Jak chronić porty USB w systemie Linux

Reklama

The Universal Serial Bus (USB) Co to jest USB Type-C?Ach, wtyczka USB. Jest teraz tak wszechobecny, jak wiadomo, że nigdy nie można go podłączyć za pierwszym razem. Czytaj więcej to obosieczny miecz, który zrewolucjonizował sposób, w jaki komunikujemy się z naszymi urządzeniami. Charakter plug and play upraszcza przesyłanie danych między urządzeniami. Pamięci USB nie są jednak pozbawione wad. Szybko stały się medium do infekowania całych sieci wirusami i złośliwym oprogramowaniem.

Wejdź do urządzenia USB Kill, które może całkowicie usmażyć port USB lub zniszczyć płytę główną. Osiąga to poprzez ładowanie kondensatorów z portu USB i wzrost brutalnego napięcia z powrotem do portu. Dzieje się to kilka razy, dopóki nie zostanie odłączony od sieci lub host nie umrze.

Przyjrzyjmy się, jak możesz spróbować zmniejszyć ryzyko związane z takimi urządzeniami.

Podstawy

Zanim przejdziemy do drobniejszych szczegółów, należy zastosować kilka prostych zasad:

• Nie wkładaj dysków USB, które zostały porzucone na podłodze.
• Nie wkładaj napędów USB otrzymanych od przypadkowej osoby.
• Poproś zaufanych ludzi o przesłanie Ci plików za pośrednictwem chmury.
• Nie wstawiaj Napędy USB Jak zaszyfrować dysk flash: 5 narzędzi do ochrony hasłemChcesz nauczyć się szyfrować dysk flash? Oto najlepsze bezpłatne narzędzia do ochrony hasłem i zabezpieczenia pamięci USB. Czytaj więcej które nie pochodzą od znanych dostawców, takich jak Samsung, SanDisk itp.
• Nie pozostawiaj komputera bez nadzoru.

Ta lista powinna obejmować większość przypadków. Jednak bezpieczeństwo urządzenia USB można nadal poprawić.

Chroń swój BIOS

W przypadku posiadania maszyny, którą należy pozostawić bez opieki, uzyskanie dostępu do tej maszyny jest stosunkowo proste. Wszystko, co ktoś musi zrobić, to utworzyć rozruchowy dysk USB i uruchomić komputer z dysku w środowisku na żywo. To zapewni im dostęp do wszystkich niezaszyfrowanych plików. W przypadku systemu Windows możesz nawet wyczyścić hasła użytkowników. Chroni twoje hasło Podstawowy system wyjściowy (BIOS) Jak wejść do systemu BIOS w systemie Windows 10 (i starszych wersjach)Aby dostać się do BIOS-u, zwykle naciskasz określony klawisz we właściwym czasie. Oto jak wejść do systemu BIOS w systemie Windows 10. Czytaj więcej oznacza, że ​​hasło należy wprowadzić nawet przed pojawieniem się opcji rozruchu.

Zapoznaj się z dokumentacją producenta sprzętu, jak wejść do BIOS-u. Zasadniczo odbywa się to poprzez wielokrotne dotykanie przycisku Usunąć klucz podczas uruchamiania komputera, ale różni się w zależności od producenta. Hasło powinno znajdować się pod Bezpieczeństwo sekcja w systemie BIOS.

USBGuard ma twoje plecy

Czy musisz zostawić komputer lub serwer bez nadzoru? Jeśli tak, możesz zapobiec atakom za pomocą trafnie nazwanego narzędzia USBGuard. Ma to na celu ochronę przed złośliwymi urządzeniami USB znanymi również jako BadUSB Twoje urządzenia USB nie są już bezpieczne, dzięki BadUSB Czytaj więcej . Przykłady obejmują urządzenia USB, które mogą emulować klawiaturę i wydawać polecenia zalogowanemu użytkownikowi. Urządzenia te mogą również fałszować karty sieciowe i zmieniać ustawienia DNS komputera, aby przekierowywać ruch.

USBGuard zasadniczo zatrzymuje nieautoryzowane urządzenia USB, wdrażając podstawowe funkcje czarnej listy i białych list. Najlepiej byłoby, gdyby nie zezwalano na żadne urządzenia USB oprócz kilku zaufanych. Po podłączeniu urządzenia USB lub koncentratora USBGuard najpierw przeskanuje urządzenie. Następnie sprawdza kolejno plik konfiguracyjny, aby sprawdzić, czy to urządzenie jest dozwolone, czy odrzucone. Wspaniałą rzeczą w USBGuard jest to, że wykorzystuje funkcję, która jest zaimplementowana bezpośrednio w jądrze Linuksa.

Jeśli używasz Ubuntu 16.10 lub nowszej wersji, możesz zainstalować USBGuard, wpisując:

sudo apt install usbguard

Jeśli korzystasz ze starszego * buntusa, możesz postępować zgodnie z instrukcjami na GitHub [No Longer Available]. Nasz przykład pójdzie za prostym dopuszczać który pokaże, jak autoryzować urządzenie o określonym identyfikatorze. Aby rozpocząć pracę, użyj:

usbguard generate-policy> rules.conf. nano rules.conf

Poświęć chwilę na przejrzenie zasad, które zostaną dodane. Ten krok doda i autoryzuje wszystko, co jest aktualnie podłączone do twojego komputera. Możesz usunąć lub skomentować linie dla urządzeń, których nie chcesz autoryzować.

sudo install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf. sudo systemctl restart usbguard

Przetestuj to

Do tej pory żadne urządzenie podłączone do urządzenia nie będzie działać, nawet jeśli wydaje się, że zostało wykryte. IPodłącz dysk USB, aby to sprawdzić, uruchamiając lsusb aby wyświetlić listę wszystkich urządzeń USB podłączonych do systemu. Zanotuj identyfikator SanDisk, będziemy go potrzebować później.

Mimo że urządzenie zostało wykryte w Ubuntu, nie ma na to śladu zamontowane Jak zamontować urządzenie flash USB w systemie Linux i na Twoim Raspberry PiRzućmy okiem na problemy związane z urządzeniami USB i kartami SD z popularnymi dystrybucjami (używamy Ubuntu) i mniej rozpowszechnionymi dystrybucjami, takimi jak system operacyjny Raspbian Pi Raspbian Jessie. Czytaj więcej !

Aby dodać to urządzenie do listy autoryzowanych urządzeń, uruchom następujące polecenie:

sudo nano /etc/usbguard/rules.conf

Teraz dodaj identyfikator SanDisk do rules.conf plik, aby ustawić go jako jedno z autoryzowanych urządzeń.

Wystarczy teraz szybki restart usługi USBGuard:

sudo systemctl restart usbguard

Teraz odłącz wtyczkę, a następnie podłącz ponownie dysk USB. USBGuard sprawdzi rules.conf, rozpozna identyfikator jako dozwolone urządzenie i pozwoli na jego użycie.

Natychmiast Twoje urządzenie staje się dostępne do regularnego użytku. To była prosta metoda po prostu zezwalająca na urządzenie ID. Aby uzyskać szczegółowe informacje, możesz dodać regułę rules.conf wzdłuż tych linii:

zezwól na nazwę 0781: 5151 „SanDisk Corp. Cruzer Micro Flash Drive „serial” 0001234567 „przez port” 1-2 odrzuć przez port „1-2”

Powyższe reguły zezwalają tylko na urządzenie pasujące do tego identyfikatora, nazwy, numeru seryjnego tylko na określonym porcie. Reguła odrzucania nie zezwala na żadne inne urządzenie podłączone do tego portu. Opcje są prawie nieograniczone, ale można je znaleźć w Internecie.

Profilaktyka fizyczna

USBGuard prawdopodobnie nie ochroni cię przed niesławnym zabójcą USB. Więc co możesz zrobić? Jeśli masz kontrolę nad portami USB i nadal potrzebujesz podłączyć podejrzane dyski USB, niektóre rozwiązania są dostępne. Cena a rozdzielacz USB 3 powody, dla których potrzebujesz koncentratora USB (a może nie potrzebujesz)Prawie wszystkie urządzenia korzystają obecnie z portów USB w taki czy inny sposób. Jako taki, hub USB może okazać się niezwykle przydatny dla większości ludzi. Oto kilka powodów, dla których możesz chcieć. Czytaj więcej względem nowego laptopa jest mikroskopijny. Jedną z ogromnych zalet korzystania z tak wyrafinowanej technologii jest to, że akcesoria są szeroko dostępne i tanie. Możesz pobrać markowe i zamiast podłączać szkicowe urządzenia bezpośrednio do komputera, podłącz je za pośrednictwem koncentratora USB. Jeśli napęd USB będzie USB Killer, usmaży hub USB i twoje urządzenie będzie bezpieczne.

Innym rozwiązaniem przypadku użycia może być USG. Urządzenie to zapora sprzętowa, która znajduje się między podejrzanym urządzeniem USB a twoim urządzeniem. Jest kompatybilny z myszami, klawiaturami i dyskami flash USB. Będzie cię chronić przed BadUSB, filtrując złośliwą aktywność i przechodząc przez potrzebne dane.

Czy to nie jest przesada?

W zależności od środowiska, w którym pracujesz, może tak być. Jeśli możesz sobie pozwolić na niepodłączanie żadnego urządzenia, nad którym nie masz pełnej kontroli, a jesteś jedyną osobą mającą dostęp do swojego komputera, to byłby najlepszy przypadek. Srebrna podszewka jest taka, że ​​oprócz ludzi próbujących znaleźć sposób na wyrządzenie krzywdy, są też ludzie, którzy myślą o sposobach zapobiegania tej szkodzie.

Czy miałeś kiedyś jakieś złe doświadczenia z podejrzanymi urządzeniami USB? W jaki sposób zapewniasz sobie lub Twojej firmie bezpieczne środki USB? Daj nam znać w komentarzach poniżej!

Kredyty obrazkowe: Frantisek Keclik / Shutterstock