मैं काम पर पार्किंग स्थल में पाए जाने वाले यूएसबी स्टिक की सुरक्षित रूप से जांच कैसे करूं?

मैं एक एम्बेडेड सॉफ्टवेयर कंपनी में काम करता हूँ। आज सुबह मुझे बिल्डिंग के सामने पार्किंग में एक यूएसबी स्टिक मिली। मन में "गिरा यूएसबी स्टिक हमलों" की सभी कहानियों के साथ, मैं स्पष्ट रूप से इसे सिर्फ अपने लैपटॉप में प्लग नहीं करने जा रहा हूं। OTOH, मैं यह जानने के लिए उत्सुक हूं कि क्या यह वास्तव में हमारे सिस्टम से समझौता करने का एक प्रयास था, या यह वास्तव में किसी के गलती से यूएसबी स्टिक खोने का एक निर्दोष मामला है। जोखिम को जोखिम में डाले बिना मैं यूएसबी स्टिक का सुरक्षित निरीक्षण कैसे करूं?

मैं न केवल मैलवेयर और तैयार की गई फ़ाइल सिस्टम छवियों के बारे में चिंतित हूं; पावर सर्ज हमलों की तरह सामान भी है:
'यूएसबी किलर 2.0' से पता चलता है कि अधिकांश यूएसबी-सक्षम डिवाइस पावर सर्ज हमलों के प्रति कमजोर हैं ।

संपादित करें: कई उत्तरों से लगता है कि मैं ड्राइव रखना चाहता हूं और बाद में इसका उपयोग करना चाहता हूं। मुझे इसमें कोई दिलचस्पी नहीं है, मुझे पता है कि यूएसबी स्टिक्स सस्ते हैं, और यह वैसे भी मेरा नहीं होगा। मैं केवल यह जानना चाहता हूं कि क्या यह वास्तव में अर्ध-लक्षित हमला था, आंशिक रूप से जिज्ञासा से बाहर था कि क्या यह वास्तव में वास्तविक जीवन में होता है और न केवल सुरक्षा पत्रों में, बल्कि इसलिए भी कि मैं अपने सहकर्मियों को चेतावनी दे सकता हूं।

मैं जानना चाहता हूं कि मैं यह कैसे पता लगाऊंगा कि छड़ी में मैलवेयर है या नहीं। और यह केवल ड्राइव की सामग्री को देखने और एक संदिग्ध ऑटोरन.फ़फ़ या ध्यान से गढ़ी गई भ्रष्ट फ़ाइल प्रणाली को देखने का मामला नहीं है - मैं भी फर्मवेयर का निरीक्षण करने का एक तरीका चाहता हूं। मुझे उम्मीद है कि इसमें कुछ ऐसे उपकरण थे जो निकालने और ज्ञात-अच्छे या ज्ञात-बुरे बायनेरिज़ की तुलना करने के लिए थे।

यदि आप इसका उपयोग नहीं करना चाहते हैं, लेकिन उत्सुक हैं - मैं वास्तव में मामले को खोलना (बहुत सावधानी से) और अंदर चिप्स पर एक नज़र डालकर शुरू करूँगा।

मुझे पता है। यह पागल लगता है, लेकिन एक पहचानने योग्य नियंत्रक और फ्लैश चिप की उपस्थिति से यह अधिक संभावना है कि यह एक यूएसबी रबर डक या यूएसबी किलर की तरह कुछ के बजाय एक वास्तविक यूएसबी ड्राइव है।

फिर वही करें जो हर कोई सुझाता है और इसे डिस्पोजेबल इंस्टॉल पर टेस्ट करता है, साथ ही कुछ बूट करने योग्य वायरस स्कैनर चलाएं, फिर अगर आपको यकीन है कि यह सुरक्षित है, तो इसे मिटा दें।

टेंस

संदिग्ध USB फ्लैश ड्राइव के परीक्षण के लिए एक अच्छा सुरक्षा वितरण जो आपको पार्किंग में मिला है, ट्रस्टेड एंड नोड सिक्योरिटी (TENS), जिसे पहले लाइटवेट पोर्टेबल सिक्योरिटी (LPS) कहा जाता था, एक लिनक्स सुरक्षा वितरण जो रैम से बूट होने पर पूरी तरह से चलता है बूट करने योग्य USB फ्लैश ड्राइव। TENS पब्लिक एक विश्वसनीय नेटवर्क क्लाइंट में एक अविश्वसनीय प्रणाली (जैसे होम कंप्यूटर) को बदल देता है। स्थानीय कंप्यूटर हार्ड ड्राइव पर कार्य गतिविधि (या मैलवेयर) का कोई निशान नहीं लिखा जा सकता है।

सुरक्षा सुविधा के अलावा TENS का एक और उपयोगी उद्देश्य है। क्योंकि यह पूरी तरह से RAM से चलता है, TENS लगभग किसी भी हार्डवेयर पर बूट हो सकता है। यह उस कंप्यूटर के USB पोर्ट के परीक्षण के लिए उपयोगी है जो अधिकांश अन्य बूट करने योग्य USB ISO छवियों को बूट करने में असमर्थ है।

USBGuard

यदि आप लिनक्स का उपयोग कर रहे हैं, तो USBGuard सॉफ़्टवेयर फ्रेमवर्क आपके कंप्यूटर को डिवाइस विशेषताओं के आधार पर बुनियादी श्वेतसूचीकरण और ब्लैकलिस्टिंग क्षमताओं को लागू करके दुष्ट USB उपकरणों के विरुद्ध सुरक्षा करने में मदद करता है। उपयोगकर्ता-परिभाषित नीति को लागू करने के लिए, यह 2007 से लिनक्स कर्नेल में लागू यूएसबी डिवाइस प्राधिकरण सुविधा का उपयोग करता है।

डिफ़ॉल्ट रूप से, USBGuard सभी नए जुड़े उपकरणों और उपकरणों को ब्लॉक करता है जो डेमन स्टार्टअप से पहले जुड़े हुए हैं।

अपने सिस्टम को USB हमलों से बचाने के लिए USBGuard का उपयोग शुरू करने का एक त्वरित तरीका यह है कि पहले अपने सिस्टम के लिए एक नीति तैयार की जाए। फिर, कमांड के साथ usbguard-daemon शुरू करें sudo systemctl start usbguard.service। आप स्क्रैच से एक लिखने के बजाय अपने सिस्टम के लिए एक प्रारंभिक नीति तैयार करने के लिए usbguardकमांड-लाइन इंटरफ़ेस कमांड और उसके generate-policyउपकमांड ( usbguard generate-policy) का उपयोग कर सकते हैं । उपकरण निष्पादन के क्षण में वर्तमान में आपके सिस्टम से जुड़े सभी उपकरणों के लिए एक अनुमति नीति बनाता है। ¹

विशेषताएं

• USB डिवाइस प्राधिकरण नीतियाँ लिखने के लिए नियम
• डायनामिक इंटरैक्शन और पॉलिसी प्रवर्तन के लिए एक आईपीसी इंटरफ़ेस के साथ डेमन घटक
• कमांड लाइन और GUI इंटरफ़ेस एक चल रहे USBGuard उदाहरण के साथ बातचीत करने के लिए
• साझा लाइब्रेरी में कार्यान्वित डेमॉन घटक के साथ बातचीत करने के लिए C ++ API

^{1 से} _{संशोधित: USBGuard के साथ USB सुरक्षा हमलों के खिलाफ अंतर्निहित सुरक्षा}

स्थापना

USBGuard RHEL 7 में डिफ़ॉल्ट रूप से स्थापित है।

Ubuntu 17.04 और बाद में USBGuard स्थापित करने के लिए, टर्मिनल खोलें और टाइप करें:

sudo apt install usbguard  

Fedora 25 और बाद में USBGuard स्थापित करने के लिए, टर्मिनल खोलें और टाइप करें:

sudo dnf install usbguard   

CentOS 7 और बाद में USBGuard स्थापित करने के लिए, टर्मिनल खोलें और टाइप करें:

sudo yum install usbguard  

USBGuard के स्रोत से संकलन को निर्भरता के रूप में कई अन्य पैकेजों की स्थापना की आवश्यकता होती है।

विभिन्न दृष्टिकोण हैं, लेकिन अगर उस छड़ी में फर्मवेयर एम्बेडेड मैलवेयर है तो यह वास्तव में काफी खतरनाक है।

एक दृष्टिकोण कई लाइवसीडी लिनक्स डिस्ट्रोस में से एक को डाउनलोड करने के लिए हो सकता है, किसी भी हार्ड-ड्राइव और नेटवर्क कनेक्शन को अनप्लग करें, और फिर एक नज़र डालें।

मुझे लगता है कि मैं एक पुराने लैपटॉप को अलमारी से बाहर निकालने की सलाह दूंगा, लेकिन इसे एक बड़े हथौड़े से मारना।

सर्वश्रेष्ठ दृष्टिकोण - उत्सुक मत बनो! :)

मत करो। उन्हें कचरे में फेंक दें, या टाइमस्टैम्प के साथ लॉस्ट / फाउंड करें। यूएसबी स्टिक्स सस्ते होते हैं, मालवेयर या फिजिकल सैबोटेज से सफाई में लगने वाले समय की तुलना में काफी सस्ता होता है। वहाँ यूएसबी स्टिक हैं जो कैपेसिटर में चार्ज को स्टोर करेंगे, और इसे बर्बाद करते हुए अचानक आपके पीसी में डिस्चार्ज हो जाएंगे।

यह धागा जमीन पर दो यूएसबी स्टिक के साथ जुड़ा हुआ है। अब क्या? । दूसरे थ्रेड में कुछ गैर-तकनीकी विचार शामिल हैं जैसे कि innaM का उत्तर, जो बताता है कि सामग्री आपके व्यवसाय से कोई भी नहीं है और आपको बस इसे स्वामी को वापस करने के लिए बदलना चाहिए, और माइक शतरंज के उत्तर, जिसमें उल्लेख किया गया है कि इस अभियान में सरकार शामिल हो सकती है रहस्य, आतंकवादी दस्तावेज, पहचान की चोरी में प्रयुक्त डेटा, चाइल्ड पोर्नोग्राफी आदि, जो आपके कब्जे में होने के कारण आपको परेशानी में डाल सकते हैं।

दोनों थ्रेड्स पर अन्य उत्तर पता करते हैं कि सामग्री की खोज करते समय खुद को मैलवेयर से कैसे बचाएं, लेकिन वे जवाब आपको "हत्यारे USB" से नहीं बचाएंगे, इस सवाल में एक प्रमुख बिंदु। मैं अन्य उत्तरों में जो कवर किया गया हूं, उसे दोबारा नहीं लिखूंगा, लेकिन यह कहने के लिए पर्याप्त है कि खुद को मैलवेयर से बचाने के बारे में सलाह (रबर बतख सहित, जो किस्ट्रोक्स इंजेक्ट करते हैं) लागू होती है।

मूल्य और ब्रांड नाम

लेकिन मैं क्रिस्टोफर बंधक के साथ शुरू करूंगा फ्लैश ड्राइव के बारे में परेशान और जोखिम के लायक होने के लिए बहुत सस्ता है। यदि ड्राइव मालिक द्वारा लावारिस है, और सभी चेतावनियों पर विचार करने के बाद, आप तय करते हैं कि आपको बस इसे सुरक्षित और उपयोगी बनाने की कोशिश करनी है, ड्राइव के मूल्य पर विचार करके शुरू करें। यदि यह कम क्षमता, मानक गति, अज्ञात उम्र का कोई नाम नहीं है, तो आप इसे कुछ डॉलर के लिए एक नए के साथ बदल सकते हैं। आप ड्राइव पर शेष जीवन नहीं जानते। यहां तक ​​कि अगर आप इसे "ताज़ा" स्थिति में बहाल करते हैं, तो क्या आप इसकी विश्वसनीयता या शेष सेवा जीवन पर भरोसा कर सकते हैं?

जो हमें एक लावारिस ड्राइव के मामले में लाता है जो आधिकारिक तौर पर आपका है, और:

• यह एक उच्च क्षमता, उच्च गति, मान्यता प्राप्त विश्वसनीयता और प्रदर्शन का ब्रांड नाम ड्राइव है,
• नई स्थिति में प्रतीत होता है, शायद हाल ही में जारी किया गया उत्पाद ताकि आप जानते हैं कि यह बहुत पुराना नहीं हो सकता है।

इन मानदंडों में से एक बिंदु यह है कि ड्राइव वास्तव में एक तुच्छ राशि से अधिक मूल्य का हो सकता है। लेकिन मेरी सिफारिश दूसरी वजह से किसी और चीज के साथ खिलवाड़ करने की नहीं होगी। जैसा कि जर्नीमैन गीक एक टिप्पणी में बताते हैं, रबर बतख और यूएसबी हत्यारे आम दिखने वाले पैकेज में आते हैं। ब्रांड नाम पैकेजिंग महंगे उपकरण के बिना नकली करने के लिए कठिन है, और एक undetectable तरीके से एक ब्रांड नाम पैकेज के साथ छेड़छाड़ करना मुश्किल है। तो अपने आप को परिचित तक सीमित करना, ब्रांड नाम ड्राइव अपने आप में थोड़ी सुरक्षा प्रदान करता है।

सुरक्षित कनेक्शन

पहला सवाल यह है कि अगर आप हत्यारे USB हो सकते हैं, तो आप इसे अपने सिस्टम से कैसे सुरक्षित रूप से जोड़ सकते हैं, और मैं इस पर ध्यान केंद्रित करूंगा।

ड्राइव निरीक्षण

• पहला सुराग ड्राइव ही है। लघु शैलीएं हैं जो मूल रूप से USB कनेक्टर हैं और पर्याप्त प्लास्टिक है जो इसे अंदर और बाहर लाने के लिए कुछ लेना है। यह शैली सुरक्षित होने की संभावना है, खासकर अगर प्लास्टिक का ब्रांड नाम इस पर है।

• फ्लिप स्टाइल ड्राइव रबर बतख के लिए लोकप्रिय हैं, इसलिए उनके साथ विशेष रूप से सावधान रहें।

• यदि यह एक मानक आकार का थंब ड्राइव है, जो कि किलर हार्डवेयर को रखने के लिए पर्याप्त है, तो संकेतों के लिए मामले का निरीक्षण करें कि यह नकली है या उसके साथ छेड़छाड़ की गई है। यदि यह मूल, ब्रांड-लेबल वाला मामला है, तो यह उन संकेतों को छोड़ने के बिना छेड़छाड़ करना मुश्किल होगा जो कि आवर्धन के साथ दिखाई देंगे।

विद्युत अलगाव

• अगला कदम आपके सिस्टम से ड्राइव को अलग करना होगा। एक सस्ते USB हब का उपयोग करें जिसे आप थंब ड्राइव के संभावित मूल्य के लिए बलिदान करने के लिए तैयार हैं। इससे भी बेहतर, डेज़ी श्रृंखला कई हब। हब (एस) कुछ हद तक विद्युत अलगाव प्रदान करेगा जो आपके बहुत महंगे कंप्यूटर को "आवश्यक", मुफ्त हत्यारा यूएसबी ड्राइव से सुरक्षित कर सकता है।

  चेतावनी: मैंने इसका परीक्षण नहीं किया है और यह सुरक्षा प्रदान करने की डिग्री जानने का कोई तरीका नहीं है। लेकिन अगर आप अपने सिस्टम को जोखिम में डालने जा रहे हैं, तो इससे नुकसान कम से कम हो सकता है।

जैसा कि LPChip प्रश्न पर एक टिप्पणी में बताती है, यह परीक्षण करने का एकमात्र "सुरक्षित" तरीका है कि आप एक प्रणाली का उपयोग कर रहे हैं जिसे आप डिस्पोजेबल मानते हैं। फिर भी, विचार करें कि लगभग किसी भी काम करने वाले कंप्यूटर में उपयोगी होने की क्षमता है। एक प्राचीन, कम-संचालित कंप्यूटर को एक हल्के, मेमोरी-निवासी लिनक्स डिस्ट्रो के साथ लोड किया जा सकता है और नियमित कार्यों के लिए कुछ अद्भुत प्रदर्शन प्रदान कर सकता है। जब तक आप फ्लैश ड्राइव का परीक्षण करने के उद्देश्य से कूड़े से एक कंप्यूटर को पुनर्प्राप्त नहीं कर रहे हैं, तब तक अज्ञात ड्राइव के मूल्य के खिलाफ काम करने वाले कंप्यूटर का मूल्य तौलना।

उद्देश्य को स्पष्ट रूप से वर्णन करने के लिए यूएसबी ड्राइव की जांच करने के बजाय केवल मालिक की पहचान करने या उसका पुनरुत्थान करने के लिए प्रश्न को स्पष्ट किया गया है। यह एक अत्यंत व्यापक प्रश्न है, लेकिन मैं इसे सामान्य तरीके से कवर करने का प्रयास करूंगा।

क्या मुद्दे हो सकते हैं?

• एक "हत्यारा यूएसबी"। इस शैली के वर्तमान डिजाइन आपके कंप्यूटर को तलने के लिए यूएसबी पोर्ट के माध्यम से उच्च वोल्टेज पंप करते हैं।
• कस्टम इलेक्ट्रॉनिक्स एक फ्लैश ड्राइव पैकेज में छिपा हुआ है। यह डिजाइनर कुछ भी कर सकता है। एक सामान्य वर्तमान डिजाइन रबर बतख है, जो कीबोर्ड से कुछ भी करने के लिए आपको एक कीबोर्ड का अनुकरण करता है।
• संशोधित फर्मवेयर के साथ एक फ्लैश ड्राइव। फिर, केवल डिजाइनर की कल्पना द्वारा सीमित।
• मैलवेयर से संक्रमित एक फ्लैश ड्राइव। यह वस्तुतः किसी भी प्रकार का मैलवेयर हो सकता है।
• एक फ्लैश ड्राइव का उद्देश्य किसी को फंसाना है। यह एक खुफिया सेवा, कानून प्रवर्तन, एक अन्वेषक या संवेदनशील सामग्री पर सुरक्षा के रूप में उपयोग की जाने वाली चीज होगी। ड्राइव तक पहुँचने से अलर्ट का कोई रूप शुरू हो जाएगा।
• एक फ्लैश ड्राइव जिसमें सामग्री होती है जो आपको इसे रखने के लिए मुसीबत में डाल सकती है, जैसे कि वर्गीकृत जानकारी, चोरी की जानकारी, चाइल्ड पोर्नोग्राफी, आदि।
• गलत इरादे वाले लोग हमेशा गलत काम करने के लिए नए तरीके के साथ आएंगे, इसलिए हम शायद यूएसबी पैकेज में निहित हर तरह के खतरे को नहीं जान सकते।

जांच की जा रही है

तैयारी

संभावनाओं की सीमा को देखते हुए, ड्राइव की जांच करने के लिए खुद को पूरी तरह से संरक्षित करना मुश्किल है।

• किसी भी संभावित सामग्री के अधिकारी और निरीक्षण के लिए प्राधिकरण के साथ शुरू करें। यह आसान है यदि आप खुफिया समुदाय, कानून प्रवर्तन के लिए काम करते हैं, या किसी प्रकार का कानूनी आदेश या लाइसेंस है। उस में से कुछ, पहले से साबित होता है कि निर्दोष साधनों द्वारा यह आपके हाथों में है एक कागज निशान स्थापित करें। यदि सामग्री अवैध रूप से या संगठित अपराध करने वाले विदेशी एजेंटों से संबंधित है, तो आपका पेपर निशान बहुत अधिक सुरक्षा प्रदान नहीं कर सकता है। :-)
• इंटरनेट से अलग-थलग काम करें। यदि आप एक एम्बेडेड रेडियो ट्रांसमीटर की संभावना से बचाव करना चाहते हैं, तो एक फैराडे पिंजरे के अंदर काम करें।
• एक हत्यारा USB से अपने खुद के हार्डवेयर को सुरक्षित रखें।
  • मामले को खोलें और हिम्मत का निरीक्षण करें जैसा कि ट्रिपमैन गीक बताते हैं। यह फ्लैश ड्राइव के मामले में कस्टम इलेक्ट्रॉनिक्स की पहचान भी करेगा।
  • विद्युत ड्राइव को अलग करें। आप वैकल्पिक रूप से पृथक USB हब का उपयोग कर सकते हैं, लेकिन आप उस पर एक डिस्पोजेबल कंप्यूटर की तुलना में अधिक खर्च कर सकते हैं। जैसा कि मेरे अन्य उत्तर में सुझाया गया है, आप एक सस्ते कंप्यूटर से जुड़े कई सस्ते यूएसबी हब को डाइस-चेन कर सकते हैं।
• अपने सिस्टम को निम्न स्तर के हमले से बचाएं। मुझे यकीन नहीं है कि आपके फ़र्मवेयर को बदल देने से कुछ होने से बचाने का एक तरीका है, एक अतिरिक्त, सस्ते कंप्यूटर का उपयोग करने के अलावा, जिसका आप या तो जीर्णोद्धार या ट्रैशिंग का बुरा नहीं मानते।
• आप मैलवेयर से सिस्टम को सुरक्षित रखें। यह विभिन्न उत्तरों में वर्णित है, जिसमें लिंक किए गए थ्रेड्स शामिल हैं, तकनीकों का उपयोग करके जैसे कि लाइव लिनक्स सत्र या वीएम अपने स्वयं के ओएस, सॉफ़्टवेयर और फ़ाइलों से पृथक काम करने के लिए, ऑटोरन को अक्षम करने आदि।

जाँच पड़ताल

• यदि पैकेज में फ्लैश ड्राइव इलेक्ट्रॉनिक्स के अलावा कुछ और है, तो मामला खोलना यह देखने का एकमात्र तरीका है कि यह क्या है। आप अपने USB इंटरफ़ेस को यह पूछने के लिए क्वेरी नहीं कर सकते कि मॉडल किलर USB क्या है।
• यदि ड्राइव में मैलवेयर है, तो विभिन्न तरीकों से काम करने वाले कई सम्मानित कार्यक्रमों का उपयोग करके एंटी-मैलवेयर स्कैन चलाकर पहचाना जाएगा।
• सामग्री की जांच सामान्य सामग्री के साथ किया जाएगा जो सामग्री को देखने के लिए उपयोग किया जाता है। इसमें थोड़ी सी जासूसी का काम शामिल हो सकता है, जैसे चीजों को अनसुना करना या प्रच्छन्न चीजों की तलाश करना। सामग्री को एन्क्रिप्ट या अन्यथा संरक्षित किया जा सकता है, जो एक अलग चर्चा है।
• संशोधित फर्मवेयर की जांच करना बेहद मुश्किल होगा। आपको फर्मवेयर कोड तक पहुंचने के लिए उपकरणों की आवश्यकता होगी, साथ ही इसकी तुलना करने के लिए सामान्य कोड (जो मालिकाना होने की संभावना है)। यदि आपके पास फर्मवेयर कोड का उपयोग करने के लिए एक समान, ज्ञात अच्छा ड्राइव और उपकरण हैं, तो यह तुलना के लिए एक स्रोत होगा, लेकिन यह कोड विक्रेताओं और संभावित रूप से समान उत्पाद के संस्करणों के बीच भिन्न होगा। यदि फ्लैश ड्राइव वास्तव में एक विनाशकारी संयंत्र है, तो आपको यह पता लगाने के लिए इंजीनियर को उल्टा करना होगा कि यह क्या कर रहा है।

अगर मैं वास्तव में, वास्तव में ऐसा करना चाहता था, तो मैं बस सबसे सस्ता रास्पबेरी पाई क्लोन खरीद सकता हूं जो मैं इसमें डाल सकता हूं और इसे प्लग कर सकता हूं। अगर यह कंप्यूटर मैं बहुत खो नहीं है zaps। ओएस संक्रमित होने की संभावना नहीं है, और यहां तक ​​कि अगर यह है, तो क्या?