Como posso navegar com segurança em uma unidade flash USB não confiável? [duplicado]

Digamos que eu tenha uma unidade flash USB que encontrei no chão. Quero ver se há alguma informação que possa me ajudar a devolvê-la ao proprietário, mas moro em uma sociedade urbana. Poderia facilmente conter malware e ficar deitado no chão à espera da próxima vítima.

Como posso navegar pelo conteúdo desta unidade flash USB com segurança?

Havia muitas opções para abri-lo, mas em caso de preocupação com a segurança, ele consumirá mais tempo:

1. Abra-o através de uma versão em CD ao vivo do Linux. Se a unidade flash USB estivesse infectada, infectaria apenas o sistema operacional no CD ao vivo.
2. Inicialize o sistema operacional em uma máquina virtual e teste a unidade flash USB [Nota: você pode configurar o sistema operacional convidado para detectar o USB primeiro, o que desativaria a detecção USB do host].
3. Se você estiver usando uma máquina Windows: Desative autorun.infem um computador local.
4. Se você estiver no mac, monte o USB como somente leitura
5. Você pode desativar a execução automática no mac seguindo estas etapas :

Você precisa remover o trabalho de inicialização automática com o launchctlcomando

Por exemplo, no meu caso, eu já instalei um modem fabricado pela ZTE. Então, procurei por listagens do LAUNCHD usando o launchctl listcomando e esperei por essas strings do modem.

launchctl list | grep -i zte

Mostrando:

5681    -   cn.com.zte.usbswapper.plist

Se você não encontrar seu aplicativo, envie todos os trabalhos para um arquivo. Este comando awk tenta superar a chance de você ter espaços em seu nome da tarefa launchd.

launchctl list 2>/dev/null | awk '
{ x="\""substr($0, match($0, $3), 100)"\""; print x; system("launchctl list " x) }
' > launchList.txt

Abra launchList.txt. O nome do trabalho launchd será mostrado em "..." acima do bloco {}, onde você espera encontrar uma string "Mobile Partner" ou "AutoOpen".

Talvez inspecione o item para ter mais confiança antes da remoção. Coloque "" se houver espaços no nome do trabalho.

launchctl list "cn.com.zte.usbswapper.plist"

Em seguida, basta removê-lo. Este é o comando para parar o carregamento automático. Certifique-se de remover o agente ou o daemon correto.

launchctl remove "cn.com.zte.usbswapper.plist"

Adicione-o novamente, se desejar, usando o caminho completo do arquivo PLIST.

launchctl load /Library/LaunchAgents/cn.com.zte.usbswapper.plist

Digitalize através de um computador e todas as unidades flash USB regularmente.

Nota para BADUSB :

Quando você conecta um dispositivo USB a um computador, o dispositivo informa ao computador que tipo de coisa é, para que o computador possa selecionar o driver apropriado. Por exemplo, um pen drive se declara como um dispositivo "USB Mass Storage", enquanto um teclado é um "Human Interface Device".

BadUSB é uma técnica para reescrever o firmware de um dispositivo USB conectado a partir do computador. Por exemplo, ele pode fazer com que um pen drive se identifique como um mouse e faça com que o ponteiro pule aleatoriamente. Ou poderia fazer com que o pen drive se identificasse como um hub USB com teclado conectado e armazenamento em massa, que, quando conectado, digita uma sequência de pressionamentos de teclas que faz com que um programa no pen drive seja executado.

Se você estava usando o linux e deseja evitar o badusb:

Os ataques de BadUSB são baseados no fato de que os computadores permitem e habilitam dispositivos HID em todas as portas USB. Adaptadores de rede falsos não são um perigo real. Minha resposta tenta descrever como usar o udev para desativar temporariamente a adição de novos dispositivos HID

Para a preparação , crie um arquivo /etc/udev/rules.d/10-usbblock.rulescom o conteúdo:

#ACTION=="add", ATTR{bInterfaceClass}=="03" RUN+="/bin/sh -c 'echo 0 >/sys$DEVPATH/../authorized'"

Se você deseja bloquear outras classes também, procure o número da classe , copie a linha e altere a classe.

Agora você pode bloquear todos os novos dispositivos HID usando o comando

sed -i 's/#//' /etc/udev/rules.d/10-usbblock.rules; udevadm control --reload-rules

e desbloqueie com:

sed -i 's/^/#/' /etc/udev/rules.d/10-usbblock.rules; udevadm control --reload-rules

Antes de desligar, sempre desbloqueie , pois a configuração é persistente e seus dispositivos HID "bons" serão rejeitados na reinicialização.

Não sei se você pode editar o diretório de regras temporário, mas se as alterações afetarem o comportamento, edite-o, pois não será necessário desbloqueá-lo antes do desligamento.

BADUSB Fonte de créditos: Security DMZ

Desative a execução automática no Windows, conforme mencionado aqui: https://support.microsoft.com/en-us/kb/967715

Depois disso, você poderá navegar com segurança pelos arquivos. Se você não executar / abrir arquivos que possam conter vírus / malware, você estará seguro.

O malware pode ser colocado nesses arquivos: .exe, .dll, .scr, .doc (m) **, .xls (m), .xlsb, .ppt (m), .dot (m), .xlt (m ), .pot (m), .bat, .cmd etc.

O malware não pode estar em: .jpeg, .gif, .png, .txt, .docx, .xlsx, .pptx

** Pode ser a versão .doc ou .docm