¿Cuál es el peligro de insertar y explorar una unidad USB no confiable?

132

Supongamos que alguien quiere que copie algunos archivos en su memoria USB. Estoy ejecutando Windows 7 x64 completamente parcheado con AutoRun desactivado (a través de la Política de grupo). Inserto la unidad USB, la abro en el Explorador de Windows y le copio algunos archivos. No ejecuto ni veo ninguno de los archivos existentes. ¿Qué cosas malas podrían pasar si hago esto?

¿Qué pasa si hago esto en Linux (por ejemplo, Ubuntu)?

Tenga en cuenta que estoy buscando detalles de riesgos específicos (si los hay), no "sería más seguro si no hace esto".

EM0
fuente
66
Mirar un listado de directorio es poco probable que sea un riesgo. Abrir un PDF malicioso en una versión antigua sin parches de Adobe Reader podría ser un gran riesgo. En algunos casos, incluso una vista previa de la imagen o un icono de archivo pueden contener una vulnerabilidad.
david25272
12
@ david25272, incluso mirar un listado de directorio podría ser un riesgo .
Tangrs
55
Es un poco como subir a un ascensor con un extraño, la mayoría de las veces estás bien, pero si el extraño es también conocido como Hannibal Lecter ...
PatrickT
59
Podría romper su centrífuga de uranio en.wikipedia.org/wiki/Stuxnet
RyanS
1
@tangrs, ese es un gran ejemplo del tipo de cosas que estaba buscando. ¿Por qué no publicarlo como respuesta?
EM0

Respuestas:

45

De manera menos impresionante, su navegador de archivos GUI normalmente explorará archivos para crear miniaturas. Cualquier exploit basado en pdf, basado en ttf, (inserte aquí un tipo de archivo con capacidad de turing) que funcione en su sistema podría lanzarse pasivamente al soltar el archivo y esperar a que el renderizador de miniaturas lo escanee. Sin embargo, la mayoría de las vulnerabilidades que conozco son para Windows, pero no subestimes las actualizaciones para libjpeg.

sylvainulg
fuente
1
Esa es una posibilidad, entonces +1. ¿Windows Explorer (o Nautilus) hace esto incluso si nunca ve miniaturas?
EM0
1
@EM Podría suceder: las versiones recientes del explorador podrían, por ejemplo, construir miniaturas en subcarpetas para bonitos iconos de carpeta en la raíz, incluso si esas subcarpetas están configuradas para nunca mostrar miniaturas.
Tynam 01 de
O tal vez no intente mostrar miniaturas, sino más bien algún tipo de metadatos
ese tipo brasileño
1
Esto no es específico de un sistema de archivos montado en USB. Si un navegador de archivos tiene una vulnerabilidad, podría ser activado por archivos descargados a su computadora a través de otros medios también, como archivos adjuntos de correo electrónico o descargas a través del navegador.
HRJ
186

Lo peor que puede pasar está limitado solo por la imaginación de su atacante. Si va a ser paranoico, conectar físicamente casi cualquier dispositivo a su sistema significa que puede verse comprometido. Doblemente si ese dispositivo parece una simple memoria USB.

¿Y si es esto? ingrese la descripción de la imagen aquí

En la foto de arriba se encuentra el infame patito de goma USB , un pequeño dispositivo que se parece a un pen drive normal pero que puede proporcionar pulsaciones de teclado arbitrarias a su computadora. Básicamente, puede hacer lo que quiera porque se registra como un teclado y luego ingresa la secuencia de teclas que desee. Con ese tipo de acceso, puede hacer todo tipo de cosas desagradables (y ese es solo el primer éxito que encontré en Google). La cosa es programable, por lo que el cielo es el límite.

terdon
fuente
11
¡Bonito, +1! En el escenario que tenía en mente, se sabe que la memoria USB es un dispositivo de almacenamiento real y confío en que la persona que me la da no infecte maliciosamente mi computadora. (Me preocupa sobre todo que puedan ser víctimas de un virus). Pero este es un ataque interesante que no había considerado. Supongo que con un emulador de teclado como este probablemente notaría que algo extraño está sucediendo, pero podría haber formas más sigilosas ...
EM0
3
Apruebo esta respuesta. Hace que el OP piense :)
steve
31
+1 "Lo peor que puede pasar está limitado solo por la imaginación de tu atacante".
Newb
99
Hak5: ¡parece legítimo!
david25272
55
Aparentemente, el protocolo de conexión USB es bastante similar al protocolo de puerto PS / 2 anterior, por lo que el USB se usa comúnmente para ratones y teclados. (Podría estar equivocado, por supuesto, estoy desenterrando esto de mi propia memoria, que presenta principalmente compresión con pérdida)
Pharap
38

Otro peligro es que Linux intentará montar cualquier cosa (broma suprimida aquí) .

Algunos de los controladores del sistema de archivos no están libres de errores. Lo que significa que un hacker podría encontrar un error en, por ejemplo, squashfs, minix, befs, cramfs o udf. Entonces ese hacker podría crear un sistema de archivos que explote ese error para apoderarse de un kernel de Linux y ponerlo en una unidad USB.

En teoría, esto también podría sucederle a Windows. Un error en el controlador FAT o NTFS o CDFS o UDF podría abrir Windows a una toma de control.

Zan Lynx
fuente
+1 Eso sería una hazaña ordenada y completamente posible
steve
17
Hay un nivel completo más abajo. No solo los sistemas de archivos tienen errores, sino que toda la pila USB tiene errores , y gran parte de eso se ejecuta en el núcleo.
Nombre falso
44
E incluso el firmware de su controlador USB puede tener debilidades que pueden ser explotadas. Ha habido una hazaña de estrellarse en Windows con una memoria USB simplemente en el nivel de enumeración de dispositivos .
sylvainulg
77
En cuanto a "Linux tratando de montar cualquier cosa", este no es el comportamiento predeterminado del sistema, pero está vinculado a su explorador de archivos que trata de montar de manera proactiva. Estoy seguro de que las páginas de manual de espeleología podrían revelar cómo desactivar esto y volver a "montar solo bajo demanda".
sylvainulg
55
Tanto Linux como Windows intentan montar todo. La única diferencia es que Linux podría tener éxito. Esto no es una debilidad del sistema sino una fortaleza.
terdon 02 de
28

Hay varios paquetes de seguridad que me permiten configurar un script de ejecución automática para Linux o Windows, ejecutando automáticamente mi malware tan pronto como lo conecte. ¡Es mejor no enchufar dispositivos en los que no confía!

Tenga en cuenta que puedo adjuntar software malicioso a casi cualquier tipo de ejecutable que quiera, y para casi cualquier sistema operativo. Con la ejecución automática desactivada, DEBERÍAS estar a salvo, pero OTRA VEZ, no confío en los dispositivos de los que soy un poco escéptico.

Para ver un ejemplo de lo que puede hacer esto, consulte The Social-Engineer Toolkit (SET) .

La ÚNICA forma de estar realmente seguro es iniciar una distribución de Linux en vivo, con el disco duro desconectado ... Y montar la unidad USB y echar un vistazo. Aparte de eso, estás tirando los dados.

Como se sugiere a continuación, es imprescindible que deshabilite las redes. No ayuda si su disco duro es seguro y toda su red se ve comprometida. :)

Steve
fuente
3
Incluso si AutoRun está desactivado, todavía existen vulnerabilidades que aprovechan ciertas verdades. Por supuesto, hay mejores formas de infectar una máquina con Windows. Lo mejor es escanear unidades flash desconocidas en hardware deshabilitado para esa tarea, que se limpia a diario y se restaura a una configuración conocida si se reinicia.
Ramhound
2
Para su sugerencia final, es posible que también desee incluir la desconexión de la red, si la instancia de Live CD se infecta, podría infectar otras máquinas en la red para un punto de apoyo más persistente.
Scott Chamberlain
66
Ramhound, me gustaría ver ejemplos de las hazañas que mencionaste (¡presumiblemente parcheadas ahora!) ¿Podrías publicar algunas como respuesta?
EM0
55
@EM, hubo una explotación de día cero hace un tiempo que aprovechó una vulnerabilidad en cómo se mostraba el icono en un archivo de acceso directo (archivo .lnk). Solo abrir la carpeta que contiene el archivo de acceso directo es suficiente para activar el código de explotación. Un pirata informático podría haber puesto fácilmente dicho archivo en la raíz de la unidad USB para que cuando lo abra, se ejecute el código de explotación.
enreda el
44
> La ÚNICA forma de estar verdaderamente seguro es iniciar una distribución de Linux en vivo, con su disco duro desconectado ... - no, un software malicioso también puede infectar el firmware. Están muy mal protegidos hoy en día.
Sarge Borsch
23

La memoria USB en realidad puede ser un condensador altamente cargado ... No estoy seguro de si las placas base modernas tengan alguna protección contra tales sorpresas, pero no lo comprobaría en mi computadora portátil. (Teóricamente podría quemar todos los dispositivos)

Actualizar:

vea esta respuesta: https://security.stackexchange.com/a/102915/28765

y video de ella: YouTube: prueba USB Killer v2.0.

Sarge Borsch
fuente
3
Ellos si. Casi todos ellos tienen pequeños fusibles reiniciables. Encontré que este electronics.stackexchange.com/questions/66507/… es algo interesante.
Zan Lynx
Este video me duele el alma.
k.stm
6

Algunos malware / virus se activan cuando abrimos una carpeta. El hacker puede usar la función de Windows (o Linux con Wine ) que comienza a crear un ícono / miniatura de algunos archivos (por ejemplo, archivos .exe, .msi o .pif, o incluso carpetas con un ícono de malware) al abrir un carpeta. El hacker encuentra un error en los programas (como el programa que crea una miniatura) para que el malware pueda entrar en acción.

Algunos dispositivos defectuosos pueden matar su hardware , especialmente la placa base, y la mayoría de las veces en silencio, por lo que es posible que no se dé cuenta.

totti
fuente
5

Aparentemente, un simple dispositivo USB puede incluso freír toda la placa base:

Un investigador de seguridad ruso conocido como "Dark Purple" ha creado una memoria USB que contiene una carga útil inusual.

No instala malware ni explota una vulnerabilidad de día cero. En cambio, la memoria USB personalizada envía 220 voltios (técnicamente menos 220 voltios) a través de las líneas de señal de la interfaz USB, friendo el hardware.

https://grahamcluley.com/2015/10/usb-killer/

EM0
fuente
3

Lo peor que podría pasar es la infame infección de BadBios . Esto supuestamente infecta su controlador USB Host al enchufarlo a su computadora independientemente de su sistema operativo. Hay una gama limitada de fabricantes de chips USB, por lo que explotarlos no es demasiado descabellado.

Por supuesto, no todos creen que BadBios es real, pero es lo peor que le puede pasar a su computadora conectando una unidad USB.

Mella
fuente
2

Esto es más o menos cómo se vio comprometida toda la red clasificada del Departamento de Defensa de los Estados Unidos. Se dejó una memoria USB en el suelo en un aparcamiento fuera de un sitio del Departamento de Defensa. Un genio lo recogió, lo llevó adentro y lo enchufó, el espionaje moderno es muy aburrido. Me refiero a una memoria USB en un aparcamiento, ¡trae de vuelta 007!

http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain

grito
fuente