Qual è il pericolo di inserire e sfogliare un'unità USB non affidabile?

132

Supponiamo che qualcuno voglia che io copi alcuni file sulla sua chiavetta USB. Sto eseguendo Windows 7 x64 completamente con patch con AutoRun disabilitato (tramite Criteri di gruppo). Inserisco l'unità USB, la apro in Esplora risorse e vi copio alcuni file. Non eseguo né visualizzo nessuno dei file esistenti. Quali cose brutte potrebbero accadere se lo faccio?

E se lo facessi in Linux (diciamo, Ubuntu)?

Si prega di notare che sto cercando i dettagli di rischi specifici (se presenti), non "sarebbe più sicuro se non lo fai".

windows-7  linux  security  usb-flash-drive  autorun 
EM0
fonte
6
È improbabile che guardare un elenco di directory sia un rischio. L'apertura di un PDF dannoso in una vecchia versione senza patch di Adobe Reader potrebbe rappresentare un grosso rischio. In alcuni casi anche un'anteprima dell'immagine o l'icona di un file potrebbero contenere un exploit.
david25272,
12
@ david25272, anche guardare un elenco di directory potrebbe essere un rischio .
Tangrs
5
È un po 'come entrare in un ascensore con uno sconosciuto, il più delle volte stai bene, ma se lo straniero è anche noto come Annibale Lecter ...
Patrick,
59
Potresti rompere la tua centrifuga di uranio en.wikipedia.org/wiki/Stuxnet
RyanS
1
@tangrs, è un ottimo esempio del tipo di cosa che stavo cercando. Perché non pubblicarlo come risposta?
EM0

Risposte:

45

Meno sorprendentemente, il browser dei file della GUI esplora in genere i file per creare miniature. Qualsiasi exploit basato su pdf, basato su ttf (inserire qui il tipo di file compatibile con turing) che funziona sul tuo sistema potrebbe potenzialmente essere lanciato passivamente rilasciando il file e aspettando che venga scansionato dal renderer delle miniature. La maggior parte degli exploit che conosco sono per Windows, tuttavia, ma non sottovalutare gli aggiornamenti per libjpeg.

sylvainulg
fonte
1
Questa è una possibilità, quindi +1. Windows Explorer (o Nautilus) lo fa anche se non visualizzi mai le anteprime?
EM0
1
@EM Potrebbe accadere - le versioni recenti di explorer potrebbero, ad esempio, costruire miniature in sottocartelle per le icone delle cartelle graziose nella radice, anche se quelle sottocartelle non sono impostate per non mostrare mai le anteprime.
Tynam,
O forse non provare a mostrare le anteprime, ma piuttosto una sorta di metadati
Quel ragazzo brasiliano,
1
Questo non è specifico per un filesystem montato su USB. Se un browser di file presenta una vulnerabilità, potrebbe essere attivato da file scaricati sul computer in altri modi, ad esempio allegati e-mail o download tramite browser.
HRJ
186

Il peggio che può accadere è limitato solo dall'immaginazione dell'attaccante. Se stai per essere paranoico, collegare fisicamente praticamente qualsiasi dispositivo al tuo sistema significa che può essere compromesso. Doppiamente se quel dispositivo sembra una semplice chiavetta USB.

E se fosse questo? inserisci qui la descrizione dell'immagine

Nella foto sopra è la famigerata paperella di gomma USB , un piccolo dispositivo che assomiglia a una normale pen drive ma che può fornire tasti arbitrari al tuo computer. Fondamentalmente, può fare quello che vuole perché si registra come una tastiera e quindi inserisce la sequenza di tasti che desidera. Con quel tipo di accesso, può fare ogni sorta di cose brutte (e questo è solo il primo successo che ho trovato su Google). La cosa è programmabile, quindi il cielo è il limite.

terdon
fonte
11
Bello, +1! Nello scenario che avevo in mente, la chiavetta USB è nota per essere un vero dispositivo di archiviazione e mi fido della persona che mi ha dato di non infettare in modo dannoso il mio computer. (Sono principalmente preoccupato che possano essere loro stessi vittime di un virus.) Ma questo è un attacco interessante che non avevo considerato. Suppongo che con un emulatore di tastiera come questo probabilmente noterei qualcosa di strano, ma potrebbero esserci modi più
furtivi
3
Approvo questa risposta. Fa pensare all'OP :)
steve
31
+1 "Il peggio che può accadere è limitato solo dall'immaginazione dell'attaccante."
Newb
9
Hak5 - sembra legittimo!
david25272
5
Apparentemente il protocollo di connessione USB è abbastanza simile al vecchio protocollo di porta PS / 2, motivo per cui l'USB è comunemente usato per mouse e tastiere. (Potrei sbagliarmi ovviamente - sto scavando questo dalla mia memoria, che presenta una compressione per lo più con perdita)
Pharap
38

Un altro pericolo è che Linux tenterà di montare qualsiasi cosa (scherzo soppresso qui) .

Alcuni driver del file system non sono privi di bug. Ciò significa che un hacker potrebbe potenzialmente trovare un bug in, diciamo, squashfs, minix, befs, cramfs o udf. Quindi quell'hacker potrebbe creare un file system che sfrutta quel bug per assumere un kernel Linux e inserirlo in un'unità USB.

Ciò potrebbe teoricamente succedere anche a Windows. Un bug nel driver FAT o NTFS o CDFS o UDF potrebbe aprire Windows a un'acquisizione.

Zan Lynx
fonte
+1 Sarebbe un exploit pulito e del tutto possibile
steve
17
C'è un intero livello più in basso. Non solo i file system hanno dei bug, ma l' intero stack USB ha dei bug e molti di questi vengono eseguiti nel kernel.
Nome falso
4
E anche il firmware del controller USB potrebbe presentare punti deboli che potrebbero essere sfruttati. C'è stato un exploit di crash in Windows con una chiavetta USB solo a livello di enumerazione dei dispositivi .
sylvainulg,
7
Per quanto riguarda "Linux che prova a montare qualcosa", questo non è il comportamento predefinito del sistema, ma è collegato al tuo esploratore di file che tenta in modo proattivo di montare. Sono sicuro che le manpage di spelunking potrebbero svelare come disattivarlo e tornare a "montare solo su richiesta".
sylvainulg,
5
Sia Linux che Windows provano a montare tutto. L'unica differenza è che Linux potrebbe effettivamente avere successo. Questa non è una debolezza del sistema ma una forza.
terdon,
28

Esistono diversi pacchetti di sicurezza che mi consentono di impostare uno script di esecuzione automatica per Linux o Windows, eseguendo automaticamente il mio malware non appena lo si collega. È meglio non collegare dispositivi di cui non ti fidi!

Tieni presente che posso collegare software dannoso praticamente a qualsiasi tipo di eseguibile che desidero e praticamente a qualsiasi sistema operativo. Con l'autorun disabilitato DOVREBBE essere al sicuro, ma DI NUOVO, non mi fido dei dispositivi di cui sono anche un po 'scettico.

Per un esempio di cosa può fare questo, controlla The Social-Engineer Toolkit (SET) .

L'unico modo per essere veramente al sicuro è avviare una distribuzione Linux live, con il disco rigido scollegato. E montare l'unità USB e dare un'occhiata. A parte questo, stai lanciando i dadi.

Come suggerito di seguito, è necessario disabilitare la rete. Non aiuta se il disco rigido è sicuro e l'intera rete viene compromessa. :)

steve
fonte
3
Anche se AutoRun è disabilitato, esistono ancora degli exploit che sfruttano determinate verità. Naturalmente ci sono modi migliori per infettare un computer Windows. È consigliabile eseguire la scansione di unità flash sconosciute su hardware dedotto a tale attività, che viene cancellata quotidianamente e ripristinata a una configurazione nota se riavviata.
Ramhound,
2
Per il tuo suggerimento finale, potresti voler includere anche la disconnessione della rete, se l'istanza di Live CD viene infettata, potrebbe infettare altre macchine sulla rete per un punto di appoggio più persistente.
Scott Chamberlain,
6
Ramhound, mi piacerebbe vedere esempi degli exploit che hai citato (presumibilmente patchato ora!) Potresti postarne alcuni come risposta?
EM0
5
@EM, qualche tempo fa c'era un exploit zero-day che sfruttava una vulnerabilità nel modo in cui l'icona veniva visualizzata in un file di collegamento (file .lnk). Basta aprire la cartella contenente il file di scelta rapida per attivare il codice exploit. Un hacker avrebbe potuto facilmente inserire un tale file nella radice dell'unità USB, quindi quando lo aprivi, il codice di exploit verrebbe eseguito.
Tangrs
4
> L'UNICO modo per essere veramente sicuri è quello di avviare una distribuzione Linux live, con il disco rigido scollegato ... - No, un software canaglia può anche infettare il firmware. Al giorno d'oggi sono molto mal protetti.
Sarge Borsch,
23

La chiavetta USB potrebbe in realtà essere un condensatore molto carico ... Non sono sicuro che le moderne schede madri abbiano una protezione da tali sorprese, ma non la controllerei sul mio laptop. (potrebbe bruciare tutti i dispositivi, teoricamente)

Aggiornare:

vedi questa risposta: https://security.stackexchange.com/a/102915/28765

e video da esso: YouTube: test USB Killer v2.0.

Sarge Borsch
fonte
3
Si lo fanno. Quasi tutti hanno piccoli fusibili ripristinabili. Ho trovato questo electronics.stackexchange.com/questions/66507/… molto interessante.
Zan Lynx,
Questo video fa male alla mia anima.
k.stm
6

Alcuni malware / virus vengono attivati ​​quando apriamo una cartella. L'hacker può utilizzare la funzione di Windows (o Linux con Wine ) che inizia a creare un'icona / miniatura di alcuni file (ad esempio file .exe, .msi o .pif o persino cartelle con un'icona malware) all'apertura di un cartella. L'hacker trova un bug nei programmi (come il programma che crea una miniatura) per consentire al malware di entrare in azione.

Alcuni dispositivi difettosi possono uccidere il tuo hardware , in particolare la scheda madre, e il più delle volte in silenzio, quindi potresti non esserne consapevole.

totti
fonte
5

Apparentemente un semplice dispositivo USB può persino friggere l'intera scheda madre:

Un ricercatore di sicurezza russo noto come "Dark Purple" ha creato una chiavetta USB che contiene un carico utile insolito.

Non installa malware né sfrutta una vulnerabilità zero-day. Invece, la chiavetta USB personalizzata invia 220 Volt (tecnicamente meno 220 Volt) attraverso le linee di segnale dell'interfaccia USB, friggendo l'hardware.

https://grahamcluley.com/2015/10/usb-killer/

EM0
fonte
3

La cosa peggiore che potrebbe accadere è la famigerata infezione da BadBios . Ciò presumibilmente infetta il controller host USB collegandolo al computer indipendentemente dal sistema operativo. Esiste una gamma limitata di produttori di chip USB e quindi sfruttarli tutti non è troppo inverosimile.

Ovviamente non tutti credono che BadBios sia reale, ma è la cosa peggiore che potrebbe accadere al tuo computer collegando un'unità USB.

tacca
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.