Bagaimana menjadi 100% yakin USB drive belum dirusak dan tidak memiliki malware? [duplikat]

18

Katakanlah Anda menemukan drive usb di jalan dan Anda ingin 100% yakin itu belum dirusak, baik melalui perangkat lunak maupun dengan memodifikasi perangkat kerasnya (menambah atau memodifikasi komponen, dll.), Sehingga tidak ada risiko malware

Apakah sepenuhnya memformatnya cukup untuk 100% yakin tidak ada malware yang tersisa? Jika demikian, apakah sepenuhnya memformatnya dengan proses lambat standar dari dalam Disk Utility di Tails 3.2 cukup untuk melakukannya?

Asumsikan kemampuan teknis setinggi mungkin dari penyerang. Bukan hanya skenario yang masuk akal atau masuk akal.

usb security usb-flash-drive malware malware-removal Norbert
sumber
40
Jika ruang lingkup pertanyaan Anda adalah untuk "mengasumsikan kemampuan teknis setinggi mungkin dari penyerang" maka jawaban untuk pertanyaan Anda sederhana ..... bagaimana menjadi 100% pasti: jangan mengambil drive USB acak pada jalan dan masukkan ke PC Anda. Selain itu tidak ada yang namanya kepastian 100%.
n8te
6
Melemparkannya ke api harus 100% pasti.
Agustus
2
Apakah Anda ingin 1) membersihkan tongkat untuk menggunakannya dengan aman sesudahnya, atau 2) menyalin data apa pun darinya dengan aman tanpa memicu malware atau "perangkap" perangkat keras di dalamnya, atau 3) cari tahu apakah memang ada sesuatu yang mencurigakan di sana atau tidak? Saya pikir jawaban untuk ini setidaknya sedikit berbeda. Q yang dikaitkan oleh @KamilMaciorowski tampaknya sekitar (3).
ilkkachu
2
@ Mawg Sementara saya tidak berpikir pertanyaan ini selalu di luar topik untuk Pengguna Super , saya setuju bahwa mungkin ada baiknya bermigrasi ke Keamanan Informasi .
Stevoisiak
1
Apa yang membuat Anda begitu yakin itu sebenarnya USB drive? Ini adalah sepotong plastik persegi panjang dengan colokan USB di atasnya - itu bisa berupa apa saja yang menggunakan USB.
Tristan

Jawaban:

30

Tidak ada cara untuk memastikan 100% USB aman, dan itu tidak akan menyembunyikan malware bahkan jika dihapus. (Jika saya seperti itu cenderung, dan memiliki pengetahuan, sebuah chip kecil dengan malware, tidak aktif, dengan tongkat ukuran yang layak dengan omong kosong acak - setelah X jumlah siklus daya, ganti chip).

Anda harus sangat berhati-hati dalam memasukkan kunci USB apa pun yang tidak diketahui asalnya ke dalam sistem Anda karena USB killer adalah hal yang penting, dan akan mematikan port USB Anda, dan mungkin sistem - untuk mengatasi hal ini Anda mungkin dapat menggunakan hub USB pengorbanan.

Sayangnya sebagian besar stik USB murah dan mudah dibuka - seseorang dengan beberapa keterampilan dapat dengan mudah mengganti bagian dalam dari satu tanpa indikasi yang terlihat secara eksternal.

davidgo
sumber
1
elie.net/blog/security/... berbicara tentang serangan yang membuat USB terlihat seperti keyboard - serangan ini tidak akan digagalkan dengan menyeka disk karena muatan jahat tidak hadir sebagai disk.
davidgo
3
letakkan yang tidak dipercaya dalam blender dan yang baru dari vendor tepercaya, itu satu-satunya cara untuk memastikan.
ratchet freak
8
@ scratchetfreak Kecuali jika drive dibubuhi anthrax atau apalah dan blendingnya menyebar ke paru-paru Anda: P 100% kepastian tidak masuk akal. Jika Anda menemukan flash disk dengan sesuatu yang ilegal, itu tidak harus mengandung malware untuk menyebabkan Anda mengalami banyak masalah, misalnya; dan pemformatan juga tidak akan menghapus data.
Luaan
Anda tidak memerlukan chip lain, hanya memprogram ulang pengontrol yang ada di tongkat - bunniestudios.com/blog/?p=3554
Pete Kirkham
@davidgo Anda bisa melihat bahwa ini adalah perangkat HID (keyboard) dan bukan perangkat MSC (drive) dengan cukup mudah
endolith
7

Anda menganggap itu tercemar.

Anda tidak bisa dikhianati jika tidak pernah ada kepercayaan untuk dikhianati.

Dan Anda tidak akan menderita celaka jika Anda menganggap bahwa celaka itulah yang akan terjadi dan bersiap untuk menemuinya.

Hapus hard drive, putuskan sambungan dari jaringan, gunakan drive yang dapat di-boot

Jika Anda sangat ingin memeriksa drive USB ini dan ingin menghindari malware, Anda dapat melakukannya dengan mengambil komputer, melepaskan semua hard drive-nya, mencabutnya dari semua jaringan (termasuk WiFi) dan kemudian mem-boot-nya menggunakan drive USB yang dapat di-boot. . Sekarang Anda memiliki komputer yang tidak dapat dinodai dan tidak dapat menyebarkan konten drive USB yang ditemukan.

Sekarang Anda dapat memasang drive USB yang ditemukan dan memeriksa isinya. Bahkan jika itu tercemar, satu-satunya hal yang mencapai malware adalah komputer "kosong" dengan OS yang Anda tidak peduli jika terinfeksi.

Tentukan tingkat paranoia Anda

Perhatikan bahwa ini pun tidak sepenuhnya "aman". Asumsikan bahwa ini adalah The Perfect Malware ™.

  • Jika Anda mem-boot dari media yang dapat ditulisi (stik USB, CD / DVD yang dapat ditulisi), maka ini juga bisa ternoda jika dapat ditulis dan tetap berada di komputer saat Anda memasukkan drive USB yang tercemar.

  • Praktis semua periferal memiliki beberapa jenis firmware yang dapat diperbarui. Malware dapat memilih untuk bersarang di sana.

  • Anda dapat berakhir dengan BIOS yang rusak yang membahayakan perangkat keras untuk selamanya bahkan setelah Anda melepaskan drive yang tercemar dan dimatikan.

Jadi, kecuali jika Anda siap untuk membuang semua perangkat keras setelah itu, Anda perlu menentukan seberapa buruk Anda ingin memeriksa USB stick yang ditemukan ini dan berapa harga yang Anda bayarkan untuk 1) tetap aman dan 2) mengambil konsekuensinya jika keadaan berubah buruk?

Sesuaikan paranoia Anda ke tingkat yang wajar sesuai dengan risiko apa yang ingin Anda ambil.

MichaelK
sumber
3
Anda akan lebih baik mem-boot dari DVD langsung daripada stik USB. Kalau tidak, sekali Anda mencolokkan "tersangka" USB, Anda berakhir dengan dua drive USB yang tercemar. Boot dari media hanya baca.
Mokubai
3
@Mokubai Tentunya ada gambar langsung yang memungkinkan Anda untuk boot dan kemudian menghapus media dari mana Anda boot?
MichaelK
11
Memutus koneksi jaringan dan semua drive tidak cukup. Ada lebih banyak penyimpanan permanen di dalam komputer Anda, misalnya EFI NVRAM, EFI Flash EEPROM, mikrokontroler Flash EEPROM pada keyboard dan mouse Anda, firmware EEPROM Flash pada kartu grafis Anda, mikrokode CPU, dan sebagainya, dan sebagainya. . Saya tidak berpikir malware yang menambal mikrokode CPU diketahui publik (yang, bagaimanapun, tidak berarti itu tidak ada), tetapi semua yang lain setidaknya telah ditunjukkan dan beberapa bahkan aktif digunakan dalam serangan. Tidak cukup untuk melepaskan semua drive, pada dasarnya Anda juga perlu ...
Jörg W Mittag
9
... buang komputer setelahnya.
Jörg W Mittag
1
@MichaelKarnerfors mungkin ada, tetapi Anda tidak menyebutkan menghapus USB yang Anda boot dari. Saya setuju dengan Jörg, ada banyak perangkat penyimpanan lain yang tidak mudah menguap dari apa yang Anda boot dari komputer.
Mokubai
4

Sejauh peretasan perangkat keras, spesialis kelistrikan yang mahir dengan target tertentu dapat membuat rangkaian logika yang memeriksa Anda menyelesaikan menjalankan perangkat lunak pembersih Anda, kemudian menyuntikkan sesuatu ke komputer host dan flash drive. Mereka bahkan mungkin dapat membuat drive terlihat agak normal secara internal, bagi pengamat biasa. Ingat saja, secara teoritis tidak ada yang aman. Keamanan semua didasarkan pada upaya yang dilakukan orang untuk meretas Anda, dan upaya yang Anda lakukan untuk menghentikannya.

matterny
sumber
1
berpikir untuk Anda - keamanan didasarkan di sekitar lapisan perlindungan, dan waktu / biaya / ketidaknyamanan untuk mengimplementasikan vs memecah lapisan-lapisan itu.
davidgo
7
Anda tidak perlu menjadi "spesialis kelistrikan tingkat lanjut" untuk dapat melakukannya.
glglgl
1

Dalam keamanan, jawaban atas pertanyaan apa pun yang mengandung frasa "100%" selalu merupakan NO yang besar .

Cukup dengan memformat, menimpa, menghapus, atau apa pun yang Anda dapat, tidak cukup. Mengapa? Karena dalam semua kasus ini, Anda selalu harus melalui tongkat untuk melakukan itu. Tetapi, jika saya adalah USB stick jahat, dan Anda meminta saya untuk menghapus diri saya sendiri ... mengapa saya mematuhinya? Saya hanya bisa berpura-pura sibuk untuk sementara waktu dan kemudian memberi tahu Anda "Saya sudah selesai", tanpa pernah benar-benar melakukan apa pun.

Jadi, misalnya, tongkat bisa mengabaikan semua perintah tulis. Atau, ia dapat melakukan perintah tulis pada chip flash awal, menunggu Anda untuk memverifikasi bahwa penulisan benar-benar menghapus semuanya, lalu bertukar di chip flash nyata . Stik USB dapat berisi hub USB dan sebenarnya adalah dua drive, satu di antaranya hanya dimasukkan dengan sangat singkat saat Anda menghapus yang lain (yang membutuhkan waktu lama, dan dengan demikian masuk akal bahwa Anda akan meninggalkan komputer Anda. dan ambil kopi atau sesuatu seperti itu, sehingga kamu tidak punya kesempatan untuk memperhatikan).

Juga, drive USB bahkan mungkin bukan drive USB sama sekali. Ini bisa berupa keyboard USB yang dengan sangat cepat mengetik beberapa perintah ke komputer Anda. Sebagian besar sistem operasi tidak memverifikasi identitas keyboard yang terpasang. (Ya, serangan ini benar - benar ada di dunia nyata.)

Atau, itu bisa berupa modem USB 3G ... dan boom, komputer Anda terhubung ke jaringan yang tidak aman lagi.

Bahkan mungkin bukan perangkat USB. Mungkin mikrofon atau kamera, dan cukup gunakan port USB untuk daya.

Atau, itu mungkin tidak mencoba untuk menginstal malware di komputer Anda, tetapi hanya bertujuan untuk menghancurkannya, misalnya dengan meletakkan 200V pada baris data .

Jörg W Mittag
sumber
Bisa juga berupa drive USB dan kamera / mikrofon / apa pun - sehingga semuanya tampak berfungsi dengan baik, tidak ada malware di drive ... sementara semua data Anda secara perlahan dienkripsi: P USB fleksibel, dan fleksibilitas tidak selalu merupakan hal yang baik ...
Luaan