Come posso verificare in sicurezza una chiavetta USB trovata nel parcheggio al lavoro?

Lavoro in un'azienda di software integrata. Questa mattina ho trovato una chiavetta USB nel parcheggio di fronte all'edificio. Con in mente tutte le storie di "attacchi con chiavetta USB", ovviamente non lo collegherò semplicemente al mio laptop. OTOH, sono curioso di sapere se questo è stato in realtà un tentativo di compromettere i nostri sistemi, o è davvero solo un caso innocente di qualcuno che perde accidentalmente una chiavetta USB. Come posso controllare in sicurezza la chiavetta USB senza rischiare l'esposizione?

Non sono solo preoccupato per malware e immagini di file system create; ci sono anche cose come gli attacchi di sovracorrente:
"USB Killer 2.0" mostra che la maggior parte dei dispositivi abilitati USB sono vulnerabili agli attacchi di sovratensione .

EDIT: Molte delle risposte sembrano supporre che io voglia mantenere l'unità e usarla in seguito. Non mi interessa affatto, so che le chiavette USB sono economiche e che comunque non sarebbe mia. Voglio solo sapere se si è trattato davvero di un attacco semi-mirato, in parte per curiosità se ciò accade effettivamente nella vita reale e non solo sui documenti di sicurezza, ma anche per poter avvertire i miei colleghi.

Voglio sapere come capirei se lo stick contiene malware. E non è solo una questione di guardare il contenuto dell'unità e vedere un autorun.inf sospetto o un file system corrotto accuratamente predisposto - Vorrei anche un modo per ispezionare il firmware. Mi aspettavo che esistessero strumenti per estrarlo e confrontarlo con i binari noti-buoni o noti-cattivi.

Se non volessi usarlo ma sei curioso, in realtà inizierei aprendo il case (con molta attenzione) e dando un'occhiata ai chip all'interno.

Lo so. Sembra folle, ma la presenza di un controller identificabile e di un chip flash renderebbe più probabile che si tratti di una vera unità USB piuttosto che di qualcosa come un'anatra di gomma USB o un assassino USB.

Quindi fai quello che suggeriscono tutti gli altri e testalo su un'installazione usa e getta, esegui anche alcuni scanner antivirus avviabili, quindi se sei sicuro che sia sicuro, puliscilo.

TENS

Una buona distribuzione di sicurezza per testare unità flash USB sospette che hai trovato nel parcheggio è Trusted End Node Security (TENS), precedentemente chiamata Lightweight Portable Security (LPS), una distribuzione di sicurezza Linux che viene eseguita interamente da RAM quando viene avviata da un chiavetta USB avviabile. TENS Public trasforma un sistema non attendibile (come un computer di casa) in un client di rete affidabile. Nessuna traccia di attività lavorativa (o malware) può essere scritta sul disco rigido del computer locale.

Oltre alla funzione di sicurezza TENS ha un altro scopo utile. Poiché funziona interamente dalla RAM, TENS può avviarsi su quasi tutti gli hardware. Ciò lo rende utile per testare la porta USB di un computer che non è in grado di avviare la maggior parte delle altre immagini ISO USB avviabili dal vivo.

USBGuard

Se si utilizza Linux, il framework software USBGuard aiuta a proteggere il computer da dispositivi USB non autorizzati implementando funzionalità di whitelist e blacklist basate sugli attributi del dispositivo. Per applicare la politica definita dall'utente, utilizza la funzione di autorizzazione del dispositivo USB implementata nel kernel Linux dal 2007.

Per impostazione predefinita, USBGuard blocca tutti i dispositivi e i dispositivi appena connessi prima che l'avvio del demone venga lasciato così com'è.

Un modo rapido per iniziare a utilizzare USBGuard per proteggere il sistema dagli attacchi USB è innanzitutto generare una politica per il sistema. Quindi, avvia usbguard-daemon con il comando sudo systemctl start usbguard.service. È possibile utilizzare il usbguardcomando dell'interfaccia della riga di comando e il relativogenerate-policy sottocomando ( usbguard generate-policy) per generare un criterio iniziale per il proprio sistema invece di scriverne uno da zero. Lo strumento genera un criterio di autorizzazione per tutti i dispositivi attualmente connessi al sistema al momento dell'esecuzione. ¹

Caratteristiche

• Lingua delle regole per la scrittura di criteri di autorizzazione dei dispositivi USB
• Componente Daemon con un'interfaccia IPC per l'interazione dinamica e l'applicazione delle policy
• Riga di comando e interfaccia GUI per interagire con un'istanza USBGuard in esecuzione
• API C ++ per l'interazione con il componente daemon implementato in una libreria condivisa

¹ _{Revisionato da: protezione integrata contro gli attacchi di sicurezza USB con USBGuard}

Installazione

USBGuard è installato per impostazione predefinita in RHEL 7.

Per installare USBGuard in Ubuntu 17.04 e versioni successive, aprire il terminale e digitare:

sudo apt install usbguard  

Per installare USBGuard in Fedora 25 e successive, apri il terminale e digita:

sudo dnf install usbguard   

Per installare USBGuard in CentOS 7 e versioni successive, aprire il terminale e digitare:

sudo yum install usbguard  

la compilazione dalla fonte di USBGuard richiede l'installazione di numerosi altri pacchetti come dipendenze.

Esistono vari approcci, ma se quella chiavetta ha malware incorporato nel firmware è davvero pericolosa.

Un approccio potrebbe essere quello di scaricare una delle tante distro di LiveCD Linux, scollegare eventuali dischi rigidi e connessioni di rete e quindi dare un'occhiata.

Penso che consiglierei di prendere un vecchio laptop dall'armadio, collegarlo a quello e poi colpirlo con un grosso martello.

Il miglior approccio - Non essere curioso! :)

Non farlo. Gettali nella spazzatura, o Lost / Found con un timestamp. Le chiavette USB sono economiche, molto più economiche del tempo impiegato per ripulire da malware o sabotaggi fisici. Ci sono chiavette USB là fuori che memorizzano la carica nei condensatori e si scaricano improvvisamente nel PC, rovinandolo.

Questo thread è collegato con ho trovato due chiavette USB per terra. E adesso? . L'altro thread include alcune considerazioni non tecniche come la risposta di innaM, che suggerisce che i contenuti non sono affari tuoi e che dovresti semplicemente restituirli per tornare al proprietario, e la risposta di Mike Chess, che menziona che l'unità potrebbe contenere governo segreti, documenti terroristici, dati utilizzati nel furto di identità, pornografia infantile, ecc., che potrebbero metterti nei guai per averlo in tuo possesso.

Altre risposte su entrambi i thread riguardano come proteggersi dai malware mentre si esplorano i contenuti, ma quelle risposte non ti proteggeranno da una "USB killer", un punto chiave posto in questa domanda. Non ripeterò ciò che è coperto da altre risposte, ma basti dire che si applicano tutti i consigli sulla protezione da malware (comprese le paperelle di gomma, che iniettano i tasti).

Valore e nome commerciale

Ma vorrei iniziare con il punto di Christopher Hostage sul fatto che le unità flash siano troppo economiche per valere la pena e il rischio. Se l'unità non viene rivendicata dal proprietario e, dopo aver considerato tutti gli avvisi, si decide di provare a renderlo sicuro e utilizzabile, iniziare considerando il valore dell'unità. Se si tratta di una bassa capacità, velocità standard, nessun nome drive di età sconosciuta, è possibile sostituirlo con uno nuovo per pochi dollari. Non conosci la vita rimanente sul disco. Anche se lo ripristini a una condizione "fresca", puoi fidarti della sua affidabilità o della durata residua?

Il che ci porta al caso di un disco non rivendicato che è ufficialmente tuo e:

• si tratta di un'unità ad alta capacità, ad alta velocità, con marchio di affidabilità e prestazioni riconosciute,
• sembra essere in condizioni nuove, forse un prodotto rilasciato di recente, quindi sai che non può essere molto vecchio.

Un punto di questi criteri è che l'unità potrebbe effettivamente valere più di un importo insignificante. Ma la mia raccomandazione sarebbe di non scherzare con nient'altro per un secondo motivo. Come sottolinea Journeyman Geek in un commento, le paperelle di gomma e gli assassini USB arrivano in pacchetti dall'aspetto comune. L'imballaggio del marchio è difficile da contraffare senza attrezzature costose e manomettere un pacchetto di marca in modo non rilevabile è difficile. Così limitandoti alle unità familiari, il marchio offre una piccola protezione in sé.

Connessione sicura

La prima domanda è come puoi collegarlo fisicamente al tuo sistema in modo sicuro se potrebbe essere una USB killer, ed è su questo che mi concentrerò.

Ispezione dell'unità

• Il primo indizio è l'unità stessa. Ci sono stili in miniatura che sono fondamentalmente il connettore USB più la plastica sufficiente per avere qualcosa da afferrare per farlo entrare e uscire. È probabile che quello stile sia sicuro, soprattutto se la plastica ha il marchio.

• Le unità stile flip sono popolari per le papere di gomma, quindi fai particolare attenzione con loro.

• Se si tratta di una chiavetta di dimensioni standard abbastanza grande da contenere hardware killer, ispezionare la custodia per verificare che non sia contraffatta o manomessa. Se si tratta della custodia originale etichettata con il marchio, sarà difficile manometterla senza lasciare segni visibili con l'ingrandimento.

Isolamento elettrico

• Il prossimo passo sarebbe quello di isolare l'unità dal tuo sistema. Usa un hub USB economico che sei disposto a sacrificare per il potenziale valore della chiavetta USB. Ancora meglio, daisy chain diversi hub. Gli hub forniranno un certo grado di isolamento elettrico che potrebbe proteggere il tuo computer molto costoso dall'unità USB killer gratuita "must have".

  Avvertenza: non l'ho testato e non ho modo di conoscere il grado di sicurezza che ciò fornirebbe. Ma se hai intenzione di rischiare il tuo sistema, potrebbe minimizzare i danni ad esso.

Come suggerisce LPChip in un commento sulla domanda, l'unico modo "sicuro" per testarlo è usare un sistema che consideri usa e getta. Anche allora, considera che quasi ogni computer funzionante ha il potenziale per essere utile. Un antico computer sotto-alimentato può essere caricato con una distro Linux leggera e residente in memoria e fornire prestazioni straordinarie per le attività di routine. A meno che non si stia recuperando un computer dal cestino allo scopo di testare l'unità flash, valutare il valore di un computer funzionante rispetto al valore dell'unità sconosciuta.

La domanda è stata chiarita per descrivere l'obiettivo come indagare sull'unità USB anziché semplicemente identificare il proprietario o riproporlo. Questa è una domanda estremamente ampia, ma cercherò di affrontarla in modo generale.

Quali potrebbero essere i problemi?

• Una "USB assassina". I design attuali di questo genere pompano l'alta tensione attraverso la porta USB per friggere il computer.
• Elettronica personalizzata nascosta in un pacchetto di unità flash. Questo potrebbe fare qualsiasi cosa il designer possa inventare. Un design attuale comune è l'anatra di gomma, che simula una tastiera per iniettare qualsiasi cosa tu possa fare dalla tastiera.
• Un'unità flash con firmware modificato. Ancora una volta, limitato solo dalla fantasia del designer.
• Un'unità flash infetta da malware. Questo potrebbe essere praticamente qualsiasi varietà di malware.
• Un'unità flash destinata a intrappolare qualcuno. Questo sarebbe il tipo di cose usate da un servizio di intelligence, forze dell'ordine, un investigatore o come protezione su contenuti sensibili. L'accesso all'unità innescherebbe una qualche forma di avviso.
• Un'unità flash contenente materiale che potrebbe metterti nei guai per il possesso, come informazioni classificate, informazioni rubate, pornografia infantile, ecc.
• Le persone con cattive intenzioni troveranno sempre nuovi modi per fare cose cattive, quindi probabilmente non possiamo conoscere ogni tipo di rischio contenuto in un pacchetto USB.

Indagare sull'unità

Preparazione

Data la gamma di possibilità, è difficile proteggersi completamente per indagare sull'unità.

• Inizia con l'autorizzazione a possedere e ispezionare eventuali contenuti potenziali. Questo è più semplice se lavori per la comunità dei servizi segreti, le forze dell'ordine o hai qualche forma di ordine o licenza legale. A parte questo, stabilisci in anticipo una traccia di carta dimostrando che è nelle tue mani con mezzi innocenti. Se i contenuti appartengono ad agenti stranieri che agiscono in modo illegale o criminalità organizzata, la traccia cartacea potrebbe non fornire molta protezione. :-)
• Lavoro isolato da Internet. Se si desidera proteggere dalla possibilità di un trasmettitore radio incorporato, lavorare all'interno di una gabbia di Faraday.
• Proteggi il tuo hardware da una USB killer.
  • Apri la custodia e ispeziona le viscere come descritto da Journeyman Geek. Ciò identificherebbe anche l'elettronica personalizzata in una custodia per unità flash.
  • Isolare elettricamente l'unità. È possibile utilizzare un hub USB otticamente isolato, ma è possibile spendere di più in questo rispetto a un computer usa e getta. Come suggerito nell'altra mia risposta, potresti collegare in cascata diversi hub USB economici collegati a un computer trasmissibile.
• Proteggi il tuo sistema da attacchi di basso livello. Non sono sicuro che ci sia un modo per proteggersi da qualcosa come avere il firmware modificato, se non quello di utilizzare un computer economico di riserva che non ti dispiace ripristinare o distruggere.
• Proteggi il tuo sistema dal malware. Questo è descritto in varie risposte, inclusi thread collegati, usando tecniche come una sessione Linux live o VM per lavorare isolati dal proprio sistema operativo, software e file, disabilitando l'esecuzione automatica, ecc.

Indagine

• Se il pacchetto contiene qualcosa di diverso dall'elettronica dell'unità flash, aprire la custodia è l'unico modo per vedere di cosa si tratta. Non è possibile interrogare la sua interfaccia USB per chiedere che modello di USB killer è.
• Se l'unità contiene malware, questo verrà identificato eseguendo scansioni anti-malware utilizzando diversi programmi affidabili che impiegano metodologie diverse.
• Lo studio dei contenuti verrebbe effettuato con i normali strumenti utilizzati per guardare i contenuti. Ciò potrebbe includere un piccolo lavoro investigativo, come scoprire cose nascoste o cercare cose mascherate. I contenuti potrebbero essere crittografati o altrimenti protetti, il che costituisce una discussione diversa.
• Il firmware modificato sarebbe estremamente difficile da esaminare. Avresti bisogno degli strumenti per accedere al codice del firmware, oltre al codice normale per confrontarlo (che è probabilmente proprietario). Se avessi un disco identico e noto e gli strumenti per accedere al codice del firmware, questo sarebbe una fonte per il confronto, ma quel codice varierà tra i fornitori e potenzialmente anche le versioni dello stesso prodotto. Se l'unità flash è effettivamente un impianto distruttivo, dovresti decodificare il firmware per capire cosa sta facendo.

Se davvero, davvero volessi farlo, comprerei semplicemente il clone di Raspberry Pi più economico che potrei e collegarlo a quello. Se si spegne il computer non ho perso molto. È improbabile che il sistema operativo sia infetto, e anche se lo è, e allora?