¿Cómo estar 100% seguro de que una unidad USB no ha sido manipulada y no tiene malware? [duplicar]

18

Esta pregunta ya tiene una respuesta aquí:

Digamos que encuentra una unidad usb en la calle y quiere estar 100% seguro de que no ha sido manipulada, ni a través del software ni modificando su hardware (agregando o modificando componentes, etc.), de modo que no haya riesgo de malware

¿Lo formatea completamente lo suficiente como para estar 100% seguro de que no queda malware? Si es así, ¿lo está formateando completamente con el proceso lento estándar desde Disk Utility en Tails 3.2 lo suficiente como para hacerlo?

Asume la mayor habilidad técnica posible del atacante. No solo escenarios razonables o plausibles.

usb security usb-flash-drive malware malware-removal Norbert
fuente
40
Si el alcance de su pregunta es "asumir la capacidad técnica más alta posible del atacante", entonces la respuesta a su pregunta es simple ... cómo estar 100% seguro: no tome una unidad USB aleatoria en el calle e insértelo en su PC. Aparte de eso, no hay tal cosa como 100% de certeza.
n8te
66
Tirarlo al fuego debe ser 100% seguro.
Aroth
2
¿Desea 1) limpiar el dispositivo para usarlo de manera segura después, o 2) copiar cualquier dato de forma segura sin activar ninguna "trampa" de malware o hardware, o 3) simplemente averiguar si realmente hubo algo sospechoso en eso o no? Creo que las respuestas a estas son al menos ligeramente diferentes. La Q vinculada por @KamilMaciorowski parece ser sobre (3).
ilkkachu
2
@Mawg Aunque no creo que esta pregunta es necesariamente fuera de tema para el Super Usuario , estoy de acuerdo que puede valer la pena migrar a seguridad de la información .
Steven M. Vascellaro
1
¿Qué te hace estar tan seguro de que en realidad es una unidad USB? Es una pieza rectangular de plástico con un conector USB, podría ser literalmente cualquier cosa que use USB.
Tristan

Respuestas:

30

No hay manera de estar 100% seguro de que el USB es seguro y que no albergará malware incluso si se borra. (Si tuviera esa inclinación y tuviera el conocimiento, un pequeño chip con malware, no activo, con un palo de tamaño decente con basura aleatoria, después de X número de ciclos de energía, cambie el chip).

Debe ser muy cauteloso al enchufar cualquier llave USB de origen desconocido en su sistema, ya que los asesinos USB son una cosa y matarán su puerto USB y posiblemente el sistema; para evitar esto, podría usar un concentrador USB sacrificado.

Desafortunadamente, la mayoría de los dispositivos USB son baratos y fáciles de abrir: alguien con cierta habilidad podría reemplazar fácilmente el interior de uno sin indicaciones externas visibles.

davidgo
fuente
1
elie.net/blog/security/… habla sobre un ataque que hace que el USB parezca un teclado; este ataque no se frustraría al limpiar el disco ya que la desagradable carga útil no se presenta como un disco.
davidgo
3
Ponga el que no es de confianza en una licuadora y por uno nuevo de un proveedor confiable, es la única manera de estar seguro.
monstruo de trinquete
8
@ratchetfreak A menos que el disco esté lleno de ántrax o algo y la mezcla lo disperse en los pulmones: P 100% de certeza no tiene sentido. Si encuentra un disco flash con algo ilegal, no tiene que contener malware para causar una gran cantidad de problemas, por ejemplo; y el formato tampoco eliminaría realmente los datos.
Luaan
no necesita otro chip, simplemente reprograme el controlador que está en el dispositivo
Pete Kirkham
@davidgo Podrías ver que es un dispositivo HID (teclado) en lugar de un dispositivo MSC (unidad) con bastante facilidad
endolith
7

Usted asume que está contaminada.

No puedes ser traicionado si nunca hubo confianza para ser traicionado.

Y no sufrirá daño si asume que el daño es lo que sucederá y se prepara para enfrentarlo.

Retire los discos duros, desconéctese de la red, use una unidad de arranque

Si está empeñado en examinar esta unidad USB y desea evitar el malware, puede hacerlo tomando una computadora, quitando todos sus discos duros, desconectándolo de todas las redes (incluida WiFi) y luego inicie con una unidad USB de arranque . Ahora tiene una computadora que no puede contaminarse y que no puede difundir el contenido de la unidad USB encontrada.

Ahora puede montar la unidad USB encontrada y examinar su contenido. Incluso si está contaminado, lo único que alcanza el malware es una computadora "vacía" con un sistema operativo que no le importa si se infecta de todos modos.

Determina tu nivel de paranoia

Tenga en cuenta que incluso esto no es del todo "seguro". Suponga que este es The Perfect Malware ™.

  • Si arranca desde un medio grabable (memoria USB, CD / DVD grabable), esto también puede contaminarse si es grabable y permanece en la computadora al insertar la unidad USB contaminada.

  • Prácticamente todos los periféricos tienen algún tipo de firmware que se puede actualizar. El malware puede elegir anidar allí.

  • Podría terminar con un BIOS dañado que compromete el hardware para siempre, incluso después de quitar la unidad contaminada y apagarla.

Entonces, a menos que esté preparado para tirar todo el hardware después, debe determinar qué tanto desea examinar este dispositivo USB encontrado y qué precio está dispuesto a pagar para 1) mantenerse seguro y 2) tomar las consecuencias si las cosas cambian fuera mal?

Ajuste su paranoia a niveles razonables según los riesgos que esté dispuesto a tomar.

MichaelK
fuente
3
Sería mejor arrancar desde un DVD en vivo en lugar de una memoria USB. De lo contrario, una vez que conecte el USB "sospechoso", terminará con dos unidades USB posiblemente contaminadas. Arranque desde un medio de solo lectura.
Mokubai
3
@Mokubai ¿Seguramente hay imágenes en vivo que le permiten arrancar y luego eliminar el medio desde el que arrancó?
MichaelK
11
Desconectar la red y todas las unidades no es suficiente. Hay mucho más almacenamiento permanente dentro de su computadora, por ejemplo, EFI NVRAM, EFI Flash EEPROM, microcontrolador Flash EEPROM en su teclado y mouse, firmware Flash EEPROM en su tarjeta gráfica, microcódigo de la CPU, etc., etc. . No creo que el malware que parchea el microcódigo de la CPU sea conocido públicamente (lo que, sin embargo, no significa que no exista), pero todos los demás al menos han sido demostrados y algunos incluso utilizados activamente en ataques. No es suficiente desconectar todas las unidades, también necesitas básicamente ...
Jörg W Mittag
99
... tirar la computadora después.
Jörg W Mittag
1
@MichaelKarnerfors puede haber, pero no mencionaste quitar el USB desde el que arrancaste. Sin embargo, estoy de acuerdo con Jörg, hay muchos otros dispositivos de almacenamiento no volátiles además de los que arranca en la computadora.
Mokubai
4

En cuanto a un truco de hardware, un especialista en electricidad absurdamente avanzado con un objetivo específico podría hacer un circuito lógico que verifique que termine de ejecutar su software de limpieza, luego inyecte algo en la computadora host y la unidad flash. Incluso podrían hacer que la unidad parezca algo normal internamente, para un observador casual. Solo recuerda, teóricamente, nada es seguro. La seguridad se basa en el esfuerzo que las personas hacen para hackearlo y el esfuerzo que hace para detenerlos.

materia
fuente
1
pensado para usted: la seguridad se basa en las capas de protección y el tiempo / costo / inconveniente de implementar frente a romper esas capas.
davidgo
77
No es necesario ser un "especialista eléctrico absurdamente avanzado" para poder hacer eso.
glglgl
1

En seguridad, la respuesta a cualquier pregunta que contenga la frase "100%" es siempre un gran NO gordo .

Simplemente formatear, sobrescribir, borrar o cualquier otra cosa que se te ocurra, no es suficiente. ¿Por qué? Porque en todos estos casos, siempre tienes que pasar por el palo para hacer eso. Pero, si soy un mal USB, y me dices que me borre ... ¿por qué debería cumplir? Simplemente podría pretender estar ocupado por un tiempo y luego decirte "Ya terminé", sin haber hecho nada.

Entonces, por ejemplo, el stick simplemente podría ignorar todos los comandos de escritura. O bien, podría ejecutar los comandos de escritura en un chip flash de memoria virtual, esperar a que verifique que la escritura realmente borró todo y luego cambiar el chip flash real . La memoria USB podría contener un concentrador USB y en realidad ser dos unidades, una de las cuales solo se inserta muy brevemente mientras borra la otra (lo que lleva mucho tiempo y, por lo tanto, es lógico que abandone su computadora y tome un café o algo así, para que no tenga la oportunidad de darse cuenta).

Además, es posible que la unidad USB ni siquiera sea una unidad USB. Podría ser un teclado USB que teclea extremadamente rápidamente algunos comandos en su computadora. La mayoría de los sistemas operativos no verifican la identidad de los teclados conectados. (Sí, este ataque no existe realmente en el mundo real.)

O bien, podría ser un módem USB 3G ... y boom, su computadora está conectada a una red abierta no segura nuevamente.

Posiblemente ni siquiera sea un dispositivo USB. Puede ser un micrófono o una cámara, y simplemente use el puerto USB para obtener energía.

O bien, es posible que no esté intentando instalar malware en su computadora, sino simplemente intentar destruirlo, por ejemplo, colocando 200V en las líneas de datos .

Jörg W Mittag
fuente
También podría ser una unidad USB y una cámara / micrófono / lo que sea, para que todo parezca funcionar bien, sin malware en la unidad ... mientras todos sus datos se cifran lentamente: P USB es flexible y la flexibilidad no siempre es bueno ...
Luaan