Como ter 100% de certeza de que uma unidade USB não foi violada e não possui malware? [duplicado]

18

Digamos que você encontre uma unidade USB na rua e queira ter 100% de certeza de que não foi violada, nem por software nem modificando seu hardware (adição ou modificação de componentes etc.), para que não haja risco zero de malware.

A formatação completa é suficiente para ter 100% de certeza de que nenhum malware permanece? Em caso afirmativo, a formatação completa com o processo lento padrão do Disk Utility no Tails 3.2 é suficiente para fazer isso?

Asume a habilidade técnica mais alta possível do atacante. Não apenas cenários razoáveis ​​ou plausíveis.

Norbert
fonte
40
Se o escopo da sua pergunta é "assumir a maior capacidade técnica possível do invasor", a resposta é simples ... como ter 100% de certeza: não pegue uma unidade USB aleatória no rua e insira-o no seu PC. Fora isso, não existe 100% de certeza.
N8te 26/10
6
Jogá-lo no fogo deve ser 100% certo.
Aroth # 26/17
2
Deseja 1) limpar o stick para usá-lo com segurança depois, ou 2) copiar todos os dados dele com segurança, sem acionar qualquer "armadilha" de malware ou hardware nele, ou 3) descobrir se havia realmente algo suspeito nele ou não? Penso que as respostas para estas são pelo menos ligeiramente diferentes. O Q vinculado por @KamilMaciorowski parece ser sobre (3).
Ilkkachu 26/10/19
2
@ Makaw Embora eu não ache que essa pergunta esteja necessariamente fora de tópico para o Super Usuário , concordo que pode valer a pena migrá-la para o Information Security .
Stevoisiak
11
O que faz você ter tanta certeza de que é de fato uma unidade USB? É um pedaço retangular de plástico com um plugue USB - pode ser literalmente qualquer coisa que use USB.
Tristan

Respostas:

30

Não há como ter 100% de certeza de que o USB é seguro e que ele não abrigará malware, mesmo que seja limpo. (Se eu fosse assim, e tivesse o conhecimento, um pequeno chip com malware, não ativo, com um tamanho decente e uma porcaria aleatória - depois do número X de ciclos de energia, troque o chip).

Você deve ter muito cuidado ao conectar qualquer chave USB de origem desconhecida ao seu sistema, pois os assassinos USB são uma coisa e matam sua porta USB e, possivelmente, o sistema - para contornar isso, você pode usar um hub USB sacrificial.

Infelizmente, a maioria dos pendrives USB é barata e fácil de abrir - alguém com alguma habilidade pode substituir facilmente o interior de um sem indicação externa visível.

davidgo
fonte
11
O elie.net/blog/security/… fala sobre um ataque que faz com que o USB pareça um teclado - esse ataque não seria frustrado ao limpar o disco, pois a carga útil desagradável não se apresenta como um disco.
davidgo 26/10
3
coloque o não confiável no liquidificador e, por um novo de um fornecedor confiável, é a única maneira de ter certeza.
catraca aberração
8
@ratchetfreak A menos que a unidade seja cheia de antraz ou algo assim e a mistura a distribua nos pulmões: P 100% de certeza não faz sentido. Se você encontrar um disco flash com algo ilegal, ele não precisará conter malware para causar um grande fluxo de problemas, por exemplo; e a formatação também não excluiria os dados.
Luaan 26/10/17
você não precisa de um outro chip, basta reprogramar o controlador que está no stick - bunniestudios.com/blog/?p=3554
Pete Kirkham
@davidgo Você pode ver que é um dispositivo HID (teclado) em vez de um dispositivo MSC (unidade) com bastante facilidade
endólito
7

Você assume que está contaminado.

Você não pode ser traído se nunca houve confiança a ser traída.

E você não sofrerá danos se assumir que o dano é o que vai acontecer e se preparar para enfrentá-lo.

Remova discos rígidos, desconecte-se da rede, use uma unidade inicializável

Se você está decidido a examinar esta unidade USB e deseja evitar malware, pode fazê-lo usando um computador, removendo todos os seus discos rígidos, desconectando-o de todas as redes (incluindo WiFi) e inicializando-o usando uma unidade USB inicializável . Agora você tem um computador que não pode ser contaminado e que não pode espalhar o conteúdo da unidade USB encontrada.

Agora você pode montar a unidade USB encontrada e examinar seu conteúdo. Mesmo se estiver contaminado, a única coisa que o malware atinge é um computador "vazio" com um sistema operacional que você não liga se for infectado.

Determine seu nível de paranóia

Observe que mesmo isso não é totalmente "seguro". Suponha que este seja o Perfect Malware ™.

  • Se você inicializar a partir de uma mídia gravável (pen drive, CD / DVD gravável), também poderá ficar contaminado se estiver gravável e permanecer no computador quando você inserir a unidade USB contaminada.

  • Praticamente todos os periféricos possuem algum tipo de firmware que pode ser atualizado. O malware pode optar por aninhar lá.

  • Você pode acabar com um BIOS corrompido que compromete o hardware definitivamente, mesmo depois de remover a unidade contaminada e desligar.

Portanto, a menos que você esteja preparado para jogar fora todo o hardware posteriormente, é necessário determinar o quanto deseja examinar esse pen drive encontrado e qual o preço que está disposto a pagar para 1) permanecer seguro e 2) assumir as consequências se as coisas mudarem fora ruim?

Ajuste sua paranóia a níveis razoáveis ​​de acordo com os riscos que você está disposto a correr.

MichaelK
fonte
3
É melhor inicializar a partir de um DVD ao vivo do que um pendrive. Caso contrário, depois de conectar o USB "suspeito", você terá duas unidades USB possivelmente contaminadas. Inicialize a partir de uma mídia somente leitura.
Mokubai
3
@Mokubai Certamente existem imagens ao vivo que permitem inicializar e remover a mídia da qual você inicializou?
26617 MichaelK
11
Desconectar a rede e todas as unidades não é suficiente. Há muito mais armazenamento permanente dentro do computador, por exemplo, a EFI NVRAM, a EFI Flash EEPROM, o microcontrolador Flash EEPROM no teclado e no mouse, o firmware EEPROM Flash na placa gráfica, o microcódigo da CPU e assim por diante. . Não acho que o malware que conserta o microcódigo da CPU seja conhecido publicamente (o que, no entanto, não significa que ele não exista), mas todos os outros foram pelo menos demonstrados e alguns até usados ​​ativamente em ataques. Não basta desconectar todas as unidades, você também precisa basicamente ...
Jörg W Mittag 26/10
9
... jogue fora o computador depois.
Jörg W Mittag 26/10
11
@MichaelKarnerfors pode haver, mas você não mencionou a remoção do USB do qual inicializou. Eu concordo com Jörg, porém, existem muitos outros dispositivos de armazenamento não voláteis além do que você inicializa no computador.
Mokubai
4

No que diz respeito a invasões de hardware, um especialista em eletricidade absurdamente avançado com um alvo específico pode fazer um circuito lógico que verifica se você está terminando a execução do software de limpeza e injeta algo no computador host e na unidade flash. Eles podem até conseguir fazer com que a unidade pareça algo normal internamente, para um observador casual. Basta lembrar, teoricamente, nada é seguro. A segurança é toda baseada no esforço que as pessoas fazem para invadir você e no esforço que você faz para detê-las.

matterny
fonte
11
Pensei em você - a segurança é baseada em camadas de proteção e o tempo / custo / inconveniência para implementar ou quebrar essas camadas.
Davidgo 26/10/19
7
Você não precisa ser um "especialista em eletricidade absurdamente avançado" para poder fazer isso.
glglgl
1

Em segurança, a resposta a qualquer pergunta que contenha a frase "100%" é sempre um grande NÃO .

Simplesmente formatar, substituir, apagar ou qualquer outra coisa que você possa criar, não é suficiente. Por quê? Porque em todos esses casos, você sempre precisa passar pela vareta para fazer isso. Mas, se eu sou um pendrive USB malvado e você me diz para me apagar ... por que eu obedeceria? Eu poderia simplesmente fingir estar ocupado por um tempo e depois dizer "Estou pronto", sem nunca ter feito nada.

Assim, por exemplo, o stick poderia simplesmente ignorar todos os comandos de gravação. Ou, pode executar os comandos de gravação em um chip flash de rascunho, esperar que você verifique se a gravação realmente apagou tudo e depois trocar o chip flash real . O pendrive USB pode conter um hub USB e, na verdade, ser duas unidades, uma das quais é inserida muito brevemente enquanto você apaga a outra (o que leva muito tempo e, portanto, é lógico que você saia do computador e pegue um café ou algo assim, para que você não tenha chance de perceber).

Além disso, a unidade USB pode nem mesmo ser uma unidade USB. Pode ser um teclado USB que digita extremamente rapidamente alguns comandos no seu computador. A maioria dos sistemas operacionais não verifica a identidade dos teclados conectados. (Sim, este ataque faz realmente existe no mundo real.)

Ou pode ser um modem USB 3G ... e, bem, seu computador está conectado a uma rede não segura aberta novamente.

Pode até não ser um dispositivo USB. Pode ser um microfone ou uma câmera e simplesmente use a porta USB para energia.

Ou, pode não estar tentando instalar malware no seu computador, mas simplesmente tentar destruí-lo, por exemplo, colocando 200V nas linhas de dados .

Jörg W Mittag
fonte
Também pode ser uma unidade USB e uma câmera / microfone / o que quer que seja - para que tudo pareça funcionar bem, sem malware na unidade ... enquanto todos os seus dados estão sendo criptografados lentamente: P USB é flexível e flexibilidade não sempre é uma coisa boa ...
Luaan 26/10