Come essere sicuri al 100% che un'unità USB non sia stata manomessa e non abbia malware? [duplicare]

18

Supponi di trovare un'unità USB per strada e di essere sicuro al 100% che non sia stato manomesso, né tramite software né modificando il suo hardware (aggiungendo o modificando componenti, ecc.), In modo che non ci sia rischio di malware.

La formattazione completa è sufficiente per essere certi al 100% che non rimanga malware? In tal caso, la formattazione completa con il processo lento standard dall'utilità disco in Tails 3.2 è sufficiente per farlo?

Assumi la massima abilità tecnica possibile dall'attaccante. Non solo scenari ragionevoli o plausibili.

usb  security  usb-flash-drive  malware  malware-removal 
Norbert
fonte
40
Se lo scopo della tua domanda è "assumere l'abilità tecnica più alta possibile dall'attaccante", allora la risposta alla tua domanda è semplice ..... come essere sicuro al 100%: non prendere un'unità USB casuale sul street e inseriscilo nel tuo PC. A parte questo, non esiste una certezza del 100%.
n8te
6
Lanciarlo nel fuoco dovrebbe essere sicuro al 100%.
aroth,
2
Vuoi 1) ripulire lo stick per usarlo in modo sicuro in seguito, o 2) copiare qualsiasi dato da esso in modo sicuro senza innescare malware o "trappole" hardware su di esso, o 3) scoprire semplicemente se c'era davvero qualcosa di sospetto o no? Penso che le risposte a queste siano almeno leggermente diverse. La Q collegata da @KamilMaciorowski sembra essere circa (3).
ilkkachu,
2
@Mawg Anche se non penso che questa domanda sia necessariamente fuori tema per Super User , concordo sul fatto che valga la pena migrarla su Information Security .
Stevoisiak,
1
Cosa ti rende così sicuro che si tratta in realtà di un'unità USB? È un pezzo rettangolare di plastica con una spina USB - potrebbe letteralmente essere qualsiasi cosa che utilizza USB.
Tristan,

Risposte:

30

Non c'è modo di essere sicuri al 100% che l'USB sia sicuro e che non ospiterà malware anche se cancellato. (Se fossi così incline e avessi le conoscenze, un piccolo chip con malware, non attivo, con una levetta di dimensioni decenti con schifezze casuali - dopo X numero di cicli di accensione, cambia chip).

Dovresti essere molto cauto nel collegare qualsiasi chiave USB di origine sconosciuta al tuo sistema poiché i killer USB sono una cosa, e uccideranno la tua porta USB, e possibilmente il sistema - per aggirare questo potresti essere in grado di utilizzare un hub USB sacrificale.

Purtroppo la maggior parte delle chiavette USB sono economiche e facili da aprire - qualcuno con qualche abilità potrebbe facilmente sostituire l'interno di una senza indicazioni visibili esternamente.

davidgo
fonte
1
elie.net/blog/security/… parla di un attacco che fa sembrare l'USB una tastiera - questo attacco non sarebbe vanificato cancellando il disco poiché il cattivo payload non si presenta come disco.
davidgo,
3
mettere quello non attendibile in un frullatore e da uno nuovo di un fornitore fidato, è l'unico modo per essere sicuri.
maniaco del cricchetto,
8
@ratchetfreak A meno che l'unità non sia addizionata di antrace o qualcosa del genere e la fusione lo disperde nei polmoni: P 100% di certezza è una sciocchezza. Se trovi un disco flash con qualcosa di illegale, non deve contenere malware per causare un grande flusso di problemi, ad esempio; e la formattazione non eliminerebbe nemmeno i dati.
Luaan,
non hai bisogno di un altro chip, basta riprogrammare il controller che si trova nello stick - bunniestudios.com/blog/?p=3554
Pete Kirkham,
@davidgo Potresti vedere che è un dispositivo HID (tastiera) invece di un dispositivo MSC (unità) abbastanza facilmente però
endolith
7

Si assume che è contaminato.

Non puoi essere tradito se non c'è mai stata alcuna fiducia da tradire.

E non subirai danni se supponi che il danno sia ciò che accadrà e ti preparerai ad affrontarlo.

Rimuovere i dischi rigidi, disconnettersi dalla rete, utilizzare un'unità di avvio

Se sei intenzionato a esaminare questa unità USB e vuoi evitare il malware, puoi farlo prendendo un computer, rimuovendo tutti i suoi dischi rigidi, scollegandolo da tutte le reti (incluso WiFi) e quindi avviandolo utilizzando un'unità USB avviabile . Ora hai un computer che non può essere contaminato e che non può diffondere il contenuto dell'unità USB trovata.

Ormai è possibile montare l'unità USB trovata ed esaminarne il contenuto. Anche se è contaminato, l'unica cosa che il malware raggiunge è un computer "vuoto" con un sistema operativo che non ti interessa se viene comunque infettato.

Determina il tuo livello di paranoia

Si noti che anche questo non è del tutto "sicuro". Supponiamo che questo sia The Perfect Malware ™.

  • Se si avvia da un supporto scrivibile (chiavetta USB, CD / DVD scrivibile), anche questo può diventare contaminato se è scrivibile e rimane nel computer quando si inserisce l'unità USB contaminata.

  • Praticamente tutte le periferiche hanno un tipo di firmware che può essere aggiornato. I malware possono scegliere di nidificare lì.

  • Potresti finire con un BIOS danneggiato che compromette l'hardware per sempre anche dopo aver rimosso l'unità contaminata e spento.

Quindi, a meno che tu non sia disposto a buttare via tutto l'hardware in seguito, devi determinare quanto male vuoi esaminare questa chiavetta USB trovata e quale prezzo sei disposto a pagare per 1) rimanere al sicuro e 2) prendere le conseguenze se le cose cambiano fuori male?

Regola la tua paranoia a livelli ragionevoli in base ai rischi che sei disposto a correre.

MichaelK
fonte
3
Faresti meglio l'avvio da un DVD live piuttosto che dalla chiavetta USB. Altrimenti, una volta che si collega l'USB "sospetto", si ottengono due unità USB eventualmente contaminate. Avvio da un supporto di sola lettura.
Mokubai
3
@Mokubai Sicuramente ci sono immagini live che ti consentono di avviare e quindi rimuovere il supporto da cui hai avviato?
MichaelK,
11
Disconnettere la rete e tutte le unità non è sufficiente. C'è molto più spazio di archiviazione permanente all'interno del tuo computer, ad esempio EFI NVRAM, EFI Flash EEPROM, microcontrollore Flash EEPROM sulla tastiera e sul mouse, firmware Flash EEPROM sulla scheda grafica, microcodice della CPU e così via, e così via, e così via . Non penso che il malware che corregge il microcodice della CPU sia pubblicamente noto (il che, tuttavia, non significa che non esista), ma tutti gli altri sono stati almeno dimostrati e alcuni addirittura utilizzati attivamente negli attacchi. Non è sufficiente scollegare tutte le unità, in pratica è anche necessario ...
Jörg W Mittag,
9
... getta via il computer dopo.
Jörg W Mittag,
1
@MichaelKarnerfors potrebbe esserci, ma non hai menzionato la rimozione dell'USB da cui hai avviato. Sono d'accordo con Jörg, tuttavia, ci sono molti altri dispositivi di archiviazione non volatili oltre a quello da cui si avvia il computer.
Mokubai
4

Per quanto riguarda un hack hardware, uno specialista elettrico assurdamente avanzato con un obiettivo specifico potrebbe creare un circuito logico che controlla la tua esecuzione del software di pulizia, quindi inietta qualcosa nel computer host e nell'unità flash. Potrebbero anche essere in grado di rendere l'azionamento un po 'normale internamente, a un osservatore occasionale. Ricorda, teoricamente nulla è sicuro. La sicurezza si basa tutto sullo sforzo che le persone fanno per hackerarti e sullo sforzo che fai per fermarli.

matterny
fonte
1
pensato per te: la sicurezza si basa su livelli di protezione e sui tempi / costi / inconvenienti da implementare rispetto a tali livelli.
davidgo,
7
Non è necessario essere "specialisti elettrici assurdamente avanzati" per poterlo fare.
glglgl,
1

In termini di sicurezza, la risposta a qualsiasi domanda che contiene la frase "100%" è sempre un grosso NO .

La formattazione, la sovrascrittura, la cancellazione o qualsiasi altra cosa che puoi inventare non è sufficiente. Perché? Perché in tutti questi casi, devi sempre passare il bastone per farlo. Ma, se sono una chiavetta USB malvagia e mi dici di cancellarmi ... perché dovrei aderire? Potrei semplicemente fingere di essere occupato per un po 'e poi dirti "ho finito", senza aver mai fatto nulla.

Quindi, ad esempio, lo stick potrebbe semplicemente ignorare tutti i comandi di scrittura. Oppure, potrebbe eseguire i comandi di scrittura su un chip flash scratch, attendere la verifica che la scrittura abbia effettivamente cancellato tutto, quindi scambiare il chip flash reale . La chiavetta USB potrebbe contenere un hub USB e in realtà essere due unità, una delle quali viene inserita molto brevemente mentre si sta cancellando l'altra (che richiede molto tempo, e quindi è logico che tu debba lasciare il tuo computer e prendi un caffè o qualcosa del genere, in modo da non avere alcuna possibilità di notarlo).

Inoltre, l'unità USB potrebbe non essere nemmeno un'unità USB. Potrebbe essere una tastiera USB che digita in modo estremamente rapido alcuni comandi nel tuo computer. La maggior parte dei sistemi operativi non verifica l'identità delle tastiere collegate. (Sì, questo attacco esiste davvero nel mondo reale.)

Oppure, potrebbe essere un modem USB 3G ... e boom, il tuo computer è di nuovo collegato a una rete non protetta aperta.

Potrebbe non essere nemmeno un dispositivo USB. Potrebbe essere un microfono o una fotocamera e utilizzare semplicemente la porta USB per l'alimentazione.

Oppure, potrebbe non tentare di installare malware sul tuo computer, ma semplicemente mirare a distruggerlo, ad esempio inserendo 200 V sulle linee dati .

Jörg W Mittag
fonte
Potrebbe anche essere un'unità USB e una fotocamera / microfono / qualunque cosa - in modo che tutto sembri funzionare correttamente, nessun malware sull'unità ... mentre tutti i tuoi dati vengono lentamente crittografati: P USB è flessibile e la flessibilità non è è sempre una buona cosa ...
Luaan,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.