Qual é o perigo de inserir e navegar em uma unidade USB não confiável?

132

Suponha que alguém queira que eu copie alguns arquivos no pen drive. Estou executando o Windows 7 x64 totalmente corrigido com o AutoRun desativado (via Diretiva de Grupo). Insiro a unidade USB, abro-a no Windows Explorer e copio alguns arquivos para ela. Não executo ou visualizo nenhum dos arquivos existentes. Que coisas ruins podem acontecer se eu fizer isso?

E se eu fizer isso no Linux (por exemplo, Ubuntu)?

Observe que estou procurando detalhes de riscos específicos (se houver), e não "seria mais seguro se você não fizer isso".

windows-7 linux security usb-flash-drive autorun EM0
fonte
6
É improvável que olhar para uma lista de diretórios seja um risco. Abrir um PDF malicioso em uma versão antiga sem patch do Adobe Reader pode ser um grande risco. Em alguns casos, mesmo uma visualização de imagem ou um ícone de arquivo pode conter uma exploração.
david25272 31/01
12
@ david25272, até olhar para uma lista de diretórios pode ser um risco .
tangrs
5
É um pouco como entrar em um elevador com um estranho, na maioria das vezes você está bem, mas se o estranho é também conhecido como Hannibal Lecter ...
PatrickT
59
Você poderia quebrar o seu urânio centrífuga en.wikipedia.org/wiki/Stuxnet
Ryans
1
@tangrs, esse é um ótimo exemplo do tipo de coisa que eu estava procurando. Por que não publicá-lo como resposta?
EM0

Respostas:

45

De maneira menos impressionante, o navegador de arquivos da GUI normalmente explora arquivos para criar miniaturas. Qualquer exploração baseada em pdf, baseada em ttf, (inserir o tipo de arquivo compatível com turing aqui) que funciona em seu sistema pode ser potencialmente iniciada passivamente, descartando o arquivo e esperando que ele seja verificado pelo renderizador de miniaturas. Porém, a maioria das explorações que conheço são para Windows, mas não subestimam as atualizações para libjpeg.

sylvainulg
fonte
1
Essa é uma possibilidade, então +1. O Windows Explorer (ou Nautilus) faz isso mesmo que você nunca veja miniaturas?
EM0
1
@EM pode acontecer - as versões recentes do explorer podem, por exemplo, construir miniaturas em subpastas para obter ícones de pastas bonitas na raiz, mesmo que essas subpastas estejam configuradas para nunca mostrar miniaturas.
Tynam
Ou talvez não tente exibir miniaturas, mas algum tipo de metadado
Aquele cara brasileiro
1
Isso não é específico para um sistema de arquivos montado em USB. Se um navegador de arquivos tiver uma vulnerabilidade, ele também poderá ser acionado por arquivos baixados para o seu computador por outros meios, como anexos de email ou downloads pelo navegador.
HRJ
186

O pior que pode acontecer é limitado apenas pela imaginação do seu atacante. Se você for paranóico, conectar fisicamente praticamente qualquer dispositivo ao seu sistema significa que ele pode ser comprometido. Duplamente, se esse dispositivo se parece com um simples dispositivo USB.

E se for isso? insira a descrição da imagem aqui

Na foto acima, está o famoso patinho de borracha USB , um pequeno dispositivo que se parece com um pen drive normal, mas pode fornecer pressionamentos de tecla arbitrários no computador. Basicamente, ele pode fazer o que quiser, porque se registra como um teclado e entra na sequência de teclas que deseja. Com esse tipo de acesso, ele pode fazer todo tipo de coisas desagradáveis (e esse é apenas o primeiro hit que encontrei no Google). A coisa é programável, então o céu é o limite.

Terdon
fonte
11
Bom, +1! No cenário que eu tinha em mente, o pendrive é conhecido por ser um dispositivo de armazenamento real e confio que a pessoa que me fornece não infecte maliciosamente o meu computador. (Estou mais preocupado que eles possam ser vítimas de um vírus.) Mas este é um ataque interessante que eu não havia considerado. Suponho com um emulador de teclado como esse eu provavelmente iria notar algo estranho acontecendo, mas pode haver maneiras mais furtivos ...
EM0
3
Eu aprovo esta resposta. Faz com que o OP pense :)
steve
31
+1 "O pior que pode acontecer é limitado apenas pela imaginação do seu atacante."
Newb
9
Hak5 - parece legítimo!
david25272 31/01
5
Aparentemente, o protocolo de conexão USB é bastante semelhante ao antigo protocolo de porta PS / 2, motivo pelo qual o USB é comumente usado para ratos e teclados. (Eu posso estar errado, claro - eu estou cavando isso da minha própria memória, que apresenta compressão principalmente lossy)
Pharap
38

Outro perigo é que o Linux tentará montar qualquer coisa (piada suprimida aqui) .

Alguns dos drivers do sistema de arquivos não apresentam erros. O que significa que um hacker pode encontrar um bug em, por exemplo, squashfs, minix, befs, cramfs ou udf. Então esse hacker poderia criar um sistema de arquivos que explora esse bug para assumir o controle de um kernel Linux e colocá-lo em uma unidade USB.

Teoricamente, isso também poderia acontecer com o Windows. Um bug no driver FAT ou NTFS ou CDFS ou UDF pode abrir o Windows para uma aquisição.

Zan Lynx
fonte
+1 Isso seria uma exploração pura e inteiramente possível
steve
17
Há um nível inteiro mais abaixo. Não apenas os sistemas de arquivos têm bugs, mas toda a pilha USB possui bugs , e muito disso é executado no kernel.
Nome Falsificado
4
E mesmo o firmware do seu controlador USB pode ter pontos fracos que podem ser explorados. Houve uma exploração de colidir com o Windows com um pendrive apenas no nível de enumeração de dispositivos .
sylvainulg
7
Quanto ao "linux tentando montar qualquer coisa", esse não é o comportamento padrão do sistema, mas está vinculado ao seu explorador de arquivos que tenta montar de forma proativa. Tenho certeza de que páginas de manual falsas podem revelar como desativar isso e voltar a "montar apenas sob demanda".
sylvainulg
5
O Linux e o Windows tentam montar tudo. A única diferença é que o Linux pode realmente ter sucesso. Isso não é uma fraqueza do sistema, mas uma força.
terdon 2/02
28

Existem vários pacotes de segurança que me permitem configurar um script de execução automática para Linux ou Windows, executando automaticamente meu malware assim que você o conecta. É melhor não conectar dispositivos nos quais você não confia!

Lembre-se de que posso anexar software malicioso a praticamente qualquer tipo de executável que desejar e a praticamente qualquer sistema operacional. Com a execução automática desativada, você DEVE estar seguro, mas NOVAMENTE, eu não confio em dispositivos com os quais eu sou menos cético.

Para um exemplo do que pode fazer isso, consulte O conjunto de ferramentas de engenheiro social (SET) .

A única maneira de realmente ser seguro é inicializar uma distribuição Linux ao vivo, com o disco rígido desconectado. E monte a unidade USB e dê uma olhada. Fora isso, você está jogando os dados.

Como sugerido abaixo, é necessário que você desative a rede. Não ajuda se o seu disco rígido está seguro e toda a sua rede fica comprometida. :)

Steve
fonte
3
Mesmo se o AutoRun estiver desativado, ainda existem explorações que se aproveitam de certas verdades. Obviamente, existem maneiras melhores de infectar uma máquina Windows. É melhor verificar as unidades flash desconhecidas no hardware deduzido para essa tarefa, que é apagada diariamente e restaurada para uma configuração conhecida se reiniciada.
Ramhound 30/01
2
Para sua sugestão final, você pode incluir a desconexão da rede também, se a instância do Live CD for infectada, ela poderá infectar outras máquinas na rede para uma posição mais persistente.
Scott Chamberlain
6
Ramhound, gostaria de ver exemplos das façanhas que você mencionou (provavelmente já foi corrigido agora!) Você poderia postar algumas como resposta?
EM0
5
@EM, houve uma exploração de dia zero há algum tempo que aproveitava a vulnerabilidade de como o ícone era exibido em um arquivo de atalho (arquivo .lnk). Basta abrir a pasta que contém o arquivo de atalho para ativar o código de exploração. Um hacker poderia facilmente colocar esse arquivo na raiz da unidade USB; assim, quando você o abrir, o código de exploração será executado.
tangrs
4
> A única maneira de realmente ser seguro é inicializar uma distribuição Linux ao vivo, com o disco rígido desconectado ... - não, um software nocivo também pode infectar o firmware. Eles estão muito mal protegidos hoje em dia.
Sarge Borsch
23

O pen drive pode realmente ser um capacitor altamente carregado ... Não sei se as placas-mãe modernas têm alguma proteção contra essas surpresas, mas não o verificaria no meu laptop. (poderia queimar todos os dispositivos, teoricamente)

Atualizar:

veja esta resposta: https://security.stackexchange.com/a/102915/28765

e vídeo dele: YouTube: Teste do USB Killer v2.0.

Sarge Borsch
fonte
3
Sim, eles fazem. Quase todos eles têm pequenos fusíveis rearmáveis. Achei esse electronics.stackexchange.com/questions/66507/… interessante.
Zan Lynx
Este vídeo machuca minha alma.
precisa saber é
6

Alguns malwares / vírus são ativados quando abrimos uma pasta. O hacker pode usar o recurso do Windows (ou Linux com Wine ), que começa a criar um ícone / miniatura de alguns arquivos (por exemplo, arquivos .exe, .msi ou .pif, ou mesmo pastas com um ícone de malware) ao abrir um pasta. O hacker encontra um bug em programas (como o programa que cria uma miniatura) para permitir que o malware entre em ação.

Alguns dispositivos defeituosos podem danificar seu hardware , especialmente a placa-mãe, e na maioria das vezes silenciosamente, portanto, você pode não estar ciente disso.

totti
fonte
5

Aparentemente, um simples dispositivo USB pode até fritar a placa-mãe inteira:

Um pesquisador de segurança russo conhecido como "Dark Purple" criou um dispositivo USB que contém uma carga útil incomum.

Não instala malware ou explora uma vulnerabilidade de dia zero. Em vez disso, o dispositivo USB personalizado envia 220 Volts (tecnicamente menos 220 Volts) pelas linhas de sinal da interface USB, fritando o hardware.

https://grahamcluley.com/2015/10/usb-killer/

EM0
fonte
3

A pior coisa que poderia acontecer é a infame infecção pelo BadBios . Isso supostamente infecta seu controlador USB Host, conectando-o ao seu computador, independentemente do seu sistema operacional. Há uma gama limitada de fabricantes de chips USB e, portanto, a exploração de todos eles não é muito fácil.

É claro que nem todo mundo acredita que o BadBios é real, mas é a pior coisa que pode acontecer ao seu computador conectando uma unidade USB.

usuario
fonte
2

Foi assim que toda a rede de classificados do Departamento de Defesa dos EUA foi comprometida. Um pendrive foi deixado no chão em um estacionamento do lado de fora de um local do Departamento de Defesa. Algum gênio pegou o levou para dentro e o conectou, a espionagem moderna é tão chata. Quero dizer um pendrive em um estacionamento, traga de volta 007!

http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain

Screig
fonte