Bagaimana cara menyelidiki dengan aman tongkat USB yang ditemukan di tempat parkir di tempat kerja?

Saya bekerja di perusahaan perangkat lunak tertanam. Pagi ini saya menemukan stik USB di tempat parkir di depan gedung. Dengan semua cerita tentang "menjatuhkan serangan tongkat USB" dalam pikiran, saya jelas tidak akan cukup mencolokkannya ke laptop saya. OTOH, saya penasaran ingin tahu apakah ini sebenarnya upaya untuk mengkompromikan sistem kami, atau itu sebenarnya hanya kasus seseorang yang tidak sengaja kehilangan USB stick. Bagaimana cara saya memeriksa tongkat USB dengan aman tanpa risiko terpapar?

Saya khawatir bukan hanya tentang malware dan gambar sistem file yang dibuat; ada juga hal-hal seperti serangan lonjakan listrik:
'USB Killer 2.0' Menunjukkan Bahwa Sebagian Besar Perangkat Yang Diaktifkan USB Rentan Terhadap Serangan Power Surge .

Sunting: Banyak jawaban yang sepertinya berasumsi saya ingin menyimpan drive dan menggunakannya setelahnya. Saya tidak tertarik sama sekali, saya tahu USB stick itu murah, dan toh itu bukan milik saya. Saya hanya ingin tahu apakah ini memang serangan semi-target, sebagian karena penasaran apakah ini benar-benar terjadi dalam kehidupan nyata dan tidak hanya di surat-surat keamanan, tetapi juga agar saya bisa memperingatkan rekan kerja saya.

Saya ingin tahu bagaimana saya mengetahui apakah stik berisi malware. Dan itu bukan hanya masalah melihat isi drive dan melihat autorun.inf yang mencurigakan atau sistem file korup yang dibuat dengan hati-hati - Saya juga sangat menginginkan cara untuk memeriksa firmware. Saya semacam berharap bahwa ada alat untuk mengekstraksi itu dan membandingkannya dengan biner yang dikenal baik atau buruk.

Jika Anda tidak ingin menggunakannya tetapi penasaran - Saya benar-benar akan mulai dengan membuka tutup case (sangat hati-hati) dan melihat chip di dalamnya.

Aku tahu. Ini kedengarannya gila, tetapi kehadiran pengontrol yang dapat diidentifikasi dan chip flash akan membuatnya lebih mungkin itu adalah drive USB yang sebenarnya daripada sesuatu seperti bebek karet USB atau pembunuh USB.

Kemudian lakukan apa yang orang lain sarankan dan mengujinya pada instalasi sekali pakai, jalankan beberapa pemindai virus yang dapat di-boot juga, maka jika Anda yakin itu aman, bersihkan.

PULUHAN

Distribusi keamanan yang baik untuk menguji flash drive USB yang mencurigakan yang Anda temukan di tempat parkir adalah Trusted End Node Security (TENS), yang sebelumnya disebut Lightweight Portable Security (LPS), distribusi keamanan Linux yang berjalan sepenuhnya dari RAM ketika di-boot dari sebuah USB flash drive yang dapat di-boot. TENS Public mengubah sistem yang tidak dipercaya (seperti komputer di rumah) menjadi klien jaringan tepercaya. Tidak ada jejak aktivitas kerja (atau malware) yang dapat ditulis ke hard drive komputer lokal.

Selain fitur keamanan TENS memiliki tujuan lain yang bermanfaat. Karena sepenuhnya berjalan dari RAM, TENS dapat boot di hampir semua perangkat keras. Ini membuatnya berguna untuk menguji port USB komputer yang tidak dapat mem-boot sebagian besar gambar USB ISO langsung yang dapat di-boot.

USBGuard

Jika Anda menggunakan Linux, kerangka kerja perangkat lunak USBGuard membantu melindungi komputer Anda dari perangkat USB jahat dengan menerapkan kemampuan daftar putih dan daftar hitam dasar berdasarkan atribut perangkat. Untuk menegakkan kebijakan yang ditentukan pengguna, ia menggunakan fitur otorisasi perangkat USB yang diterapkan di kernel Linux sejak 2007.

Secara default, USBGuard memblokir semua perangkat dan perangkat yang baru terhubung sebelum daemon startup dibiarkan apa adanya.

Cara cepat untuk mulai menggunakan USBGuard untuk melindungi sistem Anda dari serangan USB adalah dengan terlebih dahulu membuat kebijakan untuk sistem Anda. Kemudian, mulailah usbguard-daemon dengan perintah sudo systemctl start usbguard.service. Anda dapat menggunakan usbguardperintah antarmuka baris perintah dan generate-policysub -perintahnya ( usbguard generate-policy) untuk menghasilkan kebijakan awal untuk sistem Anda alih-alih menulisnya dari awal. Alat ini menghasilkan kebijakan izin untuk semua perangkat yang saat ini terhubung ke sistem Anda pada saat eksekusi. ¹

fitur

• Bahasa aturan untuk menulis kebijakan otorisasi perangkat USB
• Komponen Daemon dengan antarmuka IPC untuk interaksi dinamis dan penegakan kebijakan
• Baris perintah dan antarmuka GUI untuk berinteraksi dengan instance USBGuard yang sedang berjalan
• C ++ API untuk berinteraksi dengan komponen daemon diimplementasikan di perpustakaan bersama

¹ _{Direvisi dari: Perlindungan bawaan terhadap serangan keamanan USB dengan USBGuard}

Instalasi

USBGuard diinstal secara default di RHEL 7.

Untuk menginstal USBGuard di Ubuntu 17.04 dan yang lebih baru, buka terminal dan ketik:

sudo apt install usbguard  

Untuk menginstal USBGuard di Fedora 25 dan yang lebih baru, buka terminal dan ketik:

sudo dnf install usbguard   

Untuk menginstal USBGuard di CentOS 7 dan yang lebih baru, buka terminal dan ketik:

sudo yum install usbguard  

kompilasi dari sumber USBGuard memerlukan instalasi beberapa paket lain sebagai dependensi.

Ada berbagai pendekatan, tetapi jika tongkat itu memiliki firmware tertanam malware itu benar-benar sangat berbahaya.

Salah satu pendekatan mungkin dengan mengunduh salah satu dari banyak distro LiveCD Linux, cabut semua hard drive dan koneksi jaringan, dan kemudian lihatlah.

Saya pikir meskipun saya akan merekomendasikan mengeluarkan laptop lama dari lemari, memasukkannya ke dalamnya dan kemudian memukulnya dengan palu besar.

Pendekatan terbaik - Jangan penasaran! :)

Jangan. Buang mereka ke tempat sampah, atau yang Hilang / Ditemukan dengan stempel waktu. Stik USB murah, jauh lebih murah daripada waktu yang dihabiskan untuk membersihkan dari malware atau sabotase fisik. Ada stik USB di luar sana yang akan menyimpan muatan dalam kapasitor, dan tiba-tiba keluar ke PC Anda, merusaknya.

Utas ini dikaitkan dengan saya menemukan dua tongkat usb di tanah. Sekarang apa? . Utas lainnya mencakup beberapa pertimbangan non-teknis seperti jawaban innaM, yang menunjukkan bahwa isinya bukan urusan Anda dan Anda cukup menyerahkannya untuk dikembalikan ke pemilik, dan jawaban Mike Chess, yang menyebutkan bahwa drive tersebut dapat berisi pemerintah rahasia, dokumen teroris, data yang digunakan dalam pencurian identitas, pornografi anak, dll., yang dapat membuat Anda dalam masalah karena memilikinya dalam kepemilikan Anda.

Jawaban lain di kedua utas membahas cara melindungi diri Anda dari malware sambil menjelajahi konten, tetapi jawaban itu tidak akan melindungi Anda dari "USB pembunuh", titik kunci yang diajukan dalam pertanyaan ini. Saya tidak akan mengulangi apa yang tercakup dalam jawaban lain, tetapi cukup untuk mengatakan bahwa semua saran tentang melindungi diri Anda dari malware (termasuk bebek karet, yang menyuntikkan keystrokes), berlaku.

Nilai dan Nama Merek

Tapi saya akan mulai dengan poin Christopher Hostage tentang flash drive yang terlalu murah untuk sebanding dengan risiko dan risiko. Jika drive tidak diklaim oleh pemiliknya, dan setelah mempertimbangkan semua peringatan, Anda memutuskan bahwa Anda hanya perlu mencoba membuatnya aman dan dapat digunakan, mulailah dengan mempertimbangkan nilai drive. Jika kapasitasnya rendah, kecepatan standar, tanpa drive nama yang umurnya tidak diketahui, Anda bisa menggantinya dengan yang baru dengan harga beberapa dolar. Anda tidak tahu sisa kehidupan dalam perjalanan. Bahkan jika Anda mengembalikannya ke kondisi "segar", dapatkah Anda mempercayai keandalannya atau sisa masa pakai?

Yang membawa kita ke kasus drive yang tidak diklaim yang secara resmi milik Anda, dan:

• itu adalah kapasitas tinggi, kecepatan tinggi, drive nama merek keandalan dan kinerja yang diakui,
• tampaknya berada dalam kondisi baru, mungkin produk yang baru dirilis sehingga Anda tahu itu tidak bisa sangat lama.

Salah satu poin dari kriteria ini adalah bahwa drive sebenarnya bisa bernilai lebih dari jumlah yang sepele. Tetapi rekomendasi saya tidak akan mengacaukan hal lain karena alasan kedua. Seperti yang ditunjukkan Journeyman Geek dalam komentar, bebek karet dan pembunuh USB datang dalam paket yang sama. Kemasan nama merek sulit dipalsukan tanpa peralatan mahal, dan merusak paket nama merek dengan cara yang tidak terdeteksi sulit. Jadi membatasi diri Anda dengan familiar, drive merek menawarkan sedikit perlindungan dalam dirinya sendiri.

Koneksi Aman

Pertanyaan pertama adalah bagaimana Anda bisa menghubungkannya secara fisik ke sistem Anda dengan aman jika itu bisa menjadi USB pembunuh, dan itulah yang akan saya fokuskan.

Inspeksi Berkendara

• Petunjuk pertama adalah drive itu sendiri. Ada gaya miniatur yang pada dasarnya adalah konektor USB plus hanya cukup plastik untuk memiliki sesuatu untuk masuk dan keluar. Gaya itu mungkin aman, terutama jika plastik memiliki nama merek di atasnya.

• Drive gaya flip sangat populer untuk bebek karet, jadi berhati-hatilah dengan mereka.

• Jika ini adalah drive standar ukuran jempol yang cukup besar untuk menampung perangkat pembunuh, periksalah case untuk tanda-tanda bahwa itu palsu atau telah dirusak. Jika case asli, berlabel merek, akan sulit untuk merusaknya tanpa meninggalkan tanda-tanda yang akan terlihat dengan pembesaran.

Isolasi listrik

• Langkah selanjutnya adalah mengisolasi drive dari sistem Anda. Gunakan hub USB murah yang bersedia Anda korbankan untuk nilai potensial dari thumb drive. Bahkan lebih baik, rantai daisy beberapa hub. Hub akan menyediakan beberapa tingkat isolasi listrik yang dapat melindungi komputer Anda yang sangat mahal dari drive USB pembunuh gratis yang "wajib dimiliki".

  Peringatan: Saya belum menguji ini dan tidak memiliki cara untuk mengetahui tingkat keamanan yang akan diberikan. Tetapi jika Anda akan mengambil risiko sistem Anda, itu mungkin meminimalkan kerusakan itu.

Seperti yang disarankan LPChip dalam komentar pada pertanyaan, satu-satunya cara "aman" untuk mengujinya adalah menggunakan sistem yang Anda anggap sekali pakai. Bahkan kemudian, pertimbangkan bahwa hampir semua komputer yang bekerja memiliki potensi untuk berguna. Komputer kuno yang kekurangan daya dapat dimuat dengan distro Linux yang ringan dan tahan memori dan memberikan kinerja yang luar biasa untuk tugas-tugas rutin. Kecuali jika Anda mengambil komputer dari tempat sampah untuk menguji flash drive, timbang nilai komputer yang bekerja dengan nilai drive yang tidak dikenal.

Pertanyaannya telah diklarifikasi untuk menggambarkan tujuan sebagai menginvestigasi drive USB daripada sekadar mengidentifikasi pemiliknya atau menggunakannya kembali. Ini adalah pertanyaan yang sangat luas, tetapi saya akan mencoba membahasnya secara umum.

Apa masalahnya?

• A "USB pembunuh". Desain sekarang dari genre ini memompa tegangan tinggi melalui port USB untuk menggoreng komputer Anda.
• Elektronik kustom bersembunyi di paket flash drive. Ini bisa melakukan apa saja yang dapat ditemukan oleh perancang. Desain yang umum digunakan adalah bebek karet, yang mensimulasikan keyboard untuk menyuntikkan apa pun yang dapat Anda lakukan dari keyboard.
• Flash drive dengan firmware yang dimodifikasi. Sekali lagi, hanya dibatasi oleh imajinasi desainer.
• Flash drive yang terinfeksi malware. Ini bisa berupa hampir semua jenis malware.
• Flash drive dimaksudkan untuk menjebak seseorang. Ini akan menjadi jenis hal yang digunakan oleh badan intelijen, penegak hukum, penyelidik, atau sebagai perlindungan terhadap konten sensitif. Mengakses drive akan memicu beberapa bentuk peringatan.
• Flash drive berisi materi yang dapat membuat Anda kesulitan untuk memilikinya, seperti informasi rahasia, informasi curian, pornografi anak, dll.
• Orang-orang dengan niat buruk akan selalu menemukan cara baru untuk melakukan hal-hal buruk, jadi kita mungkin tidak bisa mengetahui setiap jenis bahaya yang terkandung dalam paket USB.

Investigasi drive

Persiapan

Mengingat berbagai kemungkinan, sulit untuk sepenuhnya melindungi diri sendiri untuk menyelidiki drive.

• Mulailah dengan otorisasi untuk memiliki dan memeriksa setiap konten potensial. Ini lebih mudah jika Anda bekerja untuk komunitas intelijen, penegakan hukum, atau memiliki beberapa bentuk perintah atau lisensi hukum. Singkatnya, buat jejak kertas terlebih dahulu untuk membuktikan bahwa itu ada di tangan Anda dengan cara yang tidak bersalah. Jika konten milik agen asing yang melakukan kejahatan ilegal atau terorganisir, jejak kertas Anda mungkin tidak memberikan banyak perlindungan. :-)
• Bekerja terisolasi dari Internet. Jika Anda ingin melindungi dari kemungkinan pemancar radio tertanam, bekerjalah di dalam sangkar Faraday.
• Lindungi perangkat keras Anda sendiri dari USB yang mematikan.
  • Buka case dan periksa nyali seperti yang dijelaskan Journeyman Geek. Ini juga akan mengidentifikasi elektronik khusus dalam wadah flash drive.
  • Mengisolasi drive secara elektrik. Anda dapat menggunakan hub USB yang terisolasi secara optik, tetapi Anda bisa menghabiskan lebih banyak untuk itu daripada komputer sekali pakai. Seperti yang disarankan dalam jawaban saya yang lain, Anda dapat membuat daisy-chain beberapa hub USB murah yang terhubung ke komputer yang bisa ditelusuri.
• Lindungi sistem Anda dari serangan tingkat rendah. Saya tidak yakin ada cara untuk melindungi terhadap sesuatu seperti mengubah firmware Anda, selain menggunakan komputer murah dan cadangan yang Anda tidak keberatan memulihkan atau membuangnya.
• Lindungi sistem Anda dari malware. Ini dijelaskan dalam berbagai jawaban, termasuk utas terkait, menggunakan teknik seperti sesi Linux atau VM langsung untuk bekerja terisolasi dari OS Anda sendiri, perangkat lunak, dan file, menonaktifkan autorun, dll.

Penyelidikan

• Jika paket berisi sesuatu selain elektronik flash drive, membuka casing adalah satu-satunya cara untuk melihat apa itu. Anda tidak dapat menanyakan antarmuka USB-nya untuk menanyakan model USB pembunuh apa.
• Jika drive berisi malware, itu akan diidentifikasi dengan menjalankan pemindaian anti-malware menggunakan beberapa program terkemuka yang menggunakan metodologi berbeda.
• Menyelidiki konten akan dilakukan dengan alat normal yang digunakan untuk melihat konten. Ini mungkin termasuk pekerjaan detektif kecil, seperti hal-hal yang tidak disembunyikan atau mencari hal-hal yang disamarkan. Konten dapat dienkripsi atau dilindungi, yang merupakan diskusi berbeda.
• Firmware yang dimodifikasi akan sangat sulit untuk diselidiki. Anda akan memerlukan alat untuk mengakses kode firmware, ditambah kode normal untuk membandingkannya (yang cenderung menjadi hak milik). Jika Anda memiliki drive yang identik dan dikenal baik dan alat-alat untuk mengakses kode firmware, itu akan menjadi sumber untuk perbandingan, tetapi kode itu akan bervariasi antara vendor dan versi yang mungkin bahkan dari produk yang sama. Jika flash drive sebenarnya adalah tanaman yang merusak, Anda harus merekayasa balik firmware untuk mengetahui apa yang dilakukannya.

Jika saya benar-benar ingin melakukan ini, saya cukup membeli klon Raspberry Pi termurah yang saya bisa dan hubungkan ke dalamnya. Jika itu menimpa komputer saya tidak kehilangan banyak. OS tidak mungkin terinfeksi, dan bahkan jika itu, jadi apa?