Como proteger suas portas USB no Linux

Propaganda

o Barramento serial universal (USB) O que é o USB Type-C?Ah, o plugue USB. É tão onipresente agora quanto é notório por nunca poder ser conectado corretamente desde a primeira vez. consulte Mais informação é a faca de dois gumes que revolucionou a maneira como interagimos com nossos dispositivos. Sua natureza plug and play simplificou a transferência de dados entre dispositivos. No entanto, os pendrives USB não estão isentos de falhas. Eles rapidamente se tornaram o meio para infectar redes inteiras com vírus e malware.

Entre no dispositivo USB Kill, que pode fritar completamente sua porta USB ou destruir sua placa-mãe. Consegue isso carregando os capacitores da porta USB e aumentando a tensão brutal de volta à porta. Isso acontece várias vezes até desconectar ou o host morre.

Vamos dar uma olhada em como você pode tentar reduzir os riscos desses dispositivos.

O básico

Antes de entrarmos em detalhes, existem algumas regras simples que você pode seguir:

• Não insira unidades USB que você encontrou abandonadas no chão.
• Não insira unidades USB fornecidas por um indivíduo aleatório.
• Peça às pessoas de confiança que lhe enviem arquivos pela nuvem.
• Não insira Drives USB Como criptografar uma unidade flash: 5 ferramentas de proteção por senhaDeseja aprender a criptografar uma unidade flash? Aqui estão as melhores ferramentas gratuitas para proteger com senha e proteger um pen drive. consulte Mais informação que não são de fornecedores conhecidos como Samsung, SanDisk, etc.
• Não deixe seu computador sem vigilância.

Essa lista deve abranger a maioria dos casos. No entanto, a segurança do dispositivo USB ainda pode ser melhorada.

Proteja seu BIOS

No caso de você ter uma máquina que deve ser deixada sem vigilância, obter acesso à referida máquina é relativamente simples. Tudo o que alguém precisa fazer é criar uma unidade USB inicializável e inicializar a partir da unidade em um ambiente ativo. Isso lhes dará acesso a todos os arquivos não criptografados. No caso do Windows, você pode até apagar as senhas dos usuários. Protegendo sua senha com senha BIOS (Basic Input Output System) Como entrar no BIOS no Windows 10 (e versões anteriores)Para entrar no BIOS, você geralmente pressiona uma tecla específica no momento certo. Veja como entrar no BIOS no Windows 10. consulte Mais informação significa que uma senha deve ser inserida antes que as opções de inicialização apareçam.

Consulte a documentação do fabricante do hardware sobre como entrar no BIOS. Geralmente, isso é feito tocando repetidamente no Excluir como o computador está inicializando, mas isso varia entre os fabricantes. A configuração da senha deve estar sob o Segurança seção na sua BIOS.

USBGuard está de costas

Você precisa deixar um PC ou servidor sem vigilância? Nesse caso, você pode impedir ataques com um utilitário chamado apropriadamente, USBGuard. Foi desenvolvido para proteger contra dispositivos USB maliciosos, também conhecidos como BadUSB Seus dispositivos USB não são mais seguros, graças ao BadUSB consulte Mais informação . Exemplos incluem dispositivos USB que podem emular um teclado e emitir comandos de um usuário conectado. Esses dispositivos também podem falsificar placas de rede e alterar as configurações de DNS de um computador para redirecionar o tráfego.

O USBGuard para essencialmente dispositivos USB não autorizados, implementando recursos básicos de lista negra e lista de permissões. Idealmente, você não permitiria nenhum dispositivo USB, exceto alguns poucos confiáveis. Quando você conecta um dispositivo ou hub USB, o USBGuard verifica o dispositivo primeiro. Em seguida, ele analisa sequencialmente o arquivo de configuração para verificar se esse dispositivo é permitido ou rejeitado. O melhor do USBGuard é que ele usa um recurso implementado diretamente no kernel do Linux.

Se você estiver executando o Ubuntu 16.10 ou posterior, poderá instalar o USBGuard digitando:

sudo apt install usbguard

Se você estiver em um dos buntus * mais antigos, siga as instruções no GitHub [Já não está disponível]. Nosso exemplo seguirá um simples permitir que demonstrará como autorizar um dispositivo com um ID específico. Para começar a usar, use:

usbguard generate-policy> rules.conf. nano rules.conf

Reserve um momento para revisar a política que está prestes a ser adicionada. Esta etapa irá adicionar e autorizar tudo o que está conectado atualmente à sua máquina. Você pode remover ou comentar as linhas dos dispositivos que não deseja autorizar.

sudo install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf. sudo systemctl restart usbguard

Coloca-lo a prova

Até agora, qualquer dispositivo conectado à sua máquina não funcionará, mesmo que pareça ter sido detectado. IPlug em uma unidade USB para verificar isso executando lsusb para listar todos os dispositivos USB conectados ao sistema. Anote o ID da SanDisk, precisaremos disso mais tarde.

Embora o dispositivo tenha sido detectado no Ubuntu, não há sinal de que ele esteja montado Como montar um dispositivo flash USB no Linux e no seu Raspberry PiVamos dar uma olhada nos problemas em torno dos dispositivos USB e cartões SD com distribuições populares (estamos usando o Ubuntu) e distribuições menos usadas, como o sistema operacional Raspbian Jessie do Raspberry Pi. consulte Mais informação !

Para adicionar este dispositivo à lista de dispositivos autorizados, execute o seguinte:

sudo nano /etc/usbguard/rules.conf

Agora adicione o ID da SanDisk ao rules.conf para defini-lo como um dos dispositivos autorizados.

Agora basta reiniciar rapidamente o serviço USBGuard:

sudo systemctl restart usbguard

Agora desconecte e reconecte a unidade USB. O USBGuard irá verificar o rules.conf, reconhecer o ID como um dispositivo permitido e permitir que ele seja usado.

Imediatamente o seu dispositivo fica disponível para uso regular. Esse era um método simples de permitir apenas o dispositivo por Eu iria. Para ser realmente específico, você pode adicionar uma regra a rules.conf ao longo destas linhas:

permitir 0781: 5151 nome "SanDisk Corp. Unidade Flash Cruzer Micro "serial" 0001234567 "via porta" 1-2 " rejeitar via-porta "1-2"

As regras acima permitirão apenas um dispositivo que corresponda a esse ID, nome, serial apenas em uma porta específica. A regra de rejeição não permitirá nenhum outro dispositivo conectado a essa porta. As opções são praticamente infinitas, mas podem ser consultadas online.

Profiláticos Físicos

O USBGuard provavelmente não irá protegê-lo contra o famoso USB Killer. Então o que você pode fazer? Se você tem controle sobre as portas USB e ainda precisa conectar algumas unidades USB questionáveis, algumas soluções estão disponíveis. O preço de um Hub USB 3 razões pelas quais você precisa de um hub USB (ou talvez não precise)Atualmente, quase todos os dispositivos utilizam portas USB de uma maneira ou de outra. Como tal, um hub USB pode ser imensamente útil para a maioria das pessoas. Aqui estão algumas razões pelas quais você pode querer uma. consulte Mais informação em relação a um novo laptop é microscópico. Uma das grandes vantagens de usar uma tecnologia tão experiente é que seus acessórios são amplamente disponíveis e baratos. Você pode pegar uma boa marca e, em vez de conectar dispositivos incompletos diretamente à sua máquina, conecte-a através do hub USB. Se a unidade USB for um USB Killer, ela fritará o hub USB e sua máquina estará segura.

Outra solução para o seu caso de uso pode ser a USG. O dispositivo é um firewall de hardware que fica entre um dispositivo USB suspeito e sua máquina. É compatível com mouses, teclados e pen drives USB. Ele irá protegê-lo contra o BadUSB, filtrando a atividade maliciosa e passando os dados necessários.

Não é um exagero?

Dependendo do ambiente em que você trabalha, esse pode ser o caso. Se você não puder conectar qualquer dispositivo sobre o qual não tenha controle total e for a única pessoa com acesso à sua máquina, esse seria o melhor caso. O lado positivo é que, além de as pessoas tentarem encontrar maneiras de causar danos, também há pessoas pensando em maneiras de evitar esse dano.

Já teve alguma experiência ruim com dispositivos USB desonestos? Como você garante que você ou sua empresa tenham medidas USB seguras? Deixe-nos saber nos comentários abaixo!

Créditos da imagem: Frantisek Keclik / Shutterstock