układ z złośliwym oprogramowaniem, nieaktywny, z przyzwoitym rozmiarem z losowym gównem - po X liczbie cykli zasilania, układ przełączający).

Powinieneś bardzo uważać na podłączanie dowolnego klucza USB niewiadomego pochodzenia do swojego systemu, ponieważ zabójcy USB są czymś, i zabiją twój port USB, a może nawet system - aby to obejść, możesz użyć ofiarnego koncentratora USB.

Niestety większość pamięci USB jest tania i łatwa do otwarcia - ktoś z pewnymi umiejętnościami może łatwo zastąpić wnętrze jednej karty bez widocznych z zewnątrz oznak.

Davidgo
źródło
1
elie.net/blog/security/… mówi o ataku, który powoduje, że USB wygląda jak klawiatura - tego ataku nie udałoby się wyczyścić dysku, ponieważ nieprzyjemny ładunek nie jest prezentowany jako dysk.
davidgo
3
włóż niezaufany do blendera, a nowy od zaufanego dostawcy to jedyny sposób, aby się upewnić.
ratchet maniak
8
@ratchetfreak O ile dysk nie jest opatrzony wąglikiem lub czymś takim, a jego mieszanie rozproszy go w płucach: P 100% pewności to nonsens. Jeśli znajdziesz dysk flash z czymś nielegalnym, nie musi on zawierać złośliwego oprogramowania, na przykład powodując wielki kłopot; a formatowanie też tak naprawdę nie usunąłoby danych.
Luaan
nie potrzebujesz kolejnego układu, po prostu przeprogramuj kontroler, który jest w pamięci
Pete Kirkham
@davidgo Można łatwo zauważyć, że jest to urządzenie HID (klawiatura) zamiast urządzenia MSC (dysk)
endolith
7

Ty zakładać , że jest skażona.

Nie możesz zostać zdradzony, jeśli nigdy nie było zaufania do zdrady.

I nie poniesiesz krzywdy, jeśli przyjmiesz, że szkoda się wydarzy i przygotujesz się na jej spotkanie.

Wyjmij dyski twarde, odłącz od sieci, użyj dysku rozruchowego

Jeśli masz ochotę zbadać ten dysk USB i chcesz uniknąć złośliwego oprogramowania, możesz to zrobić, biorąc komputer, usuwając wszystkie jego dyski twarde, odłączając go od wszystkich sieci (w tym WiFi), a następnie uruchamiając go za pomocą rozruchowego napędu USB . Teraz masz komputer, który nie może zostać skażony i nie może rozpowszechniać zawartości znalezionego napędu USB.

Do tej pory możesz zamontować znaleziony dysk USB i sprawdzić jego zawartość. Nawet jeśli jest skażony, jedyne, co dociera do złośliwego oprogramowania, to „pusty” komputer z systemem operacyjnym, którego nie obchodzi czy i tak zostanie zainfekowany.

Określ swój poziom paranoi

Pamiętaj, że nawet to nie jest całkowicie „bezpieczne”. Załóżmy, że jest to The Perfect Malware ™.

  • Jeśli uruchomisz z zapisywalnego nośnika (pamięć USB, zapisywalny dysk CD / DVD), może to również ulec skażeniu, jeśli jest zapisywalne i pozostaje w komputerze po włożeniu skażonego napędu USB.

  • Praktycznie wszystkie urządzenia peryferyjne mają oprogramowanie wewnętrzne, które można aktualizować. Złośliwe oprogramowanie może tam zagnieżdżać się.

  • Możesz skończyć z uszkodzonym BIOS-em, który na dobre kompromituje sprzęt, nawet po usunięciu skażonego napędu i wyłączeniu zasilania.

Więc jeśli nie jesteś gotowy wyrzucić całego sprzętu później, musisz określić, jak bardzo chcesz zbadać ten znaleziony dysk USB i jaką cenę jesteś gotów zapłacić za 1) zachować bezpieczeństwo i 2) ponieść konsekwencje, jeśli sytuacja się zmieni źle?

Dostosuj swoją paranoję do rozsądnych poziomów, w zależności od ryzyka, jakie chcesz podjąć.

MichaelK
źródło
3
Lepiej byłoby uruchomić komputer z Live DVD niż z pamięci USB. W przeciwnym razie po podłączeniu „podejrzanego” dysku USB pojawią się dwa prawdopodobnie skażone dyski USB. Uruchom z nośnika tylko do odczytu.
Mokubai
3
@Mokubai Na pewno są obrazy na żywo, które pozwalają na uruchomienie, a następnie usunięcie nośnika, z którego uruchomiłeś komputer?
MichaelK
11
Odłączanie sieci i wszystkich napędów nie wystarczy. W komputerze znajduje się o wiele więcej trwałego miejsca do przechowywania, np. EFI NVRAM, EFI Flash EEPROM, mikrokontroler Flash EEPROM na klawiaturze i myszy, oprogramowanie Flash EEPROM na karcie graficznej, mikrokod procesora itd. Itd. . Nie sądzę, aby złośliwe oprogramowanie, które załatało mikrokod procesora, było publicznie znane (co jednak nie znaczy, że nie istnieje), ale wszystkie pozostałe zostały przynajmniej wykazane, a niektóre nawet aktywnie wykorzystywane w atakach. Nie wystarczy odłączyć wszystkie dyski, trzeba też po prostu…
Jörg W Mittag
9
… Potem wyrzuć komputer.
Jörg W Mittag
1
@MichaelKarnerfors może być, ale nie wspominałeś o odłączeniu USB, z którego uruchomiłeś komputer. Zgadzam się z Jörgiem, istnieje wiele innych nieulotnych urządzeń pamięci masowej niż te, z których uruchamiasz komputer.
Mokubai
4

Jeśli chodzi o włamanie sprzętowe, absurdalnie zaawansowany specjalista elektryk z konkretnym celem może stworzyć obwód logiczny, który sprawdza, czy skończyłeś uruchamiać oprogramowanie czyszczące, a następnie wstrzykuje coś do komputera-hosta i dysku flash. Mogą nawet sprawić, że dysk będzie wyglądał normalnie wewnętrznie, dla zwykłego obserwatora. Pamiętaj tylko, że teoretycznie nic nie jest bezpieczne. Bezpieczeństwo opiera się na wysiłku włamanym do włamania się do ciebie oraz wysiłku włożonym w powstrzymanie ich.

materia
źródło
1
pomyślę za Ciebie - bezpieczeństwo opiera się na warstwach ochrony, a czas / koszt / niedogodności do wdrożenia w porównaniu z rozbiciem tych warstw.
davidgo
7
Nie musisz być „absurdalnie zaawansowanym specjalistą elektrycznym”, aby móc to zrobić.
glglgl
1

Dla bezpieczeństwa odpowiedź na każde pytanie, które zawiera zwrot „100%”, jest zawsze wielkim NIE .

Po prostu formatowanie, nadpisywanie, usuwanie lub cokolwiek innego, co możesz wymyślić, nie wystarczy. Dlaczego? Ponieważ we wszystkich tych przypadkach zawsze musisz przejść przez drążek, aby to zrobić. Ale jeśli jestem złym dyskiem USB, a ty każesz mi się wymazać ... dlaczego miałbym się stosować? Mógłbym po prostu udawać, że jestem zajęty przez jakiś czas, a następnie powiedzieć ci „jestem skończony”, nigdy tak naprawdę nic nie robiąc.

Na przykład drążek może po prostu zignorować wszystkie polecenia zapisu. Lub może wykonać polecenia zapisu na chipie typu scratch flash, poczekać, aż zweryfikujesz, że zapis naprawdę wszystko wymazał, a następnie zamienić prawdziwy chip flash. Pamięć USB może zawierać koncentrator USB i być może dwoma dyskami, z których jeden jest wkładany bardzo krótko podczas wymazywania drugiego (co zajmuje dużo czasu, a zatem jest uzasadnione, że zamierzasz opuścić komputer i weź kawę lub coś takiego, abyś nie miał okazji to zauważyć).

Ponadto dysk USB może wcale nie być dyskiem USB. Może to być klawiatura USB, która bardzo szybko wpisuje niektóre polecenia do komputera. Większość systemów operacyjnych nie weryfikuje tożsamości dołączonych klawiatur. (Tak, ten atak ma rzeczywiście istnieje w realnym świecie).

Lub może to być modem USB 3G… i boom, komputer jest ponownie podłączony do otwartej, niezabezpieczonej sieci.

Może to nawet nie być urządzenie USB. Może to być mikrofon lub kamera i po prostu użyj portu USB do zasilania.

Lub może nie próbuje instalować złośliwego oprogramowania na twoim komputerze, ale po prostu dąży do jego zniszczenia, np. Poprzez umieszczenie 200 V na liniach danych .

Jörg W Mittag
źródło
Może to być także dysk USB i kamera / mikrofon / cokolwiek - tak, że wszystko wydaje się działać dobrze, nie ma złośliwego oprogramowania na dysku ... podczas gdy wszystkie twoje dane są powoli szyfrowane: P USB jest elastyczny, a elastyczność nie jest to zawsze dobra rzecz ...
Luaan,