Как быть на 100% уверенным, что USB-накопитель не был подделан и не имеет вредоносного ПО?

4308
Norbert

Скажем, вы нашли USB-накопитель на улице и хотите быть на 100% уверены, что он не был подделан ни программным обеспечением, ни модификацией его оборудования (добавлением или изменением компонентов и т. Д.), Так что нет риска вредоносные программы.

Достаточно ли полного форматирования, чтобы быть на 100% уверенным, что вредоносных программ не осталось? Если да, достаточно ли для этого полного форматирования с помощью стандартного медленного процесса из Дисковой утилиты в Tails 3.2?

Получите максимально возможную техническую способность от атакующего. Не только разумные или правдоподобные сценарии.

18
Если ваш вопрос заключается в том, чтобы «получить от атакующего максимально возможную техническую возможность», тогда ответ на ваш вопрос прост ... как быть на 100% уверенным: _не выбирайте случайный USB-накопитель на улица и вставьте его в свой компьютер. Кроме этого нет такой вещи как 100% -ая уверенность. n8te 6 лет назад 40
Бросать его в огонь нужно на все 100%. aroth 6 лет назад 6
Вы хотите: 1) очистить флешку, чтобы потом безопасно ее использовать, _ или _ 2) безопасно скопировать с нее любые данные, не вызывая на ней никаких вредоносных или аппаратных «ловушек», _ или 3) просто выяснить, действительно ли было что-то подозрительное на это или нет? Я думаю, что ответы на них, по крайней мере, немного отличаются. Вопрос, связанный @KamilMaciorowski, кажется, о (3). ilkkachu 6 лет назад 2
@ n8te Как вы можете быть уверены, что на нем нет вредоносных программ? Если мы с тобой идем по улице, и мы заметим это, а ты не поднимешь это, тогда я смогу получить это безопасно? Следуя своей логике, вы будете на 100% уверены, что на ней нет вредоносных программ. RyanfaeScotland 6 лет назад 0
Вы должны были задать этот вопрос на https://security.stackexchange.com/ Mawg 6 лет назад 0
Предложить обратный инжиниринг следов с помощью электронного микроскопа. Помните, что тестирование может быть разрушительным. И да, информационная безопасность - лучшее место, чтобы спросить. Alpha3031 6 лет назад 0
@Mawg Хотя я не думаю, что этот вопрос не является темой для [su], я согласен, что, возможно, стоит перенести его на [security.se]. Steven M. Vascellaro 6 лет назад 2
Вот где тусуются эксперты ;-) Серьезно, мы покрываем всю гамму здесь. Если такой вопрос касается ниши X, а у SE есть специальный сайт X, то технический ответ на специализированном сайте, вероятно, но не гарантированно будет лучше, чем на универсальном сайте. С другой стороны, сайт общего профиля, вероятно, получит больше просмотров, и большинство из нас часто посещают несколько сайтов. Это закрытый вызов / как долго это кусок строки? Mawg 6 лет назад 0
Почему вы так уверены, что это на самом деле USB-накопитель? Это прямоугольный кусок пластика с USB-разъемом на нем - это может быть буквально все, что использует USB. Tristan 6 лет назад 1
@StevenVascellaro вопроса находится по теме на сайте SE, где первоначально размещалось, соглашение гласит, что мы не переносим его, даже если это было бы по теме в другом месте. Twisty Impersonator 6 лет назад 0

4 ответа на вопрос

30
davidgo

Невозможно быть на 100% уверенным, что USB безопасен, и что он не будет содержать вредоносных программ, даже если он будет стерт. (Если бы я был таким образом склонен и знал, что это небольшая микросхема с вредоносным ПО, неактивная, с приличным размером флешки со случайным дерьмом - после X циклов питания включите микросхему).

Вы должны быть очень осторожны при подключении любого USB-ключа неизвестного происхождения к вашей системе, так как USB-убийцы - вещь, которая убьет ваш USB-порт и, возможно, систему - чтобы обойти это, вы можете использовать жертвенный USB-концентратор.

К сожалению, большинство USB-флешек дешевы и их легко открыть - кто-то, обладающий какими-то навыками, может легко заменить его внутреннюю часть без видимых внешних признаков.

https://www.elie.net/blog/security/what-are-malicious-usb-keys-and-how-to-create-a-realistic-one рассказывает об атаке, которая делает USB похожим на клавиатуру - эта атака не будет предотвращена, если вытереть диск, поскольку неприятная полезная нагрузка не будет отображаться как диск. davidgo 6 лет назад 1
положить ненадежного в блендер и новый от надежного поставщика, это единственный способ быть уверенным. ratchet freak 6 лет назад 3
@ratchetfreak Если на диске нет сибирской язвы или чего-то подобного, а смесь смешивает его с легкими: P 100% -ная уверенность - это нонсенс. Если вы обнаружите флеш-диск с чем-то нелегальным, то он не должен содержать вредоносное ПО, чтобы, например, доставить вам немало хлопот; и форматирование не удалит данные. Luaan 6 лет назад 8
вам не нужен другой чип, просто перепрограммируйте контроллер, который находится в флешке - https://www.bunniestudios.com/blog/?p=3554 Pete Kirkham 6 лет назад 0
@davidgo Вы можете видеть, что это устройство HID (клавиатура) вместо устройства (диска) MSC, хотя довольно легко endolith 6 лет назад 0
+1 за указание на то, что есть вещи, которые выглядят как USB-флешки, но не являются (убийцы, замаскированные устройства HID). Даже если они не содержат вредоносных программ (например, если они вообще не являются носителями данных), они все равно могут быть очень вредоносными. TuringTux 6 лет назад 0
7
MichaelK

Вы предполагаете, что это испорчено.

Вы не можете быть преданы, если никогда не было никакого доверия, которое будет предано.

И вы не понесете вреда, если будете считать, что вред - это то, что произойдет, и подготовитесь к нему.

Извлекайте жесткие диски, отключайтесь от сети, используйте загрузочный диск

Если вам не терпится изучить этот USB-накопитель и вы хотите избежать вредоносного ПО, вы можете сделать это, взяв компьютер, вынув все его жесткие диски, отключив его от всех сетей (включая WiFi), а затем загрузив его с помощью загрузочного USB-накопителя., Теперь у вас есть компьютер, который не может быть испорчен и который не может распространять содержимое найденного USB-накопителя.

Теперь вы можете смонтировать найденный USB-накопитель и проверить его содержимое. Даже если он испорчен, единственное, что достигает вредоносное ПО, - это «пустой» компьютер с ОС, который вас не волнует, если он все равно заразится.

Определите свой уровень паранойи

Обратите внимание, что даже это не совсем «безопасно». Предположим, что это The Perfect Malware ™.

  • Если вы загружаетесь с записываемого носителя (USB-накопитель, записываемый CD / DVD), то он также может стать испорченным, если он доступен для записи и останется в компьютере при вставке испорченного USB-накопителя.

  • Практически все периферийные устройства имеют какую-то прошивку, которую можно обновить. Вредоносные программы могут выбрать гнездо там.

  • Вы можете получить поврежденный BIOS, который навсегда скомпрометирует аппаратное обеспечение, даже после того, как вы удалили испорченный диск и выключили его.

Поэтому, если вы не готовы выбросить все оборудование после этого, вам необходимо определить, насколько сильно вы хотите проверить эту найденную флешку и какую цену вы готовы заплатить: 1) оставаться в безопасности и 2) принимать последствия, если что-то изменится плохо?

Приспособьте свою паранойю к разумным уровням согласно тем рискам, которые вы готовы принять.

Вам лучше загружаться с Live DVD, а не с USB-накопителя. В противном случае, как только вы подключите «подозрительный» USB, вы получите _two_ возможно испорченные USB-накопители. Загрузка с носителя только для чтения. Mokubai 6 лет назад 3
@Mokubai Конечно, есть живые образы, которые позволяют вам загрузиться, а затем удалить носитель, с которого вы загрузились? MichaelK 6 лет назад 3
Отключение сети и всех дисков недостаточно. Внутри вашего компьютера гораздо больше постоянного хранилища, например, EFI NVRAM, EFI Flash EEPROM, Flash EEPROM микроконтроллера на клавиатуре и мыши, прошивка Flash EEPROM на вашей видеокарте, микрокод процессора и т. Д. И т. Д. И т. Д. , Я не думаю, что вредоносная программа, которая исправляет микрокод процессора, является общеизвестной (что, однако, не означает, что она не существует), но все остальные, по крайней мере, были продемонстрированы, а некоторые даже активно использовались в атаках. Недостаточно отключить все диски, вам также нужно в основном ... Jörg W Mittag 6 лет назад 11
... выбросить компьютер потом. Jörg W Mittag 6 лет назад 9
@MichaelKarnerfors может быть, но вы не упомянули об удалении USB, с которого вы загрузились. Я согласен с Йоргом, однако, существует много других энергонезависимых устройств хранения данных, кроме того, с которого вы загружаетесь в компьютер. Mokubai 6 лет назад 1
+1 за реальные способы улучшить ситуацию, а не просто «не делай этого». Fabian Röling 6 лет назад 0
@Fabian: Я не уверен, что * не *, говоря "не делай этого", улучшает ситуацию. * Возможно * могут быть способы сделать это безопасно, но, честно говоря, тот, кто сможет выполнить эту операцию безопасно, не будет спрашивать [su], он будет участником с золотым значком на [security.se]. Jörg W Mittag 6 лет назад 0
Я сказал «вместо ** просто ** сказать« не делай этого »», потому что он сказал: «Обратите внимание, что даже это не совсем« безопасно »». Это не было бы хорошим ответом, если бы он просто сделал вид, что все будет хорошо, если вы будете делать то, что он говорит, но по крайней мере он не останавливается на «Это не очень хорошая идея, поэтому я не буду давать подсказки, чтобы сделать это менее опасный. " Он по-прежнему говорит, что в худшем случае у вас есть кусок металлолома вместо ПК, но с его советами, по крайней мере, можно попробовать флешку, не заражая вашу сеть, ваши диски, ваши важные данные, все интервебз или что угодно. Fabian Röling 6 лет назад 0
@ JörgWMittag, я полагаю, можно создать нестандартное оборудование без перепрограммируемой памяти для работы в качестве USB-хоста для безопасного копирования данных с диска на менее подозрительный носитель, если это необходимо. Какой-то микроконтроллер может сделать для начала. ilkkachu 6 лет назад 1
@ilkkachu возможно, но стоит ли усилий? Даже если вы являетесь участником Золотого жетона в InfoSec, все равно будет проще просто удалить его и получить новый, гораздо менее подозрительный. Baldrickk 6 лет назад 0
@ Baldrickk, о, конечно, если вы хотите использовать палку. Но если вы хотите, чтобы данные на флешке не подвергались воздействию вашего компьютера, и предполагали, что угроза, которая была бы достаточно серьезной для нацеливания прошивки на указанном компьютере, придет в качестве обходного пути. ilkkachu 6 лет назад 0
4
matterny

Что касается аппаратного взлома, то нелепо продвинутый специалист по электротехнике с определенной целью может создать логическую схему, которая проверяет, завершил ли вы запуск вашей программы очистки, а затем внедрила что-то в хост-компьютер и флэш-накопитель. Они могут даже сделать так, чтобы диск выглядел несколько нормально внутри, для случайного наблюдателя. Просто помните, теоретически ничто не безопасно. Безопасность основывается на усилиях, предпринимаемых людьми, чтобы взломать вас, и усилиях, которые вы прикладываете, чтобы их остановить.

Мысль за вами - безопасность основана на уровнях защиты, а время / затраты / неудобства для реализации против разрушения этих уровней. davidgo 6 лет назад 1
Вам не нужно быть "абсурдно продвинутым специалистом по электротехнике", чтобы это делать. glglgl 6 лет назад 7
1
Jörg W Mittag

В безопасности, ответ на любой вопрос, который содержит фразу «100%», всегда является большим жирным НЕТ .

Простого форматирования, перезаписи, стирания или чего-либо еще, что вы можете придумать, недостаточно. Зачем? Потому что во всех этих случаях вам всегда нужно пройти через палку, чтобы сделать это. Но, если я злая флешка, и вы говорите мне стереть себя ... зачем мне подчиняться? Я мог бы просто притвориться, что был занят некоторое время, а затем сказать вам: «Я закончил», даже не сделав ничего на самом деле.

Так, например, флешка может просто игнорировать все команды записи. Или он может выполнить команды записи на чистом флеш-чипе, подождать, пока вы убедитесь, что запись действительно стерла все, а затем заменить реальный флеш-чип. Флэш-накопитель USB может содержать концентратор USB и фактически представлять собой два диска, один из которых вставляется очень коротко, пока вы стираете другой (что занимает много времени, и, таким образом, очевидно, что вы собираетесь покинуть компьютер и возьмите кофе или что-то в этом роде, чтобы у вас не было возможности это заметить).

Кроме того, USB-накопитель может даже не быть USB-накопителем вообще. Это может быть клавиатура USB, которая очень быстро вводит некоторые команды в ваш компьютер. Большинство операционных систем не проверяют подлинность подключенных клавиатур. (Да, эта атака действительно на самом деле существует в реальном мире.)

Или это может быть модем USB 3G ... и еще раз, ваш компьютер снова подключен к незащищенной сети.

Это может быть даже не устройство USB. Это может быть микрофон или камера, и просто используйте USB-порт для питания.

Или, возможно, он не пытается установить вредоносное ПО на ваш компьютер, а просто стремится уничтожить его, например, поставив 200 В на линии данных .

Это также может быть USB-накопитель * и * камера / микрофон / что угодно - чтобы все казалось работающим нормально, на диске не было вредоносного ПО ... пока все ваши данные медленно шифруются: P USB является гибким, и гибкость не всегда хорошая вещь ... Luaan 6 лет назад 0

Похожие вопросы