Comment enquêter en toute sécurité sur une clé USB trouvée dans le parking au travail?

Si vous ne voulez pas l'utiliser mais que vous êtes curieux, je commencerai en ouvrant (très soigneusement) le boîtier et en jetant un coup d'œil aux puces à l'intérieur.

Je connais. Cela semble fou, mais la présence d’un contrôleur identifiable et d’une puce flash rendrait plus probable le fait qu’il s’agisse d’un véritable lecteur USB plutôt que d’un dispositif semblable à un canard en caoutchouc USB ou à un tueur USB.

Puis faites ce que tout le monde suggère et testez-le sur une installation jetable, exécutez également quelques analyseurs de virus bootables, puis si vous êtes sûr que tout est en sécurité, nettoyez-le.

DIZAINES

Une bonne distribution de sécurité pour tester les clés USB suspectes trouvées dans le parking est Sécurité du noeud final de confiance (TENS), auparavant appelée Lightweight Portable Security ( LPS), distribution de sécurité Linux entièrement exécutée à partir de RAM lors du démarrage à partir d’un lecteur flash USB amorçable. TENS Public transforme un système non fiable (tel qu'un ordinateur domestique) en un client réseau approuvé. Aucune trace d'activité professionnelle (ou de logiciel malveillant) ne peut être écrite sur le disque dur de l'ordinateur local.

En plus de la fonction de sécurité, TENS a un autre objectif utile. Comme il fonctionne entièrement à partir de la RAM, TENS peut démarrer sur presque n'importe quel matériel. Cela le rend utile pour tester le port USB d'un ordinateur qui ne peut pas démarrer la plupart des autres images ISO USB bootables en direct.

USBGuard

Si vous utilisez Linux, le framework logiciel USBGuard permet de protéger votre ordinateur contre les périphériques USB non autorisés en: mise en œuvre de fonctionnalités de base de listes blanches et de listes noires basées sur les attributs de l'appareil Pour appliquer la stratégie définie par l'utilisateur, il utilise la fonctionnalité d'autorisation de périphérique USB implémentée dans le noyau Linux depuis 2007.

Par défaut, USBGuard bloque tous les nouveaux périphériques connectés et les périphériques connectés avant le démarrage du démon sont laissés tels quels.

Un moyen rapide de commencer à utiliser USBGuard pour protéger votre système contre les attaques USB consiste tout d'abord à générer une stratégie pour votre système. Ensuite, démarrez usbguard-daemon avec la commande Sudo systemctl start usbguard.service. Vous pouvez utiliser la commande d'interface de ligne de commande usbguard et sa sous-commande generate-policy (usbguard generate-policy) pour générer une stratégie initiale pour votre système au lieu de l'écrire à partir de zéro. L'outil génère une politique d'autorisation pour tous les périphériques actuellement connectés à votre système au moment de l'exécution.¹

Caractéristiques

• Langage de règle pour la rédaction de politiques d'autorisation de périphériques USB
• Composant démon avec une interface IPC pour l'interaction dynamique et l'application des règles
• Ligne de commande et interface graphique pour interagir avec une instance USBGuard en cours d'exécution
• API C++ pour interagir avec le composant démon implémenté dans une bibliothèque partagée

¹_{Révisé à partir de: Protection intégrée contre les attaques de sécurité USB avec USBGuard}

Installation

USBGuard est installé par défaut dans RHEL 7.

Pour installer USBGuard dans Ubuntu 17.04 et versions ultérieures, ouvrez le terminal et tapez:

Sudo apt install usbguard  

Pour installer USBGuard dans Fedora 25 et versions ultérieures, ouvrez le terminal et tapez:

Sudo dnf install usbguard   

Pour installer USBGuard dans CentOS 7 et versions ultérieures, ouvrez le terminal et tapez:

Sudo yum install usbguard  

La compilation à partir de la source de USBGuard nécessite l'installation de plusieurs autres packages en tant que dépendances.

Il existe différentes approches, mais si cette clé contient un logiciel malveillant intégré au micrologiciel, cela est vraiment dangereux.

Une approche pourrait consister à télécharger l’une des nombreuses distributions LiveCD Linux, à débrancher tous les disques durs et connexions réseau, puis à regarder.

Je pense cependant que je recommanderais de sortir un ancien ordinateur portable du placard, de le brancher dessus et de le frapper ensuite avec un gros marteau.

Meilleure approche - Ne soyez pas curieux! :)

Ce fil est lié à J'ai trouvé deux clés USB sur le sol. Maintenant quoi? . L'autre fil inclut des considérations non techniques telles que la réponse de innaM, qui suggère que le contenu ne vous concerne pas et que vous devriez simplement le rendre au propriétaire, et la réponse de Mike Chess, qui mentionne que la commande pourrait contenir le gouvernement des secrets, des documents terroristes, des données utilisées dans le vol d'identité, de la pornographie enfantine, etc., qui pourraient vous causer des ennuis pour l'avoir en votre possession.

Les autres réponses des deux discussions traitent de la façon de vous protéger des logiciels malveillants lorsque vous explorez le contenu, mais ces réponses ne vous protégeront pas contre un "killer USB", un point clé posé dans cette question. Je ne reviendrai pas sur ce qui est couvert dans d'autres réponses, mais il suffit de dire que tous les conseils relatifs à la protection contre les logiciels malveillants (y compris les canards en caoutchouc, qui injectent des frappes au clavier) s'appliquent.

Valeur et marque

Mais je commencerais par le point de Christopher Hostage sur le fait que les lecteurs flash sont trop bon marché pour en valoir la peine et le risque. Si le lecteur n'est pas réclamé par le propriétaire, et après avoir pris en compte tous les avertissements, vous décidez que vous devez simplement essayer de le rendre sûr et utilisable, commencez par considérer la valeur du lecteur. S'il s'agit d'une capacité faible, d'une vitesse standard, sans lecteur de nom d'un âge inconnu, vous pouvez la remplacer par une nouvelle unité moyennant quelques dollars. Vous ne connaissez pas la durée de vie restante sur le lecteur. Même si vous le restaurez à l'état "frais", pouvez-vous vous fier à sa fiabilité ou à sa durée de vie restante?

Ce qui nous amène au cas d'un lecteur non réclamé qui est officiellement le vôtre, et:

• c’est un lecteur de grande capacité, à grande vitesse, de marque réputée pour sa fiabilité et ses performances,
• semble être à l'état neuf, peut-être un produit récemment sorti afin que vous sachiez qu'il ne peut pas être très vieux.

L'un des critères de ces critères est que le disque dur pourrait en réalité valoir plus qu'une somme dérisoire. Mais ma recommandation serait de ne rien toucher d'autre pour une deuxième raison. Comme le souligne Journeyman Geek dans un commentaire, les canards en caoutchouc et les tueurs USB se présentent sous une forme commune. Les emballages de marque sont difficiles à contrefaire sans équipement coûteux, et il est difficile d'altérer un emballage de marque de manière indétectable. En vous limitant ainsi aux lecteurs familiers, les lecteurs de marque offrent un peu de protection en soi.

Connexion sécurisée

La première question est de savoir comment vous pouvez physiquement le connecter à votre système en toute sécurité s'il s'agit d'une clé USB meurtrière, et c'est ce sur quoi je vais me concentrer.

Inspection de l'entraînement

• Le premier indice est le lecteur lui-même. Il existe des styles de miniatures qui sont essentiellement le connecteur USB et juste assez de plastique pour avoir quelque chose à saisir pour le faire entrer et sortir. Ce style est susceptible d'être sûr, surtout si le plastique porte le nom de la marque.

• Les disques de style flip sont populaires pour les canards en caoutchouc, soyez donc particulièrement prudent avec eux.

• S'il s'agit d'une clé USB de taille standard suffisamment grande pour contenir du matériel meurtrier, vérifiez si le boîtier contient des signes indiquant qu'il s'agit d'une contrefaçon ou d'une altération. S'il s'agit du boîtier d'origine portant la marque, il sera difficile de le manipuler sans laisser de signes qui seraient visibles avec un grossissement.

Isolation électrique

• La prochaine étape consisterait à isoler le lecteur de votre système. Utilisez un concentrateur USB bon marché que vous êtes prêt à sacrifier pour la valeur potentielle de la clé USB. Mieux encore, daisy chain plusieurs hubs. Le ou les concentrateurs fourniront un certain degré d’isolation électrique qui pourrait protéger votre ordinateur très coûteux du "must have", clé USB gratuite.

  Attention: je n’ai pas testé cela et je n’ai aucun moyen de savoir quel degré de sécurité cela fournirait. Mais si vous allez risquer votre système, cela pourrait minimiser les dommages.

Comme LPChip le suggère dans un commentaire sur la question, le seul moyen "sûr" de le tester consiste à utiliser un système que vous considérez comme jetable. Même dans ce cas, considérez que presque tous les ordinateurs en fonctionnement ont le potentiel d’être utiles. Un ancien ordinateur sous-alimenté peut être chargé avec une distribution Linux légère résidant en mémoire et offrant des performances étonnantes pour les tâches de routine. Sauf si vous extrayez un ordinateur de la corbeille dans le but de tester le lecteur flash, évaluez la valeur d'un ordinateur en fonctionnement par rapport à la valeur du lecteur inconnu.

La question a été clarifiée pour décrire l'objectif comme une enquête sur la clé USB plutôt que comme une simple identification du propriétaire ou une nouvelle utilisation. C'est une question extrêmement vaste, mais je vais essayer de la couvrir de manière générale.

Quels pourraient être les problèmes?

• Un "tueur USB". Les modèles actuels de ce genre pompent la haute tension via le port USB pour faire frire votre ordinateur.
• Électronique personnalisée cachée dans un boîtier de lecteur flash. Cela pourrait faire tout ce que le concepteur peut inventer. Le canard en caoutchouc est une conception courante courante qui simule un clavier pour injecter tout ce que vous pouvez faire à partir du clavier.
• Un lecteur flash avec firmware modifié. Encore une fois, limité seulement par l'imagination du designer.
• Un lecteur flash infecté par des logiciels malveillants. Cela pourrait être pratiquement n'importe quelle variété de malware.
• Un lecteur flash destiné à piéger quelqu'un. Ce serait le genre de chose utilisée par un service de renseignement, l'application de la loi, un enquêteur ou la protection de contenus sensibles. L'accès au lecteur déclencherait une forme d'alerte.
• Une clé USB contenant du matériel qui pourrait vous causer des problèmes, tels que des informations classifiées, des informations volées, de la pornographie mettant en scène des enfants, etc.
• Les personnes mal intentionnées trouveront toujours de nouvelles façons de faire des choses désagréables. Par conséquent, nous ne pouvons probablement pas connaître tous les types de risques contenus dans un package USB.

Enquête sur le lecteur

Préparation

Compte tenu de l'éventail des possibilités, il est difficile de se protéger complètement pour enquêter sur le lecteur.

• Commencez avec l'autorisation de posséder et d'inspecter tout contenu potentiel. Cela est plus facile si vous travaillez pour la communauté du renseignement, les forces de l'ordre, si vous avez un ordre juridique ou une licence. En dehors de cela, établissez à l’avance une trace écrite prouvant qu’elle est entre vos mains par des moyens innocents. Si le contenu appartient à des agents étrangers agissant illégalement ou au crime organisé, votre trace écrite peut ne pas offrir beaucoup de protection. :-)
• Travail isolé d'Internet. Si vous souhaitez vous protéger contre la possibilité d’un émetteur radio intégré, travaillez à l’intérieur d’une cage de Faraday.
• Protégez votre propre matériel contre une clé USB meurtrière.
  • Ouvrez le boîtier et inspectez les entrailles comme décrit par Journeyman Geek. Cela permettrait également d'identifier des composants électroniques personnalisés dans un boîtier de lecteur flash.
  • Isoler électriquement le lecteur. Vous pouvez utiliser un concentrateur USB isolé optiquement, mais vous pourriez dépenser plus que cela en un ordinateur jetable. Comme suggéré dans mon autre réponse, vous pouvez chaîner plusieurs concentrateurs USB bon marché connectés à un ordinateur traçable.
• Protégez votre système des attaques de bas niveau. Je ne suis pas sûr qu'il existe un moyen de se protéger, par exemple, de modifier son micrologiciel, autrement que d'utiliser un ordinateur de rechange bon marché, que vous ne craignez ni de le restaurer ni de le supprimer.
• Protégez votre système contre les logiciels malveillants. Ceci est décrit dans diverses réponses, y compris les threads liés, l'utilisation de techniques telles qu'une session Linux en direct ou VM pour travailler isolé de votre propre système d'exploitation, de vos logiciels et de vos fichiers, la désactivation de l'autorun, etc.

Enquête

• Si l'emballage contient autre chose que de l'électronique de lecteur flash, ouvrir le boîtier est le seul moyen de voir ce dont il s'agit. Vous ne pouvez pas interroger son interface USB pour demander quel est le modèle tueur USB.
• Si le lecteur contient des logiciels malveillants, ceux-ci seront identifiés en exécutant des analyses anti-programmes malveillants à l'aide de plusieurs programmes réputés utilisant différentes méthodologies.
• L'examen du contenu se ferait à l'aide des outils habituels utilisés pour examiner le contenu. Cela pourrait inclure un peu de travail de détective, comme révéler des choses ou chercher des choses déguisées. Le contenu peut être crypté ou autrement protégé, ce qui est une discussion différente.
• Le micrologiciel modifié serait extrêmement difficile à étudier. Vous aurez besoin des outils pour accéder au code du micrologiciel, ainsi que du code normal avec lequel le comparer (qui est probablement propriétaire). Si vous disposiez d'un lecteur identique, connu, et des outils permettant d'accéder au code du micrologiciel, ce serait une source de comparaison, mais ce code varierait selon les fournisseurs et même les versions du même produit. Si le lecteur flash est en réalité une installation destructive, vous devrez procéder à un reverse engineering du microprogramme pour savoir ce qu’il fait.

Ne pas Jetez-les à la poubelle ou les objets perdus/trouvés avec un horodatage. Les clés USB ne coûtent pas cher, beaucoup moins cher que le temps passé à nettoyer les logiciels malveillants ou le sabotage physique. Il existe des clés USB qui stockeront la charge dans des condensateurs et se déchargeront soudainement sur votre PC, le ruinant.

Si je voulais vraiment faire cela, j'achèterais simplement le clone Raspberry Pi le moins cher que je pouvais et le brancherais là-dessus. Si ça zappe l'ordinateur je n'ai pas beaucoup perdu. Le système d'exploitation est peu susceptible d'être infecté, et même si c'est le cas, et alors?