Trzy tygodnie temu moja firma zamówiła z Chin dużo sprzętu (prawdziwy sprzęt, niezwiązany z IT).
Dziś dziewczyna z magazynu przychodzi do mojego biura i mówi, że zmieszana z rzeczami znalazła biały dysk USB z napisem „Lihuiyu Studio Labs 2012.10.25”
Ciekawe, miałem reakcję typu „TAK! Wolny dysk USB! Zobaczmy, co jest w środku!” i głupio podłączyłem moją główną maszynę, i byłem zszokowany odkryciem, że została wykryta jako USB HID i klawiatura.
Sparaliżowany od szoku, czekałem 20-30 sekund, zanim go usunąłem.
Nic się nie wydarzyło na ekranie, urządzenie przypominające gumową pamięć USB powinno pokazywać coś na ekranie, prawda? Nie ma sposobu, aby zagroził naszemu systemowi firmy z niektórymi poleceniami prędkości światła, których nie można zobaczyć gołym okiem, prawda?
Podstawowe pytanie:
Czy jest jakiś sposób ochrony systemów Windows przed takimi urządzeniami USB?
Musimy co tydzień podłączać setki różnych napędów USB, więc usunięcie / wyłączenie obsługi USB nie jest możliwe
Drugie pytanie:
Jak mogę zobaczyć, co tak naprawdę robi to urządzenie USB?
There is nothing that could be done to protect Windows systems from USB devices like this?
Jasne, nie podłączaj niczego podejrzanego. Może to zbyt oczywiste.How I could see what this USB device is really doing?
Użyj poddanego kwarantannie plastra miodu zamiast podłączonego systemu produkcyjnego. Znów być może zbyt oczywiste; las dla drzew, coś w stylu…Odpowiedzi:
Nie ma niebezpieczeństwa po włożeniu tego urządzenia do komputera. To tylko klucz do pakietu oprogramowania do grawerowania laserowego o nazwie WingraverXP dostarczanego z niektórymi niedrogimi urządzeniami laserowymi. Mam jedną z maszyn i jest dostarczana z identyczną pamięcią USB.
źródło
W sposób podobny do tego, co mama powiedziała ci jako małe dziecko o przyjmowaniu paczek od nieznajomych, gdy w magazynie wypełnionym chińskimi śrubokrętami znajdziesz dziwny dysk USB lub cokolwiek to jest, nie podłączaj go do komputer, który jest częścią sieci Twojej firmy . Zawsze.
To naprawdę najlepszy sposób „ochrony systemów Windows przed takimi urządzeniami USB”. Powiedziawszy to, jak James powiedział w komentarzach, pierwsze i oczywiste metody ataku zostaną zablokowane przez wyłączenie funkcji automatycznego uruchamiania dysku wymiennego, ale jeśli ktoś naprawdę chce wyrządzić krzywdę komputerowi, jestem pewien, że utalentowany haker mógłby to zrobić więc bez włączonego automatycznego uruchamiania.
Następnym razem, gdy spadnie tak dziwny pendrive z nieba i chcesz zobaczyć, co to jest, podłącz go do komputera, który nie jest częścią żadnej sieci, nie ma połączenia z Internetem i nie ma krytycznych danych.
Teraz są szanse, że gdzieś nad brzegiem Chin znajduje się zirytowany doker, który ubolewa nad utratą swojej bezprzewodowej klawiatury, nic złego nie było w napędzie i absolutnie nic nie jest nie tak z komputerem. Zasadniczo jednak nie podłączasz dziwnych urządzeń do sieci.
AKTUALIZACJA
Nie sądzę, że istnieje sposób na wykrycie gumowego kaczuszka. Dobrą wiadomością jest to, że najbardziej znany nie wygląda jak zdjęcie, które opublikowałeś. Z drugiej strony, to, co robi hipotetyczne ptactwo USB, zależy całkowicie od jego ładunku i nie można go przewidzieć. Nie będzie zatem solidnego sposobu sprawdzania, ponieważ nie możesz z góry wiedzieć, co próbował zrobić.
źródło
I don't think there is a way of actually detecting a rubber ducky.
- częściowo prawda. Zobacz moją odpowiedź.Jeśli dysk naprawdę identyfikuje się jako klawiatura, najbezpieczniejszym sposobem ustalenia, które naciśnięcia klawiszy wysyła, jest prawdopodobnie sprzętowy rejestrator klawiatury USB. Możesz uzyskać je w całym Internecie, wystarczy google „rejestrator klawiatury USB”.
Oczywiście nie uniemożliwia to niezidentyfikowanemu urządzeniu wysyłania naciśnięć klawiszy do systemu, do którego podłączasz, więc nie powinieneś tego robić w systemie produkcyjnym.
Ponieważ prawdopodobnie nie chcesz wyłączać obsługi urządzeń USB HID i urządzeń z klawiaturą, nie sądzę, aby można było zrobić coś, aby zapobiec takim atakom, oprócz nie podłączania niezaufanych urządzeń do komputera.
EDYCJA: Ponieważ nie jestem w stanie skomentować innych odpowiedzi: Wyłączenie automatycznego uruchamiania zapobiega tylko automatycznemu wykonywaniu plików na podłączonym dysku USB. Jeśli jednak urządzenie zidentyfikuje się jako klawiatura, prawdopodobnie wyśle naciśnięcia klawiszy i nie zaoferuje plików. Wyłączenie automatycznego uruchamiania nie chroni przed naciśnięciami klawiszy.
źródło
Detektor ukrytej klawiatury Penteract
Blokuje ekran, gdy wykryje podłączoną klawiaturę.
źródło