¿Cómo investigo con seguridad una memoria USB que se encuentra en el estacionamiento en el trabajo?

Trabajo en una empresa de software integrado. Esta mañana encontré una memoria USB en el estacionamiento frente al edificio. Con todas las historias de "ataques de memoria USB caídos" en mente, obviamente no voy a conectarlo a mi computadora portátil. OTOH, tengo curiosidad por saber si esto fue realmente un intento de comprometer nuestros sistemas, o si realmente es solo un caso inocente de alguien que accidentalmente perdió una memoria USB. ¿Cómo inspecciono con seguridad la memoria USB sin arriesgar la exposición?

Me preocupa no solo el malware y las imágenes de sistema de archivos creadas; también hay cosas como los ataques de sobretensión:
'USB Killer 2.0' muestra que la mayoría de los dispositivos habilitados para USB son vulnerables a los ataques de sobretensión .

EDITAR: Muchas de las respuestas parecen suponer que quiero mantener el disco y usarlo después. No tengo ningún interés en eso, sé que las memorias USB son baratas y que, de todos modos, no sería mía. Solo quiero saber si este fue realmente un ataque semi-dirigido, en parte por curiosidad si esto realmente sucede en la vida real y no solo en los documentos de seguridad, sino también para poder advertir a mis compañeros de trabajo.

Quiero saber cómo averiguaría si el dispositivo contiene malware. Y eso no es solo una cuestión de mirar el contenido de la unidad y ver un autorun.inf sospechoso o un sistema de archivos corrupto cuidadosamente diseñado, también quiero una forma de inspeccionar el firmware. Esperaba que hubiera herramientas para extraer eso y compararlo con binarios conocidos buenos o malos conocidos.

Si no quisieras usarlo pero tienes curiosidad, en realidad comenzaría por abrir la carcasa (con mucho cuidado) y echar un vistazo a los chips que hay dentro.

Lo sé. Esto suena loco, pero la presencia de un controlador identificable y un chip flash haría que sea más probable que sea una unidad USB real en lugar de algo así como un pato de goma USB o un asesino USB.

Luego haga lo que todos los demás sugieren y pruébelo en una instalación desechable, ejecute también algunos escáneres de virus de arranque, luego, si está seguro de que es seguro, límpielo.

DIEZ

Una buena distribución de seguridad para probar unidades flash USB sospechosas que encontró en el estacionamiento es Trusted End Node Security (TENS), anteriormente llamada Lightweight Portable Security (LPS), una distribución de seguridad de Linux que se ejecuta completamente desde RAM cuando se inicia desde un Unidad flash USB de arranque. TENS Public convierte un sistema no confiable (como una computadora doméstica) en un cliente de red confiable. No se puede escribir ningún rastro de actividad laboral (o malware) en el disco duro de la computadora local.

Además de la función de seguridad, TENS tiene otro propósito útil. Debido a que se ejecuta completamente desde RAM, TENS puede arrancar en casi cualquier hardware. Esto lo hace útil para probar el puerto USB de una computadora que no puede arrancar la mayoría de las otras imágenes ISO USB de arranque en vivo.

USBGuard

Si está utilizando Linux, el marco de software USBGuard ayuda a proteger su computadora contra dispositivos USB no autorizados mediante la implementación de capacidades básicas de listas blancas y listas negras basadas en los atributos del dispositivo. Para aplicar la política definida por el usuario, utiliza la función de autorización de dispositivo USB implementada en el kernel de Linux desde 2007.

Por defecto, USBGuard bloquea todos los dispositivos recién conectados y los dispositivos conectados antes de que el inicio del demonio se quede como está.

Una forma rápida de comenzar a usar USBGuard para proteger su sistema de ataques USB es generar primero una política para su sistema. Luego, inicie el usbguard-daemon con el comando sudo systemctl start usbguard.service. Puede usar el usbguardcomando de interfaz de línea de comandos y su generate-policysubcomando ( usbguard generate-policy) para generar una política inicial para su sistema en lugar de escribir una desde cero. La herramienta genera una política de permisos para todos los dispositivos actualmente conectados a su sistema en el momento de la ejecución. ¹

Caracteristicas

• Lenguaje de reglas para escribir políticas de autorización de dispositivos USB
• Componente Daemon con una interfaz IPC para interacción dinámica y aplicación de políticas
• Línea de comando e interfaz GUI para interactuar con una instancia USBGuard en ejecución
• API de C ++ para interactuar con el componente daemon implementado en una biblioteca compartida

¹ _{Revisado de: Protección integrada contra ataques de seguridad USB con USBGuard}

Instalación

USBGuard se instala por defecto en RHEL 7.

Para instalar USBGuard en Ubuntu 17.04 y posterior, abra el terminal y escriba:

sudo apt install usbguard  

Para instalar USBGuard en Fedora 25 y posterior, abra el terminal y escriba:

sudo dnf install usbguard   

Para instalar USBGuard en CentOS 7 y posterior, abra el terminal y escriba:

sudo yum install usbguard  

La compilación desde la fuente de USBGuard requiere la instalación de varios otros paquetes como dependencias.

Existen varios enfoques, pero si ese dispositivo tiene malware incorporado en el firmware, realmente es bastante peligroso.

Un enfoque podría ser descargar una de las muchas distribuciones de LiveCD Linux, desconectar los discos duros y las conexiones de red, y luego echar un vistazo.

Sin embargo, creo que recomendaría sacar una computadora portátil vieja del armario, enchufarla y luego golpearla con un martillo grande.

El mejor enfoque: ¡no seas curioso! :)

No lo hagas Tírelos a la basura, o los Perdidos / Encontrados con una marca de tiempo. Las memorias USB son baratas, mucho más baratas que el tiempo dedicado a limpiar malware o sabotaje físico. Hay memorias USB que almacenan la carga en los condensadores y de repente se descargan en su PC, arruinándola.

Este hilo está vinculado con Encontré dos memorias USB en el suelo. ¿Ahora que? . El otro hilo incluye algunas consideraciones no técnicas, como la respuesta de innaM, que sugiere que el contenido no es de su incumbencia y que simplemente debe entregarlo para que lo devuelva al propietario, y la respuesta de Mike Chess, que menciona que la unidad podría contener gobierno secretos, documentos terroristas, datos utilizados en el robo de identidad, pornografía infantil, etc., que podrían ponerlo en problemas por tenerlo en su poder.

Otras respuestas en ambos hilos abordan cómo protegerse del malware mientras explora el contenido, pero esas respuestas no lo protegerán de un "USB asesino", un punto clave planteado en esta pregunta. No repetiré lo que está cubierto en otras respuestas, pero basta con decir que se aplican todos los consejos sobre cómo protegerse del malware (incluidos los patos de goma, que inyectan pulsaciones de teclas).

Valor y marca

Pero comenzaría con el punto de Christopher Hostage acerca de que las unidades flash son demasiado baratas para que valga la pena la molestia y el riesgo. Si el propietario no reclama la unidad y, después de considerar todas las advertencias, decide que solo debe intentar que sea segura y utilizable, comience considerando el valor de la unidad. Si es una unidad de baja capacidad, velocidad estándar, sin nombre de edad desconocida, puede reemplazarla por una nueva por unos pocos dólares. No conoces la vida restante en el disco. Incluso si lo restaura a una condición "fresca", ¿puede confiar en su confiabilidad o en la vida útil restante?

Lo que nos lleva al caso de una unidad no reclamada que es oficialmente suya, y:

• Es una unidad de marca de alta capacidad, alta velocidad de reconocida fiabilidad y rendimiento,
• parece estar en nuevas condiciones, quizás un producto lanzado recientemente, así que sabes que no puede ser muy viejo.

Un punto de estos criterios es que el disco realmente podría valer más que una cantidad trivial. Pero mi recomendación sería no meterse con nada más por una segunda razón. Como Journeyman Geek señala en un comentario, los patos de goma y los asesinos USB vienen en paquetes de aspecto común. El empaque de la marca es difícil de falsificar sin un equipo costoso, y la manipulación de un paquete de marca de manera indetectable es difícil. Por lo tanto, limitarse a unidades familiares de marca ofrece un poco de protección en sí mismo.

Conexión segura

La primera pregunta es cómo puede conectarlo físicamente a su sistema de manera segura si podría ser un USB asesino, y en eso me centraré.

Inspección de manejo

• La primera pista es la unidad, en sí misma. Hay estilos en miniatura que son básicamente el conector USB más el plástico suficiente para tener algo que agarrar para entrar y salir. Es probable que ese estilo sea seguro, especialmente si el plástico tiene el nombre de la marca.

• Las unidades de estilo de volteo son populares para los patos de goma, así que tenga especial cuidado con ellas.

• Si se trata de una memoria USB de tamaño estándar lo suficientemente grande como para contener hardware asesino, inspeccione la caja en busca de señales de que sea una falsificación o que haya sido manipulada. Si se trata del estuche original con la etiqueta de la marca, será difícil manipularlo sin dejar signos visibles con aumento.

Aislamiento electrico

• El siguiente paso sería aislar la unidad de su sistema. Use un concentrador USB barato que esté dispuesto a sacrificar por el valor potencial de la memoria USB. Aún mejor, conecte en cadena varios centros. Los concentradores proporcionarán cierto grado de aislamiento eléctrico que podría proteger su computadora muy costosa de la unidad USB asesina "imprescindible".

  Advertencia: no he probado esto y no tengo forma de saber el grado de seguridad que esto proporcionaría. Pero si va a arriesgar su sistema, podría minimizar el daño.

Como LPChip sugiere en un comentario sobre la pregunta, la única forma "segura" de probarlo es utilizando un sistema que considere desechable. Incluso entonces, considere que casi cualquier computadora que funcione tiene el potencial de ser útil. Una computadora antigua y con poca energía puede cargarse con una distribución de Linux liviana y residente en memoria y proporciona un rendimiento sorprendente para tareas rutinarias. A menos que esté recuperando una computadora de la papelera con el fin de probar la unidad flash, evalúe el valor de una computadora que funcione contra el valor de la unidad desconocida.

La pregunta se ha aclarado para describir el objetivo como investigar la unidad USB en lugar de simplemente identificar al propietario o reutilizarlo. Esta es una pregunta extremadamente amplia, pero trataré de cubrirla de manera general.

¿Cuáles podrían ser los problemas?

• Un "USB asesino". Los diseños actuales de este género bombean alto voltaje a través del puerto USB para freír su computadora.
• Electrónica personalizada escondida en un paquete de memoria USB. Esto podría hacer cualquier cosa que el diseñador pueda inventar. Un diseño actual común es el pato de goma, que simula un teclado para inyectar cualquier cosa que pueda hacer desde el teclado.
• Una unidad flash con firmware modificado. Nuevamente, limitado solo por la imaginación del diseñador.
• Una unidad flash infectada con malware. Esto podría ser prácticamente cualquier variedad de malware.
• Una unidad flash destinada a atrapar a alguien. Este sería el tipo de cosas utilizadas por un servicio de inteligencia, las fuerzas del orden, un investigador o como protección de contenidos sensibles. Acceder a la unidad activaría algún tipo de alerta.
• Una unidad flash que contiene material que podría ocasionarle problemas por poseerla, como información clasificada, información robada, pornografía infantil, etc.
• Las personas con malas intenciones siempre encontrarán nuevas formas de hacer cosas desagradables, por lo que probablemente no podamos conocer todo tipo de peligro contenido en un paquete USB.

Investigando el camino

Preparación

Dada la variedad de posibilidades, es difícil protegerse por completo para investigar la unidad.

• Comience con la autorización para poseer e inspeccionar cualquier contenido potencial. Esto es más fácil si trabaja para la comunidad de inteligencia, las fuerzas del orden o tiene alguna forma de orden legal o licencia. Aparte de eso, establezca un rastro de papel por adelantado que demuestre que está en sus manos por medios inocentes. Si el contenido pertenece a agentes extranjeros que actúan ilegalmente o al crimen organizado, su rastro de papel puede no proporcionar mucha protección. :-)
• Trabajo aislado de Internet. Si desea protegerse contra la posibilidad de un transmisor de radio incorporado, trabaje dentro de una jaula de Faraday.
• Proteja su propio hardware de un USB asesino.
  • Abra el caso e inspeccione las agallas como lo describe Journeyman Geek. Esto también identificaría la electrónica personalizada en una caja de unidad flash.
  • Aislar eléctricamente el variador. Puede usar un concentrador USB ópticamente aislado, pero podría gastar más en eso que una computadora desechable. Como se sugirió en mi otra respuesta, podría conectar en cadena varios concentradores USB baratos conectados a una computadora que se puede cambiar.
• Proteja su sistema de ataques de bajo nivel. No estoy seguro de que haya una manera de protegerse contra algo como alterar su firmware, aparte de usar una computadora barata y de repuesto que no le importe restaurar o tirar a la basura.
• Proteja su sistema del malware. Esto se describe en varias respuestas, incluidos los hilos vinculados, el uso de técnicas como una sesión de Linux en vivo o VM para trabajar aislado de su propio sistema operativo, software y archivos, deshabilitar la ejecución automática, etc.

Investigación

• Si el paquete contiene algo diferente a la electrónica de la unidad flash, abrir la carcasa es la única forma de ver qué es. No puede consultar su interfaz USB para preguntar qué modelo de USB es el asesino.
• Si la unidad contiene malware, eso se identificaría ejecutando análisis antimalware utilizando varios programas acreditados que emplean diferentes metodologías.
• La investigación de los contenidos se realizaría con las herramientas normales utilizadas para mirar los contenidos. Esto podría incluir un poco de trabajo de detective, como mostrar cosas o buscar cosas disfrazadas. El contenido podría estar encriptado o protegido de otra manera, lo cual es una discusión diferente.
• El firmware modificado sería extremadamente difícil de investigar. Necesitaría las herramientas para acceder al código de firmware, más el código normal para compararlo (que probablemente sea propietario). Si tuviera una buena unidad idéntica y conocida y las herramientas para acceder al código de firmware, sería una fuente de comparación, pero ese código variará entre los proveedores y, posiblemente, incluso las versiones del mismo producto. Si la unidad flash es realmente una planta destructiva, tendrías que aplicar ingeniería inversa al firmware para descubrir qué está haciendo.

Si realmente, realmente quisiera hacer esto, simplemente compraría el clon Raspberry Pi más barato que pudiera y lo enchufaría. Si golpea la computadora, no he perdido mucho. Es poco probable que el sistema operativo esté infectado, e incluso si lo está, ¿y qué?