Jak bezpiecznie włożyć pamięć USB / urządzenie do komputera z systemem Linux?

25

Podczas wkładania pamięci USB lub urządzenia do komputera zawsze istnieje ryzyko, że urządzenie jest złośliwe, będzie działać jako HID i potencjalnie spowoduje uszkodzenie komputera. Jak mogę zapobiec temu problemowi? Czy wyłączenie HID na określonym porcie USB jest wystarczające? W jaki sposób mogę to zrobić?

Martin Heralecký
źródło
2
Napisz własne reguły udev.
Ipor Sircer,
3
(sidenote: może również prezentować się jako urządzenie sieciowe z DHCP na drugim końcu; może także próbować wygenerować wzrost mocy do smażenia płyty głównej)
Ulrich Schwarz
2
Prawdopodobnie zapytałbym o to na stronie security.stackexchange.com ...
thecarpy
1
Każde obsługiwane urządzenie jest domyślnie włączone. Nie jest to z natury problem, ponieważ zarówno hiddy, jak i urządzenia sieciowe mogą być tym, czego chcesz używać. Definiowanie złośliwości z jądra jest znacznie bardziej skomplikowane.
Zip

Odpowiedzi:

34

Zainstaluj USBGuard - zapewnia platformę do autoryzacji urządzeń USB przed ich aktywacją. Może wyświetlać powiadomienie po podłączeniu nowego urządzenia, z pytaniem, co robić; i może przechowywać stałe reguły dla znanych urządzeń, dzięki czemu nie musisz ciągle potwierdzać. Reguły są definiowane za pomocą kompleksowego języka z obsługą dowolnego atrybutu USB (w tym numeru seryjnego, portu wstawiania ...), dzięki czemu możesz pisać reguły, które są tak szczegółowe, jak chcesz - dodaj tę klawiaturę do białej listy, jeśli ma ten identyfikator, ten numer seryjny , jest podłączony do tego portu itp.

Stephen Kitt
źródło
Co sprawia, że ​​znane urządzenia są „znane”? Przechowuje ich identyfikator czy coś? Czy to też nie można sfałszować?
Martin Heralecký,
4
Znane urządzenia są dopasowywane przy użyciu bogatego języka warunkowego , możesz być tak szczegółowy, jak chcesz (w tym numer seryjny USB, port wprowadzania ...). Wszystko można sfałszować, ale jeśli spotykasz się z przeciwnikiem, który zastanawia się, co umieściłeś na białej liście, prawdopodobnie i tak przegrałeś. (Oczywiście nie możesz nigdy dodawać do białej listy niczego poza klawiaturą, jeśli naprawdę chcesz grać bezpiecznie).
Stephen Kitt,
Nacisk na swojej klawiaturze, a nie „każdy klawiatury USB”.
grawitacja
10

Aby odpowiedzieć na drugą odpowiedź, należy wiedzieć, że nigdy nie można całkowicie zabezpieczyć komputera przed złośliwymi urządzeniami USB. Istnieje kilka sprawdzonych koncepcji i dostępnych na rynku urządzeń, takich jak USB Killer, które mogą dosłownie usmażyć port lub płytę główną.

Oprogramowanie nigdy nie będzie w stanie się przed tym zabezpieczyć i zawsze istnieje szansa, że ​​będzie podatne na atak. Jeśli naprawdę potrzebujesz silnej ochrony, spraw, aby porty były niedostępne fizycznie (na przykład bankomaty).

Baptiste Candellier
źródło
7
Podejrzewam, że OP miał na myśli urządzenia, które nie próbują fizycznie zniszczyć twojego komputera ani jego właściciela. W przeciwnym razie wystarczyłoby trochę wąglika, aby wycieraczka szklana była problemem bezpieczeństwa.
9ilsdx 9rvj 0lo
1
Myślę, że nadal jest to istotne - na pewno nie będzie stanowić problemu we wszystkich (większości) sytuacjach, ale nadal warto pamiętać, jeśli nie ufasz swojemu użytkownikowi, co sugeruje pytanie.
Baptiste Candellier,
1
Tak, pytałem głównie o bezpieczeństwo oprogramowania. Ochrona przed usmażeniem pamięci USB na płycie głównej to oczywiście inna sprawa. Ale dziękuję, że i tak o tym wspomniałeś.
Martin Heralecký,
1
PO w szczególności wymienia urządzenia HID, na które twoja odpowiedź całkowicie nie odnosi się.
Dmitrij Grigoryev