¿Cómo insertar de forma segura un dispositivo / dispositivo USB en una computadora Linux?

25

Al insertar un dispositivo o dispositivo USB en la computadora, siempre existe el riesgo de que el dispositivo sea malicioso, actúe como un HID y posiblemente cause algún daño en la computadora. ¿Cómo puedo prevenir este problema? ¿Es suficiente deshabilitar HID en un puerto USB específico? ¿Cómo puedo hacer eso?

security usb usb-device hid Martin Heralecký
fuente
2
Escriba reglas de udev personalizadas.
Ipor Sircer
3
(nota al margen: también puede presentarse como un dispositivo de red con DHCP en el otro extremo; también puede intentar generar una oleada para freír la placa base)
Ulrich Schwarz
2
Yo probablemente pedir esto en el security.stackexchange.com sitio ...
thecarpy
1
Cualquier tipo de dispositivo compatible está habilitado de forma predeterminada. Esto no es un problema inherente, ya que tanto los dispositivos de ocultación como los de red pueden ser justo lo que desea usar. Definir la malicia desde el núcleo es mucho más complicado.
Zip
3
¿Cómo investigo con seguridad una memoria USB que se encuentra en el estacionamiento en el trabajo?
Kamil Maciorowski

Respuestas:

34

Instale USBGuard : proporciona un marco para autorizar dispositivos USB antes de activarlos. Puede abrir una notificación cuando conecta un nuevo dispositivo, preguntándole qué hacer; y puede almacenar reglas permanentes para dispositivos conocidos para que no tenga que confirmar una y otra vez. Las reglas se definen utilizando un lenguaje completo con soporte para cualquier atributo USB (incluido el número de serie, el puerto de inserción ...), por lo que puede escribir reglas que sean tan específicas como desee: ponga en la lista blanca este teclado si tiene este identificador, este número de serie , está conectado a este puerto, etc.

Stephen Kitt
fuente
¿Qué hace que los dispositivos conocidos sean "conocidos"? ¿Almacena su identificación o algo así? ¿No puede ser falso también?
Martin Heralecký
44
Los dispositivos conocidos se combinan con un lenguaje de condición enriquecido , puede ser tan específico como desee (incluido el número de serie USB, el puerto de inserción ...). Cualquier cosa puede ser falsificada, pero si te enfrentas a un adversario que está descubriendo lo que has incluido en la lista blanca, probablemente hayas perdido de todos modos. (Por supuesto, nunca puede incluir en la lista blanca nada aparte de su teclado si realmente quiere jugar a lo seguro.)
Stephen Kitt
Énfasis en su teclado, no en "cualquier teclado USB".
Grawity
10

Para completar la otra respuesta, se debe saber que nunca se puede proteger por completo una computadora de dispositivos USB maliciosos. Ha habido varios dispositivos de prueba de concepto y disponibles comercialmente, como el USB Killer, que literalmente puede freír el puerto o la placa base.

El software nunca podrá protegerse de esto, y siempre existe la posibilidad de que pueda ser vulnerable. Si realmente necesita una protección fuerte, haga que los puertos sean físicamente inaccesibles (piense en cajeros automáticos, por ejemplo).

Baptiste Candellier
fuente
77
Supongo que el OP tenía en mente los dispositivos que no intentan destruir físicamente su computadora o su propietario. De lo contrario, un poco de ántrax sería suficiente para que un limpiaparabrisas sea un problema de seguridad.
9ilsdx 9rvj 0lo
1
Sin embargo, creo que todavía es relevante --- seguro, no será un problema en todas (la mayoría) de las situaciones, pero aún así es bueno tener en cuenta si no confías en tu usuario, lo que implica la pregunta.
Baptiste Candellier
1
Sí, estaba preguntando principalmente sobre la seguridad del software. Por supuesto, proteger contra la memoria USB al freír mi placa base es algo diferente. Pero gracias por mencionarlo de todos modos.
Martin Heralecký
1
El OP menciona específicamente los dispositivos HID, que su respuesta no aborda por completo.
Dmitry Grigoryev
0

Una lista de Vid conocidos: ProductId podría agregarse como USB autorizado 'autorizado' Pero debe saber acerca de zappers USB zapper de puerto USB

vikram_u_k
fuente