Como faço para investigar com segurança um dispositivo USB encontrado no estacionamento do trabalho?

Eu trabalho em uma empresa de software embarcado. Esta manhã, encontrei um pendrive no estacionamento em frente ao prédio. Com todas as histórias de "ataques de pendrive USB" em mente, obviamente não vou conectá-lo ao meu laptop. OTOH, estou curioso para saber se isso foi realmente uma tentativa de comprometer nossos sistemas ou se é realmente apenas um caso inocente de alguém acidentalmente perdendo um pendrive. Como inspeciono com segurança o pendrive sem risco de exposição?

Estou preocupado não apenas com malware e imagens de sistema de arquivos criadas; também existem coisas como ataques de picos de energia:
'USB Killer 2.0' mostra que a maioria dos dispositivos habilitados para USB é vulnerável a ataques de picos de energia .

EDIT: Muitas das respostas parecem assumir que eu quero manter a unidade e usá-lo depois. Não tenho nenhum interesse nisso, sei que os pendrives são baratos e que não seria meu manter assim mesmo. Eu só quero saber se este foi realmente um ataque semi-direcionado, em parte por curiosidade se isso realmente acontece na vida real e não apenas em documentos de segurança, mas também para que eu pudesse avisar meus colegas de trabalho.

Quero saber como descobrir se o stick contém malware. E isso não é apenas uma questão de examinar o conteúdo da unidade e ver um autorun.inf suspeito ou um sistema de arquivos corrompido cuidadosamente criado - eu também quero uma maneira de inspecionar o firmware. Eu meio que esperava que houvesse ferramentas para extrair isso e comparar com binários conhecidos como bons ou ruins.

Se você não quisesse usá-lo, mas está curioso - eu começaria abrindo o gabinete (com muito cuidado) e dando uma olhada nos chips internos.

Eu sei. Isso parece loucura, mas a presença de um controlador identificável e um chip flash tornaria mais provável que seja uma unidade USB real, em vez de algo como um pato de borracha USB ou um matador de USB.

Em seguida, faça o que todo mundo sugere e teste-o em uma instalação descartável, execute alguns antivírus inicializáveis ​​também e, se tiver certeza de que é seguro, limpe-o.

DEZENAS

Uma boa distribuição de segurança para testar unidades flash USB suspeitas encontradas no estacionamento é o Trusted End Node Security (TENS), anteriormente chamado Lightweight Portable Security (LPS), uma distribuição de segurança Linux que roda inteiramente da RAM quando é inicializada a partir de um unidade flash USB inicializável. TENS Public transforma um sistema não confiável (como um computador doméstico) em um cliente de rede confiável. Nenhum traço de atividade de trabalho (ou malware) pode ser gravado no disco rígido do computador local.

Além do recurso de segurança, o TENS tem outro objetivo útil. Por ser executado inteiramente a partir da RAM, o TENS pode ser inicializado em praticamente qualquer hardware. Isso o torna útil para testar a porta USB de um computador que não consegue inicializar a maioria das outras imagens ISO USB inicializáveis ​​ao vivo.

USBGuard

Se você estiver usando Linux, a estrutura do software USBGuard ajuda a proteger seu computador contra dispositivos USB não autorizados, implementando recursos básicos de lista de permissões e lista negra com base nos atributos do dispositivo. Para impor a política definida pelo usuário, ele usa o recurso de autorização de dispositivo USB implementado no kernel do Linux desde 2007.

Por padrão, o USBGuard bloqueia todos os dispositivos recém-conectados e os dispositivos conectados antes da inicialização do daemon.

Uma maneira rápida de começar a usar o USBGuard para proteger seu sistema contra ataques USB é primeiro gerar uma política para seu sistema. Em seguida, inicie o usbguard-daemon com o comando sudo systemctl start usbguard.service. Você pode usar o usbguardcomando da interface da linha de comandos e seu generate-policysubcomando ( usbguard generate-policy) para gerar uma política inicial para o seu sistema, em vez de escrever uma do zero. A ferramenta gera uma política de permissão para todos os dispositivos atualmente conectados ao seu sistema no momento da execução. ^{1 1}

Recursos

• Idioma da regra para escrever políticas de autorização de dispositivo USB
• Componente daemon com uma interface IPC para interação dinâmica e aplicação de políticas
• Linha de comando e interface GUI para interagir com uma instância USBGuard em execução
• API C ++ para interagir com o componente daemon implementado em uma biblioteca compartilhada

¹ _{Revisado em: Proteção integrada contra ataques de segurança USB com USBGuard}

Instalação

O USBGuard é instalado por padrão no RHEL 7.

Para instalar o USBGuard no Ubuntu 17.04 e posterior, abra o terminal e digite:

sudo apt install usbguard  

Para instalar o USBGuard no Fedora 25 e posterior, abra o terminal e digite:

sudo dnf install usbguard   

Para instalar o USBGuard no CentOS 7 e posterior, abra o terminal e digite:

sudo yum install usbguard  

A compilação da fonte do USBGuard requer a instalação de vários outros pacotes como dependências.

Existem várias abordagens, mas se esse stick possui malware incorporado ao firmware, é realmente bastante perigoso.

Uma abordagem pode ser baixar uma das muitas distribuições do LiveCD Linux, desconectar todos os discos rígidos e conexões de rede e dar uma olhada.

Acho que eu recomendaria tirar um laptop velho do armário, conectá-lo a ele e depois bater nele com um martelo grande.

Melhor abordagem - não fique curioso! :)

Não. Jogue-os no lixo ou em Lost / Found com um carimbo de data / hora. Os pendrives USB são baratos, muito mais baratos que o tempo gasto na limpeza de malware ou sabotagem física. Existem dispositivos USB que armazenam carga nos capacitores e descarregam repentinamente no seu PC, arruinando-o.

Este tópico está relacionado ao que eu encontrei dois pendrives no chão. O que agora? . O outro segmento inclui algumas considerações não técnicas, como a resposta da innaM, que sugere que o conteúdo não é da sua conta e você deve simplesmente entregá-lo para retornar ao proprietário, e a resposta de Mike Chess, que menciona que a unidade pode conter informações governamentais. segredos, documentos terroristas, dados usados ​​em roubo de identidade, pornografia infantil etc., que podem causar problemas por tê-lo em sua posse.

Outras respostas nos dois tópicos abordam como se proteger de malware enquanto explora o conteúdo, mas essas respostas não o protegem de um "USB assassino", um ponto-chave colocado nesta pergunta. Não vou repetir o que é abordado em outras respostas, mas basta dizer que todos os conselhos sobre como se proteger de malware (incluindo patos de borracha, que injetam pressionamentos de tecla) são aplicáveis.

Valor e nome da marca

Mas eu começaria com o argumento de Christopher Hostage sobre os drives flash serem muito baratos para valer a pena o risco e a preocupação. Se a unidade não for reivindicada pelo proprietário e depois de considerar todos os avisos, você decide que só precisa tentar torná-la segura e utilizável, comece considerando o valor da unidade. Se for uma capacidade baixa, velocidade padrão, nenhuma unidade de nome de idade desconhecida, você poderá substituí-la por uma nova por alguns dólares. Você não conhece a vida restante na unidade. Mesmo se você restaurá-lo para uma condição "nova", você pode confiar na confiabilidade ou na vida útil restante?

O que nos leva ao caso de uma unidade não reivindicada oficialmente sua e:

• é uma unidade de marca de alta capacidade e alta velocidade, com confiabilidade e desempenho reconhecidos,
• parece estar em uma nova condição, talvez um produto lançado recentemente, para que você saiba que não pode ser muito antigo.

Um ponto desses critérios é que a unidade pode realmente valer mais do que uma quantia trivial. Mas minha recomendação seria não mexer em mais nada por um segundo motivo. Como o Journeyman Geek aponta em um comentário, patos de borracha e USB killers vêm em pacotes comuns. É difícil falsificar a embalagem da marca sem equipamento caro, e é difícil adulterar um pacote de marca de maneira indetectável. Portanto, limitando-se ao familiar, as unidades de marca oferecem um pouco de proteção.

Conexão segura

A primeira pergunta é como você pode conectá-lo fisicamente ao seu sistema com segurança, se puder ser um USB matador, e é nisso que eu vou me concentrar.

Inspeção da unidade

• A primeira pista é a própria unidade. Existem estilos em miniatura que são basicamente o conector USB e apenas plástico suficiente para ter algo para agarrá-lo. É provável que esse estilo seja seguro, especialmente se o plástico tiver o nome da marca.

• As unidades de estilo flip são populares para os patos de borracha, portanto, tenha cuidado especial com eles.

• Se for um pen drive de tamanho padrão grande o suficiente para acomodar um hardware matador, verifique se há sinais de falsificação ou violação. Se for o caso original com a marca da marca, será difícil adulterá-lo sem deixar sinais visíveis com a ampliação.

Isolamento elétrico

• O próximo passo seria isolar a unidade do seu sistema. Use um hub USB barato que você esteja disposto a sacrificar pelo valor potencial do pen drive. Melhor ainda, encadeie vários hubs. O (s) hub (s) fornecerá algum grau de isolamento elétrico que pode proteger seu computador muito caro da unidade USB killer gratuita "must have".

  Aviso: não testei isso e não tenho como saber o grau de segurança que isso proporcionaria. Mas se você estiver arriscando seu sistema, isso poderá minimizar os danos.

Como o LPChip sugere em um comentário sobre a questão, a única maneira "segura" de testá-lo é usando um sistema que você considera descartável. Mesmo assim, considere que quase qualquer computador em funcionamento tem potencial para ser útil. Um computador antigo com pouca energia pode ser carregado com uma distribuição Linux leve e residente na memória e fornecer um desempenho incrível para tarefas rotineiras. A menos que você esteja recuperando um computador da lixeira com a finalidade de testar a unidade flash, pese o valor de um computador em funcionamento com o valor da unidade desconhecida.

A questão foi esclarecida para descrever o objetivo como investigar a unidade USB, em vez de simplesmente identificar o proprietário ou redirecioná-lo. Essa é uma pergunta extremamente ampla, mas tentarei abordá-la de uma maneira geral.

Quais poderiam ser os problemas?

• Um "USB matador". Os modelos atuais desse gênero bombeiam alta tensão pela porta USB para fritar o computador.
• Eletrônica personalizada oculta em um pacote de unidade flash. Isso pode fazer qualquer coisa que o designer possa inventar. Um design atual comum é o pato de borracha, que simula um teclado para injetar qualquer coisa que você possa fazer com o teclado.
• Uma unidade flash com firmware modificado. Mais uma vez, limitado apenas pela imaginação do designer.
• Uma unidade flash infectada com malware. Isso pode ser praticamente qualquer variedade de malware.
• Uma unidade flash destinada a prender alguém. Esse seria o tipo de coisa usada por um serviço de inteligência, aplicação da lei, um investigador ou como proteção a conteúdos confidenciais. O acesso à unidade acionaria alguma forma de alerta.
• Uma unidade flash contendo material que pode causar problemas em sua posse, como informações classificadas, informações roubadas, pornografia infantil etc.
• Pessoas com más intenções sempre apresentam novas maneiras de fazer coisas desagradáveis; portanto, provavelmente não podemos conhecer todo tipo de perigo contido em um pacote USB.

Investigando a unidade

Preparação

Dada a variedade de possibilidades, é difícil se proteger totalmente para investigar a unidade.

• Comece com autorização para possuir e inspecionar qualquer conteúdo potencial. Isso é mais fácil se você trabalha para a comunidade de inteligência, policiais ou tem algum tipo de ordem ou licença legal. Além disso, estabeleça uma trilha de papel com antecedência, provando que ela está em suas mãos por meios inocentes. Se o conteúdo pertencer a agentes estrangeiros que agem ilegalmente ou crime organizado, sua trilha de papéis pode não fornecer muita proteção. :-)
• Trabalho isolado da Internet. Se você deseja se proteger contra a possibilidade de um transmissor de rádio incorporado, trabalhe dentro de uma gaiola de Faraday.
• Proteja seu próprio hardware de um USB matador.
  • Abra a caixa e inspecione as entranhas, como o Journeyman Geek descreve. Isso também identificaria eletrônicos personalizados em um gabinete de unidade flash.
  • Isole eletricamente a unidade. Você pode usar um hub USB opticamente isolado, mas pode gastar mais com isso do que um computador descartável. Conforme sugerido na minha outra resposta, você pode conectar vários hubs USB baratos conectados em cadeia a um computador trashable.
• Proteja seu sistema contra ataques de baixo nível. Não tenho certeza de que haja uma maneira de se proteger contra algo como alterar o firmware, além de usar um computador barato e sobressalente, que você não se importa de restaurar ou jogar no lixo.
• Proteja seu sistema contra malware. Isso é descrito em várias respostas, incluindo threads vinculados, usando técnicas como uma sessão ou VM ao vivo do Linux para trabalhar isolado de seu próprio sistema operacional, software e arquivos, desativando a execução automática, etc.

Investigação

• Se a embalagem contiver algo diferente de componentes eletrônicos da unidade flash, abrir a caixa é a única maneira de ver o que é. Você não pode consultar sua interface USB para perguntar qual é o modelo matador de USB.
• Se a unidade contiver malware, isso seria identificado executando varreduras antimalware usando vários programas respeitáveis ​​que empregam metodologias diferentes.
• A investigação do conteúdo seria feita com as ferramentas normais usadas para examinar o conteúdo. Isso pode incluir um pouco de trabalho de detetive, como esconder coisas ou procurar coisas disfarçadas. O conteúdo pode ser criptografado ou protegido, o que é uma discussão diferente.
• O firmware modificado seria extremamente difícil de investigar. Você precisaria das ferramentas para acessar o código do firmware, além do código normal para compará-lo (que provavelmente é proprietário). Se você tivesse uma boa unidade idêntica e conhecida e as ferramentas para acessar o código do firmware, isso seria uma fonte de comparação, mas esse código variará entre os fornecedores e, potencialmente, mesmo as versões do mesmo produto. Se a unidade flash for realmente uma planta destrutiva, você terá que fazer engenharia reversa do firmware para descobrir o que está fazendo.

Se eu realmente quisesse fazer isso, simplesmente compraria o clone do Raspberry Pi mais barato possível e o conectaria a ele. Se zaps o computador, não perdi muito. É improvável que o sistema operacional seja infectado e, mesmo que seja, e daí?