職場の駐車場にあるUSBスティックを安全に調査するにはどうすればよいですか？

私は組み込みソフトウェア会社で働いています。今朝、私は建物の前の駐車場でUSBスティックを見つけました。「ドロップされたUSBスティック攻撃」のすべての話を念頭に置いて、明らかにそれをラップトップに接続するだけではありません。OTOH、これが実際に私たちのシステムを侵害する試みであったのか、それとも誰かが誤ってUSBスティックを紛失したという無実のケースなのかを知りたいです。危険にさらされることなく、USBスティックを安全に検査するにはどうすればよいですか？

マルウェアと巧妙に細工されたファイルシステムイメージだけでなく、心配しています。電力サージ攻撃などもあり
ます。「USB Killer 2.0」は、ほとんどのUSB対応デバイスが電力サージ攻撃に対して脆弱であることを示しています。

編集：答えの多くは、私がドライブを保持し、後でそれを使用したいと仮定しているようです。USBスティックが安価であり、とにかく私のものではないことを知っています。セキュリティペーパーだけでなく、同僚に警告できるように、これが実際に実際の生活で起こるのかという好奇心から、これが実際に半標的攻撃であるかどうかだけを知りたいのです。

スティックにマルウェアが含まれているかどうかを知る方法を知りたい。そして、それは単にドライブの内容を見て、疑わしいautorun.infまたは慎重に作成された破損したファイルシステムを見るだけの問題ではありません。ファームウェアを検査する方法も非常に必要です。それを抽出し、既知の良いバイナリまたは既知の悪いバイナリと比較するためのツールが存在することを期待しています。

使用したくないが好奇心が強い場合-実際にケースを開けて（非常に慎重に）、内部のチップを見てみましょう。

知っている。これはおかしく聞こえますが、識別可能なコントローラーとフラッシュチップが存在するため、USBラバーダックやUSBキラーのようなものではなく、実際のUSBドライブである可能性が高くなります。

次に、他の人が提案することをすべて実行し、使い捨てインストールでテストし、いくつかのブート可能なウイルススキャナーも実行します。その後、安全だと確信できる場合は、ワイプします。

10

駐車場で見つけた疑わしいUSBフラッシュドライブをテストするのに適したセキュリティディストリビューションは、以前はLightweight Portable Security（LPS）と呼ばれていた信頼できるエンドノードセキュリティ（TENS）です。起動可能なUSBフラッシュドライブ。TENS Publicは、信頼できないシステム（ホームコンピューターなど）を信頼できるネットワーククライアントに変えます。作業アクティビティ（またはマルウェア）のトレースをローカルコンピューターのハードドライブに書き込むことはできません。

セキュリティ機能に加えて、TENSには別の有用な目的があります。TENSは完全にRAMから実行されるため、ほぼすべてのハードウェアで起動できます。これにより、他のほとんどのライブブータブルUSB ISOイメージを起動できないコンピューターのUSBポートのテストに役立ちます。

USBGuard

Linuxを使用している場合、USBGuardソフトウェアフレームワークは、デバイス属性に基づく基本的なホワイトリストおよびブラックリスト機能を実装することにより、不正なUSBデバイスからコンピューターを保護するのに役立ちます。ユーザー定義のポリシーを実施するために、2007年以降Linuxカーネルに実装されたUSBデバイス認証機能を使用します。

デフォルトでは、USBGuardは、新しく接続されたすべてのデバイスと、デーモンの起動がそのままになる前に接続されたデバイスをすべてブロックします。

USBGuardを使用してシステムをUSB攻撃から保護する簡単な方法は、まずシステムのポリシーを生成することです。次に、コマンドでusbguard-daemonを起動しますsudo systemctl start usbguard.service。あなたは使用することができますusbguardコマンドラインインターフェイスコマンドおよびそのgenerate-policyサブコマンドを（usbguard generate-policy代わりに、ゼロから1を書くことのあなたのシステムの初期ポリシーを生成します）。このツールは、実行時に現在システムに接続されているすべてのデバイスに対して許可ポリシーを生成します。¹

特徴

• USBデバイス認証ポリシーを記述するための ルール言語
• 動的な相互作用とポリシー実施のためのIPCイン​​ターフェースを備えたデーモンコンポーネント
• 実行中のUSBGuardインスタンスと対話するためのコマンドラインとGUIインターフェイス
• 共有ライブラリに実装されたデーモンコンポーネントと対話するためのC ++ API

¹_{改訂後：USBGuardを使用したUSBセキュリティ攻撃に対するビルトイン保護}

設置

USBGuardはデフォルトでRHEL 7にインストールされます。

Ubuntu 17.04以降にUSBGuardをインストールするには、ターミナルを開いて次を入力します。

sudo apt install usbguard  

Fedora 25以降にUSBGuardをインストールするには、ターミナルを開いて次を入力します：

sudo dnf install usbguard   

CentOS 7以降にUSBGuardをインストールするには、ターミナルを開いて次のように入力します。

sudo yum install usbguard  

USBGuardのソースからコンパイルするには、依存関係として他のいくつかのパッケージをインストールする必要があります。

さまざまなアプローチがありますが、そのスティックにファームウェアが組み込まれたマルウェアがある場合、それは本当に非常に危険です。

1つのアプローチは、多数のLiveCD Linuxディストリビューションの1つをダウンロードし、ハードドライブとネットワーク接続をすべて取り外してから、見てみることです。

古い食器棚を食器棚から取り出し、そこに差し込んでから大きなハンマーで叩くことをお勧めしますが。

最善のアプローチ-気にしないでください！:)

しないでください。それらをゴミ箱に入れるか、Lost / Foundにタイムスタンプを付けて投げます。USBスティックは安価で、マルウェアや物理的な破壊行為から一掃するのにかかる時間よりもはるかに安価です。そこにコンデンサに電荷を蓄え、突然あなたのPCに放電して破壊するUSB​​スティックがあります。

このスレッドはリンクされており、地面に2本のUSBスティックがあります。それで？。もう一方のスレッドには、innaMの答え（コンテンツがあなたのビジネスではないことを示唆しているので所有者に返却するために提出する必要がある）や、ドライブに政府が含まれる可能性があることを示すMike Chessの答えなど、非技術的な考慮事項が含まれています秘密、テロリストの文書、個人情報の盗難、児童ポルノなどで使用されるデータ。これらを所有していると、トラブルに巻き込まれる可能性があります。

両方のスレッドに関する他の回答は、コンテンツを探索しながらマルウェアから身を守る方法に対処していますが、これらの回答は、この質問で提起される「キラーUSB」からあなたを保護しません。他の回答でカバーされていることを再ハッシュするつもりはありませんが、マルウェア（キーストロークを注入するゴム製のアヒルを含む）から自分自身を守るためのすべてのアドバイスが当てはまると言えば十分です。

価値とブランド名

しかし、私は、フラッシュドライブがあまりにも安価であり、煩わしさとリスクに見合う価値がないというクリストファーの人質のポイントから始めます。ドライブが所有者によって要求されていない場合、すべての警告を検討した後、ドライブの価値を検討することから始めて、安全で使用可能にするだけでよいと判断します。それが低容量、標準速度、未知の年齢の無名のドライブであれば、数ドルで新しいものと交換することができます。ドライブの残りの寿命はわかりません。「新鮮な」状態に復元しても、その信頼性や残りの寿命を信頼できますか？

正式にあなたのものである請求されていないドライブの場合に私たちをもたらします、そして：

• 信頼性とパフォーマンスが認められている大容量、高速、ブランド名のドライブであり、
• おそらく最近リリースされた製品のように、新しい状態にあるようです。

これらの基準の1つのポイントは、ドライブが実際に些細な量以上の価値がある可能性があることです。しかし、私の推奨事項は、2番目の理由で他のものと干渉しないことです。Journeyman Geekがコメントで指摘しているように、ゴム製のアヒルとUSBキラーは一般的なパッケージになっています。ブランド名のパッケージは、高価な機器がなければ偽造が困難であり、ブランド名のパッケージを検出できない方法で改ざんすることは困難です。そのため、ブランド名のドライブを使い慣れたものに限定すると、それ自体が少し保護されます。

安全な接続

最初の質問は、それがキラーUSBである可能性がある場合、どのようにシステムに安全に物理的に接続することができるかということです。

ドライブ検査

• 最初の手がかりは、ドライブそのものです。基本的にUSBコネクタに加えて、それを出し入れするためにつかむのに十分なだけのプラスチックであるミニチュアスタイルがあります。特にプラスチックにブランド名が付いている場合、そのスタイルは安全である可能性があります。

• フリップスタイルのドライブはゴム製のアヒルで人気があるため、特に注意してください。

• それがキラーハードウェアを保持するのに十分な大きさの標準サイズのサムドライブである場合、偽造品または改ざんされている兆候がないかどうかケースを調べます。オリジナルのブランドラベル付きケースの場合、拡大して見える兆候を残さずに改ざんすることは困難です。

電気絶縁

• 次のステップは、システムからドライブを分離することです。サムドライブの潜在的な価値を犠牲にして喜んでいる安価なUSBハブを使用してください。さらに良いことに、いくつかのハブをデイジーチェーン接続します。ハブは、非常に高価なコンピューターを「必須」の無料キラーUSBドライブから保護するためのある程度の電気的分離を提供します。

  警告：私はこれをテストしていませんが、これが提供する安全性の程度を知る方法がありません。しかし、システムを危険にさらす場合は、システムへの損傷を最小限に抑えることができます。

LPChipが質問に対するコメントで示唆しているように、それをテストする唯一の「安全な」方法は、使い捨てと見なされるシステムを使用することです。それでも、ほとんどすべての稼働中のコンピューターが役に立つ可能性があることを考慮してください。古くてパワー不足のコンピューターには、軽量でメモリー常駐のLinuxディストリビューションをロードでき、日常的なタスクに驚くほどのパフォーマンスを提供します。フラッシュドライブをテストする目的でごみ箱からコンピューターを取得する場合を除き、稼働中のコンピューターの価値と未知のドライブの価値を比較検討します。

単に所有者を特定したり、USBドライブを再利用したりするのではなく、USBドライブを調査するという目的を説明するために、質問が明確になりました。これは非常に広範な質問ですが、一般的な方法でカバーするようにします。

問題は何でしょうか？

• 「キラーUSB」。このジャンルのデザインを提示して、コンピューターを炒めるためにUSBポートを介して高電圧をポンプします。
• フラッシュドライブパッケージに隠れているカスタムエレクトロニクス。これは、デザイナーが発明できることなら何でもできます。現在の一般的なデザインはゴム製のアヒルです。これは、キーボードをシミュレートして、キーボードからできることを注入します。
• ファームウェアが変更されたフラッシュドライブ。繰り返しますが、デザイナーの想像力によってのみ制限されます。
• マルウェアに感染したフラッシュドライブ。これは事実上あらゆる種類のマルウェアである可能性があります。
• 誰かを捕まえるためのフラッシュドライブ。これは、intelligence報機関、法執行機関、調査員、または機密コンテンツの保護に使用される種類のものです。ドライブにアクセスすると、何らかの形でアラートがトリガーされます。
• 機密情報、盗まれた情報、児童ポルノなど、所有するのに苦労する可能性のある素材を含むフラッシュドライブ
• 悪意のある人は、常に厄介なことをする新しい方法を思い付くので、USBパッケージに含まれるあらゆる種類の危険を知ることはできないでしょう。

ドライブの調査

準備

可能性の範囲を考えると、ドライブを調査するために自分自身を完全に保護することは困難です。

• 潜在的なコンテンツを所有し、検査する許可から開始します。インテリジェンスコミュニティ、法執行機関で働いている場合、または何らかの法的命令またはライセンスを持っている場合、これは簡単です。それ以外の場合は、事前にペーパートレイルを作成して、それが無実の手段で手元にあることを証明します。コンテンツが違法行為または組織犯罪を行っている外国のエージェントに属している場合、ペーパートレイルはあまり保護されない可能性があります。:-)
• インターネットから隔離された仕事。埋め込み無線送信機の可能性から保護したい場合は、ファラデー箱の中で作業してください。
• キラーUSBから独自のハードウェアを保護します。
  • Journeyman Geekが説明しているように、ケースを開いて内臓を調べます。これにより、フラッシュドライブケース内のカスタムエレクトロニクスも識別されます。
  • ドライブを電気的に分離します。光学的に分離されたUSBハブを使用できますが、使い捨てのコンピューターよりも多くを費やすことができます。私の他の回答で示唆したように、ゴミ箱に入れられるコンピューターに接続されたいくつかの安価なUSBハブをデイジーチェーン接続できます。
• 低レベルの攻撃からシステムを保護します。ファームウェアの変更などを防ぐ方法があるかどうかはわかりませんが、復元やゴミ箱を気にしないスペアの安価なコンピューターを使用する以外に。
• マルウェアからシステムを保護します。これは、リンクされたスレッド、ライブLinuxセッションやVMなどの技術を使用して独自のOS、ソフトウェア、およびファイルから分離して動作する、自動実行を無効にするなど、さまざまな回答で説明されています。

調査

• パッケージにフラッシュドライブエレクトロニクス以外のものが含まれている場合は、ケースを開けて確認するしかありません。USBインターフェイスを照会して、どのモデルキラーUSBであるかを尋ねることはできません。
• ドライブにマルウェアが含まれている場合、異なる方法論を採用しているいくつかの評判の良いプログラムを使用してマルウェア対策スキャンを実行することにより、マルウェアを特定します。
• コンテンツの調査は、コンテンツの表示に使用される通常のツールを使用して行われます。これには、物を隠したり、変装した物を探したりするような、ちょっとした探偵の仕事が含まれる場合があります。コンテンツは暗号化されるか、保護される可能性がありますが、これは別の議論です。
• 変更されたファームウェアを調査することは非常に困難です。ファームウェアコードにアクセスするためのツールと、それを比較するための通常のコードが必要になります（独自仕様である可能性が高い）。同一の既知の良好なドライブとファームウェアコードにアクセスするためのツールがある場合、それは比較のソースになりますが、そのコードはベンダー間、場合によっては同じ製品のバージョン間でも異なります。フラッシュドライブが実際に破壊的なプラントである場合は、ファームウェアをリバースエンジニアリングして、その動作を把握する必要があります。

本当にこれをやりたいと思ったら、私ができる限り安いRaspberry Piクローンを購入し、それに差し込むだけです。それがコンピューターを破壊するなら、私はあまり失っていません。OSが感染する可能性は低く、たとえ感染したとしても、何をするのでしょうか？