Как я могу безопасно исследовать USB-накопитель, обнаруженный на стоянке?

Я работаю во встроенной программной компании. Сегодня утром я нашел USB-накопитель на стоянке перед зданием. Со всеми историями о «сброшенных атаках USB-накопителя» в виду, я, очевидно, не собираюсь просто подключать его к ноутбуку. OTOH, мне любопытно узнать, действительно ли это была попытка скомпрометировать наши системы, или это действительно просто невинный случай, когда кто-то случайно потерял USB-накопитель. Как безопасно осмотреть USB-накопитель, не подвергая риску воздействие?

Я беспокоюсь не только о вредоносных программах и обработанных изображениях файловой системы; Есть также такие вещи, как атаки на повышение мощности:
«USB-убийца 2.0» показывает, что большинство устройств с поддержкой USB уязвимы для атаки на сетевые атаки .

  • Каковы потенциальные проблемы безопасности при использовании Windows XP?
  • Можете ли вы физически стереть данные на механическом жестком диске, не разрушая его?
  • Насколько большой риск представляют собой популярные расширения Chrome?
  • Являются ли файлы .docx или .pdf потенциально опасными?
  • Безопасное удаление файлов на SSD
  • Почему проверка подлинности SSH лучше, чем проверка пароля?
  • EDIT: Многие из ответов, похоже, предполагают, что я хочу сохранить диск и использовать его впоследствии. Я вообще не заинтересован в этом, я знаю, что USB-накопители дешевы, и мне все равно не будет. Я только хочу знать, действительно ли это была атака с целенаправленной атакой, отчасти из любопытства, действительно ли это происходит в реальной жизни, а не только в документах безопасности, но также и для того, чтобы я мог предупредить своих коллег.

    Я хочу знать, как я узнаю, содержит ли палка вредоносное ПО. И дело не только в том, чтобы смотреть на содержимое накопителя и видеть подозрительный файл autorun.inf или тщательно обработанную поврежденную файловую систему – мне также очень нужен способ проверки прошивки. Я вроде бы ожидал, что есть инструменты для извлечения этого и сравнения с известными или хорошо известными двоичными файлами.

  • Мой USB-накопитель просто умер?
  • Как загруженный ISO становится поврежденным?
  • Как изменить Windows 7 Search to Index Съемные диски
  • Как можно внедрить код Kaspersky на веб-страницу через HTTP?
  • Как разместить загрузочный ISO на USB-накопителе?
  • Восстановление частично отформатированного USB-накопителя
  • 5 Solutions collect form web for “Как я могу безопасно исследовать USB-накопитель, обнаруженный на стоянке?”

    Если вы не хотите использовать его, но любопытны – я бы начал, открыв корпус (очень осторожно) и взглянув на чипы внутри.

    Я знаю. Это звучит безумно, но наличие идентифицируемого контроллера и флеш-чипа сделает его более вероятным, это настоящий USB-накопитель, а не что-то вроде резиновой утки USB или USB-убийцы.

    Затем сделайте то, что предлагают все остальные, и проверьте его на одноразовой установке, запустите несколько загрузочных антивирусных сканеров, а затем, если вы уверены, что это безопасно, протрите его.

    Хорошим распределением безопасности для тестирования подозрительных флеш-накопителей USB, которые вы нашли на стоянке, является Lightweight Portable Security (LPS), дистрибутив безопасности Linux, который полностью запускается из ОЗУ при загрузке с загрузочного USB-накопителя. LPS-Public превращает ненадежную систему (например, домашний компьютер) в надежный сетевой клиент. Никаких следов работы (или вредоносного ПО) не может быть записано на жесткий диск локального компьютера.

    В дополнение к функции безопасности LPS имеет другую полезную цель. Поскольку он работает полностью из ОЗУ, LPS может загружаться практически на любом оборудовании. Это делает его полезным для тестирования USB-порта компьютера, который не может загружать большинство других загружаемых загрузочных USB-образов USB.

    Введите описание изображения здесь

    Существуют разные подходы, но если у этой палки есть встроенное вредоносное ПО, это действительно опасно.

    Один из подходов может заключаться в том, чтобы загрузить один из многих дистрибутивов LiveCD Linux, отключить любые жесткие диски и сетевые подключения, а затем посмотреть.

    Я думаю, хотя я бы рекомендовал вытащить старый стакан из шкафа, подключив его к нему, а затем ударил его большим молотом.

    Лучший подход – Не любопытно! 🙂

    Не. Бросьте их в мусор, или Lost / Found с отметкой времени. USB-накопители дешевы, намного дешевле, чем время, потраченное на очистку от вредоносного ПО или физического саботажа. Там есть USB-накопители, которые накапливают заряд в конденсаторах и внезапно выходят на ваш компьютер, разрушая его.

    Эта нить связана с тем, что я нашел два джойстика на земле. Что теперь? , Другой поток включает некоторые нетехнические соображения, такие как ответ innaM, который предполагает, что содержимое не является вашим бизнесом, и вы должны просто включить его для возврата владельцу и ответ Майка Шахма, в котором говорится, что диск может содержать правительство секреты, террористические документы, данные, используемые в краже личных данных, детской порнографии и т.д., которые могли бы посадить вас в беде за то, что это в вашем распоряжении.

    Другие ответы на оба потока касаются того, как защитить себя от вредоносного ПО при изучении содержимого, но эти ответы не защитят вас от «killer USB», ключевого момента, поставленного в этом вопросе. Я не буду перефразировать то, что описано в других ответах, но достаточно сказать, что все советы по защите себя от вредоносного ПО (включая резиновые утки, которые вводят нажатия клавиш), применяются.

    Ценность и фирменное наименование

    Но я бы начал с момента, когда Кристофер Хозяин говорил о том, что флеш-накопители слишком дешевы, чтобы стоить беспокойства и риска. Если диск невостребован владельцем, и после рассмотрения всех предупреждений вы решили, что вам просто нужно попытаться сделать его безопасным и пригодным для использования, начните с рассмотрения значения диска. Если это низкая пропускная способность, стандартная скорость, отсутствие имени неизвестного возраста, вы можете заменить его на новый за несколько долларов. Ты не знаешь оставшуюся жизнь на диске. Даже если вы восстановите его до «нового» состояния, можете ли вы доверять его надежности или оставшемуся сроку службы?

    Это приводит нас к случаю невостребованного диска, который официально принадлежит вам, и:

    • Это высокопроизводительный, высокоскоростной, фирменный диск с признанной надежностью и производительностью,
    • Похоже, находится в новом состоянии, возможно, недавно выпущенном продукте, поэтому вы знаете, что он не может быть очень старым.

    Одним из таких критериев является то, что диск может стоить больше, чем тривиальная сумма. Но моя рекомендация заключалась бы в том, чтобы не возиться ни с чем другим по другой причине. Как замечает Journeyman Geek в комментариях, резиновые утки и USB-убийцы поставляются в общепринятых пакетах. Упаковка фирменного наименования трудно подделать без дорогостоящего оборудования, а подделка с фирменным пакетом не поддается описанию трудно. Таким образом, ограничивая себя знакомыми, фирменные диски предлагают небольшую защиту сами по себе.

    Безопасное соединение

    Первый вопрос заключается в том, как вы можете безопасно подключить его к своей системе, если это может быть USB-убийца, и на этом я сосредоточусь.

    Проверка привода

    • Первый ключ – это сам диск. Есть миниатюрные стили, которые в основном представляют собой USB-разъем, и достаточно пластика, чтобы иметь что-то, что можно захватить, чтобы получить его. Этот стиль, вероятно, будет безопасным, особенно если на нем есть бренд.

    Введите описание изображения здесь

    • Приводы флип-стиля популярны у резиновых уток, поэтому будьте особенно осторожны с ними.

    Введите описание изображения здесь

    • Если это флэш-накопитель стандартного размера, достаточно большой для хранения аппаратных средств убийцы, проверьте корпус на наличие признаков подделки или был подделан. Если это оригинальный, маркированный футляр, он будет трудно подделать, не оставляя признаков, которые будут видны с увеличением.

    Электрическая изоляция

    • Следующим шагом будет выделение диска из вашей системы. Используйте дешевый USB-концентратор, который вы готовы жертвовать за потенциальную ценность флэш-накопителя. Еще лучше, целая цепочка нескольких хабов. Концентратор (ы) обеспечит некоторую степень электрической изоляции, которая может защитить ваш очень дорогой компьютер от «must have», свободного USB-накопителя-убийцы.

      Предупреждение: я не тестировал это и не знаю, какую степень безопасности он обеспечит. Но если вы собираетесь рисковать своей системой, это может свести к минимуму ущерб.

    Как предлагает LPChip в комментарии к этому вопросу, единственным «безопасным» способом тестирования является использование системы, которую вы считаете одноразовой. Даже тогда подумайте, что практически любой рабочий компьютер может быть полезным. Древний компьютер с низким энергопотреблением может быть загружен легким резидентным дистрибутивом Linux и обеспечивает потрясающую производительность для обычных задач. Если вы не извлечете компьютер из корзины для тестирования флеш-накопителя, взвешивайте значение рабочего компьютера от значения неизвестного диска.

    Давайте будем гением компьютера.