Welche Gefahr besteht beim Einstecken und Durchsuchen eines nicht vertrauenswürdigen USB-Laufwerks?

132

Angenommen, jemand möchte, dass ich einige Dateien auf seinen USB-Stick kopiere. Ich verwende Windows 7 x64 mit vollständigem Patch und deaktiviertem AutoRun (über Gruppenrichtlinien). Ich stecke das USB-Laufwerk ein, öffne es im Windows Explorer und kopiere einige Dateien darauf. Ich kann keine der vorhandenen Dateien ausführen oder anzeigen. Was für schlimme Dinge könnten passieren, wenn ich das tue?

Was ist, wenn ich das unter Linux mache (zB Ubuntu)?

Bitte beachten Sie, dass ich nach Details zu bestimmten Risiken (falls vorhanden) suche und nicht nach "es wäre sicherer, wenn Sie dies nicht tun".

EM0
quelle
6
Es ist unwahrscheinlich, dass das Betrachten einer Verzeichnisliste ein Risiko darstellt. Das Öffnen einer schädlichen PDF-Datei in einer alten, nicht gepatchten Version von Adobe Reader kann ein großes Risiko darstellen. In einigen Fällen kann sogar eine Bildvorschau oder ein Dateisymbol einen Exploit enthalten.
David25272
12
@ david25272, selbst das Betrachten einer Verzeichnisliste könnte ein Risiko darstellen .
Tangrs
5
Es ist ein bisschen wie mit einem Fremden in einen Fahrstuhl zu steigen, die meiste Zeit geht es dir gut, aber wenn der Fremde auch Hannibal Lecter ist ...
PatrickT
59
Sie könnten Ihre Uranzentrifuge brechen en.wikipedia.org/wiki/Stuxnet
Ryans
1
@tangrs, das ist ein großartiges Beispiel für das, wonach ich gesucht habe. Warum nicht als Antwort posten?
EM0

Antworten:

45

Weniger eindrucksvoll durchsucht Ihr GUI-Dateibrowser normalerweise Dateien, um Miniaturansichten zu erstellen. Jeder pdf-basierte, ttf-basierte (Insert Turing-fähige Dateityp hier) Exploit, der auf Ihrem System funktioniert, kann möglicherweise passiv gestartet werden, indem die Datei gelöscht und darauf gewartet wird, dass sie vom Thumbnail-Renderer gescannt wird. Die meisten Exploits, die ich kenne, sind für Windows, aber unterschätzen Sie die Updates für libjpeg nicht.

Sylvainulg
quelle
1
Das ist eine Möglichkeit, also +1. Funktioniert Windows Explorer (oder Nautilus) auch dann, wenn Sie keine Miniaturansichten anzeigen?
EM0
1
@EM Kann vorkommen - neuere Versionen des Explorers können zum Beispiel Miniaturansichten in Unterordnern für hübsche Ordnersymbole im Stammverzeichnis erstellen, selbst wenn diese Unterordner so eingestellt sind, dass Miniaturansichten nie angezeigt werden.
Tynam
Oder versuchen Sie nicht, Thumbnails anzuzeigen, sondern eine Art Metadaten
That Brazilian Guy
1
Dies ist nicht spezifisch für ein über USB eingehängtes Dateisystem. Wenn ein Dateibrowser eine Sicherheitsanfälligkeit aufweist, kann dies auch durch auf Ihren Computer heruntergeladene Dateien ausgelöst werden, z. B. durch E-Mail-Anhänge oder Downloads über den Browser.
HRJ
186

Das Schlimmste, was passieren kann, ist nur durch die Vorstellungskraft Ihres Angreifers begrenzt. Wenn Sie paranoid werden und praktisch jedes Gerät physisch an Ihr System anschließen, kann dies zu einer Gefährdung führen. Zweifellos, wenn das Gerät wie ein einfacher USB-Stick aussieht.

Was ist, wenn es das ist? Bildbeschreibung hier eingeben

Oben abgebildet ist das berüchtigte USB-Gummi-Entchen , ein kleines Gerät, das aussieht wie ein normales USB-Stick , aber beliebige Tastatureingaben an Ihren Computer senden kann. Grundsätzlich kann es tun, was es will, weil es sich als Tastatur registriert und dann eine beliebige Tastenfolge eingibt. Mit dieser Art von Zugriff können alle möglichen bösen Dinge erledigt werden (und das ist nur der erste Treffer, den ich bei Google gefunden habe). Das Ding ist skriptfähig, also ist der Himmel die Grenze.

terdon
quelle
11
Schön, +1! In dem Szenario, an das ich gedacht hatte, ist der USB-Stick als tatsächliches Speichergerät bekannt, und ich vertraue der Person, die ihn mir gibt, um meinen Computer nicht böswillig zu infizieren. (Ich mache mir hauptsächlich Sorgen, dass sie selbst Opfer eines Virus werden könnten.) Aber dies ist ein interessanter Angriff, den ich nicht in Betracht gezogen hatte. Ich nehme an, mit einem Tastaturemulator wie diesem würde ich wahrscheinlich etwas
Merkwürdiges
3
Ich bin mit dieser Antwort einverstanden. Lässt das OP nachdenken :)
Steve
31
+1 "Das Schlimmste, was passieren kann, hängt nur von der Vorstellungskraft Ihres Angreifers ab."
Newb
9
Hak5 - sieht echt aus!
David25272
5
Anscheinend ist das USB-Verbindungsprotokoll dem älteren PS / 2-Port-Protokoll ziemlich ähnlich, weshalb USB häufig für Mäuse und Tastaturen verwendet wird. (Ich könnte mich natürlich irren - ich grabe das aus meinem eigenen Speicher, der hauptsächlich verlustbehaftete Komprimierung aufweist)
Pharap
38

Eine andere Gefahr ist, dass Linux versucht, alles zu mounten (Witz hier unterdrückt) .

Einige der Dateisystemtreiber sind nicht fehlerfrei. Dies bedeutet, dass ein Hacker möglicherweise einen Fehler in Squashfs, Minix, Befs, Cramfs oder Udf finden kann. Dann könnte dieser Hacker ein Dateisystem erstellen, das diesen Fehler ausnutzt, um einen Linux-Kernel zu übernehmen und diesen auf ein USB-Laufwerk zu übertragen.

Dies könnte theoretisch auch Windows passieren. Ein Fehler im FAT- oder NTFS- oder CDFS- oder UDF-Treiber könnte Windows für eine Übernahme öffnen.

Zan Lynx
quelle
+1 Das wäre ein ordentlicher und durchaus möglicher Exploit
Steve
17
Es gibt eine ganze Ebene weiter unten. Dateisysteme weisen nicht nur Fehler auf, sondern der gesamte USB-Stack weist auch Fehler auf , von denen viele im Kernel ausgeführt werden.
Fake Name
4
Und selbst die Firmware Ihres USB-Controllers weist möglicherweise Schwachstellen auf, die ausgenutzt werden können. Es gab einen Exploit, Windows mit einem USB-Stick nur auf Geräte-Enumerations-Ebene zum Absturz zu bringen .
Sylvainulg
7
Was "Linux versucht, etwas zu mounten" betrifft, so ist dies nicht das Standardverhalten des Systems, sondern mit dem Dateiexplorer verknüpft, der proaktiv versucht, etwas zu mounten. Ich bin mir sicher, dass man mit Hilfe von Hilfeseiten, die man lesen kann, feststellen kann, wie man diese deaktiviert und zu "Nur bei Bedarf einhängen" zurückkehrt.
Sylvainulg
5
Sowohl Linux als auch Windows versuchen, alles zu mounten. Der einzige Unterschied ist, dass Linux tatsächlich erfolgreich sein könnte. Dies ist keine Schwäche des Systems, sondern eine Stärke.
Terdon
28

Es gibt verschiedene Sicherheitspakete, mit denen ich ein Autorun-Skript für Linux ODER Windows einrichten kann, das meine Malware automatisch ausführt, sobald Sie sie einstecken. Es ist am besten, keine Geräte anzuschließen, denen Sie nicht vertrauen!

Denken Sie daran, ich kann bösartige Software an so ziemlich jede Art von ausführbarer Datei anhängen, die ich möchte, und für so ziemlich jedes Betriebssystem. Wenn die automatische Ausführung deaktiviert ist, SOLLTEN Sie sicher sein, aber WIEDER, ich vertraue keinen Geräten, bei denen ich auch nur ein bisschen skeptisch bin.

Ein Beispiel dafür finden Sie im Social-Engineer Toolkit (SET) .

Der EINZIGE Weg, um wirklich sicher zu sein, besteht darin, eine Live-Linux-Distribution mit ausgesteckter Festplatte zu starten. Stellen Sie das USB-Laufwerk bereit und schauen Sie es sich an. Ansonsten würfeln Sie.

Wie unten vorgeschlagen, ist es ein Muss, dass Sie das Netzwerk deaktivieren. Es hilft nicht, wenn Ihre Festplatte sicher ist und Ihr gesamtes Netzwerk gefährdet ist. :)

Steve
quelle
3
Auch wenn AutoRun deaktiviert ist, gibt es immer noch Exploits, die bestimmte Wahrheiten ausnutzen. Natürlich gibt es bessere Möglichkeiten, einen Windows-Computer zu infizieren. Es empfiehlt sich, unbekannte Flash-Laufwerke auf Hardware zu scannen, die für diese Aufgabe vorgesehen ist. Diese wird täglich gelöscht und bei einem Neustart auf eine bekannte Konfiguration zurückgesetzt.
Ramhound
2
Als letzten Vorschlag möchten Sie möglicherweise auch das Trennen des Netzwerks einbeziehen. Wenn die Live CD-Instanz infiziert wird, kann sie andere Computer im Netzwerk infizieren, um dauerhafter Fuß zu fassen.
Scott Chamberlain
6
Ramhound, ich würde gerne Beispiele der Exploits sehen, die Sie erwähnt haben (vermutlich bereits gepatcht!). Könnten Sie einige als Antwort posten?
EM0
5
@EM, vor einiger Zeit gab es einen Zero-Day-Exploit, bei dem eine Sicherheitsanfälligkeit bezüglich der Anzeige des Symbols in einer Verknüpfungsdatei (.lnk-Datei) ausgenutzt wurde . Das Öffnen des Ordners mit der Verknüpfungsdatei reicht aus, um den Exploit-Code auszulösen. Ein Hacker hätte eine solche Datei leicht im Stammverzeichnis des USB-Laufwerks ablegen können. Wenn Sie sie öffnen, wird der Exploit-Code ausgeführt.
Tangrs
4
> Der EINZIGE Weg, um wirklich sicher zu sein, besteht darin, eine Linux-Distribution mit nicht angeschlossener Festplatte zu starten. Eine betrügerische Software kann auch Firmware infizieren. Sie sind heutzutage sehr schlecht geschützt.
Sarge Borsch
23

Der USB-Stick kann tatsächlich ein hoch aufgeladener Kondensator sein ... Ich bin mir nicht sicher, ob moderne Motherboards vor solchen Überraschungen geschützt sind, aber ich würde es nicht auf meinem Laptop überprüfen. (es könnten theoretisch alle Geräte brennen)

Aktualisieren:

Siehe diese Antwort: https://security.stackexchange.com/a/102915/28765

und Video davon: YouTube: Testen von USB Killer v2.0.

Sarge Borsch
quelle
3
Ja, das tun sie. Fast alle haben kleine rücksetzbare Sicherungen. Ich fand das electronics.stackexchange.com/questions/66507/… irgendwie interessant.
Zan Lynx
Dieses Video tut meiner Seele weh.
k.stm
6

Einige Malware / Viren werden aktiviert, wenn wir einen Ordner öffnen. Der Hacker kann die Funktion von Windows (oder Linux with Wine ) verwenden, mit der beim Öffnen von ein Symbol bzw. eine Miniaturansicht einiger Dateien (z. B. EXE-, MSI- oder PIF-Dateien oder sogar Ordner mit einem Malware-Symbol) erstellt wird Mappe. Der Hacker findet einen Fehler in Programmen (wie dem Programm, das eine Miniaturansicht erstellt), damit die Malware in Aktion treten kann.

Einige fehlerhafte Geräte können Ihre Hardware , insbesondere das Motherboard, stumm schalten, sodass Sie es möglicherweise nicht bemerken.

Totti
quelle
5

Anscheinend kann ein einfaches USB-Gerät sogar das gesamte Motherboard braten:

Ein russischer Sicherheitsforscher namens "Dark Purple" hat einen USB-Stick mit einer ungewöhnlichen Nutzlast erstellt.

Es wird keine Malware installiert oder eine Zero-Day-Sicherheitsanfälligkeit ausgenutzt. Stattdessen sendet der angepasste USB-Stick 220 Volt (technisch minus 220 Volt) über die Signalleitungen der USB-Schnittstelle und frittiert die Hardware.

https://grahamcluley.com/2015/10/usb-killer/

EM0
quelle
3

Das Schlimmste, was passieren könnte, ist die berüchtigte BadBios- Infektion. Dies infiziert angeblich Ihren USB-Host-Controller, indem er unabhängig von Ihrem Betriebssystem an Ihren Computer angeschlossen wird. Es gibt nur eine begrenzte Anzahl von Herstellern von USB-Chips, und daher ist es nicht allzu weit hergeholt, alle auszunutzen.

Natürlich glauben nicht alle, dass BadBios echt ist, aber es ist das Schlimmste, was Ihrem Computer passieren kann , wenn Sie ein USB-Laufwerk anschließen.

Nick
quelle
2

Auf diese Weise wurde das gesamte klassifizierte Netzwerk des US-Verteidigungsministeriums kompromittiert. Ein USB-Stick wurde auf einem Parkplatz außerhalb eines DOD-Geländes am Boden liegen gelassen. Irgendein Genie hat es mitgenommen und eingesteckt, moderne Spionage ist so langweilig. Ich meine einen USB-Stick in einem Parkplatz, bring 007 zurück!

http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain

screig
quelle