Wie kann man 100% sicher sein, dass ein USB-Laufwerk nicht manipuliert wurde und keine Malware enthält?

4437
Norbert

Angenommen, Sie finden ein USB-Laufwerk auf der Straße und möchten 100% ig sicher sein, dass es weder durch Software noch durch Ändern seiner Hardware (Hinzufügen oder Ändern von Komponenten usw.) manipuliert wurde, so dass kein Risiko besteht Malware.

Ist die vollständige Formatierung ausreichend, um 100% sicher zu sein, dass keine Malware übrig bleibt? Wenn ja, reicht das vollständige Formatieren mit dem standardmäßigen langsamen Prozess aus dem Festplatten-Dienstprogramm in Tails 3.2 aus, um dies zu tun?

Nehmen Sie die höchstmögliche technische Fähigkeit des Angreifers an. Nicht nur vernünftige oder plausible Szenarien.

18
Wenn der Umfang Ihrer Frage darin besteht, "die höchstmögliche technische Fähigkeit des Angreifers anzunehmen", dann ist die Antwort auf Ihre Frage einfach ..... wie Sie sich zu 100% sicher sein können: _don't_ ein zufälliges USB-Laufwerk auf dem Computer aufnehmen Straße und stecken Sie es in Ihren PC. Abgesehen davon gibt es keine 100% ige Sicherheit. n8te vor 6 Jahren 40
Werfen Sie es in ein Feuer, sollte 100% sicher sein. aroth vor 6 Jahren 6
Möchten Sie 1) den Stick aufräumen, um ihn anschließend sicher verwenden zu können, _oder_ 2) kopieren Sie alle Daten sicher davon, ohne Malware- oder Hardware-Fallen auszulösen, _or_ 3) und stellen Sie fest, ob tatsächlich etwas Verdächtiges aufgetreten ist darauf oder nicht? Ich denke, die Antworten darauf sind etwas anders. Das von @KamilMaciorowski verknüpfte Q scheint ungefähr (3) zu sein. ilkkachu vor 6 Jahren 2
@ n8te Wie macht man das zu 100% sicher, dass keine Malware darauf ist? Wenn ich und Sie die Straße hinuntergehen und wir es bemerken und Sie es nicht abholen, kann ich es dann sicher haben? Nach Ihrer Logik wären Sie zu 100% sicher, dass sich keine Malware darin befindet. RyanfaeScotland vor 6 Jahren 0
Sie sollten diese Frage unter https://security.stackexchange.com/ stellen. Mawg vor 6 Jahren 0
Schlagen Sie ein Reverse Engineering der Spuren mit einem Elektronenmikroskop vor. Seien Sie sich bewusst, dass das Testen zerstörerisch sein kann. Und ja, Informationssicherheit ist der bessere Ort, um zu fragen. Alpha3031 vor 6 Jahren 0
@Mawg Auch wenn ich nicht der Meinung bin, dass diese Frage für [su] nicht unbedingt ein Thema ist, stimme ich zu, dass es sich möglicherweise lohnt, sie zu [security.se] zu migrieren. Steven M. Vascellaro vor 6 Jahren 2
Hier hängen die Experten herum ;-) Im Ernst, wir decken hier eine ganze Bandbreite ab. Wenn es sich bei dieser Frage um Nische X handelt und SE eine dedizierte X-Site hat, dann ist eine technische Antwort auf eine spezialisierte Site wahrscheinlich, jedoch nicht garantiert, besser als eine auf einer generalistischen Site. Auf der anderen Seite wird die generalistische Site wahrscheinlich mehr Ansichten erhalten, und die meisten von uns verfolgen mehrere Sites. Es ist ein enger Anruf / wie lang ist eine Schnur? Mawg vor 6 Jahren 0
Was macht Sie so sicher, dass es sich tatsächlich um ein USB-Laufwerk handelt? Es ist ein rechteckiges Stück Kunststoff mit einem USB-Stecker - es könnte buchstäblich alles sein, was USB verwendet. Tristan vor 6 Jahren 1
@StevenVascellaro einer Frage ist ein Thema auf der SE-Site, wo ursprünglich gepostet wurde. Konvention sagt, dass wir sie nicht migrieren, selbst wenn sie an anderer Stelle ein Thema wäre. Twisty Impersonator vor 6 Jahren 0

4 Antworten auf die Frage

30
davidgo

Es gibt keine Möglichkeit, zu 100% sicher zu sein, dass der USB sicher ist und dass er keine Malware beherbergt, selbst wenn er gelöscht wird. (Wenn ich so geneigt wäre und das Wissen hätte, ein kleiner Chip mit Malware, nicht aktiv, mit einem anständigen Stick mit zufälligem Mist - nach X Anzahl der Aus- und Einschaltzyklen, Chip wechseln).

Sie sollten sehr vorsichtig sein, wenn Sie einen USB-Schlüssel mit unbekanntem Ursprung in Ihr System stecken, da USB-Killer eine Sache sind und Ihren USB-Port und möglicherweise das System zerstören werden.

Leider sind die meisten USB-Sticks billig und leicht zu öffnen - jemand mit etwas Geschick kann leicht die Innenseiten von USB-Sticks ersetzen, ohne dass äußerlich sichtbare Hinweise vorliegen.

https://www.elie.net/blog/security/what-are-malicious-usb-keys-and-how-to-create-a-realistic-one spricht von einem Angriff, durch den der USB wie eine Tastatur wirkt - Dieser Angriff kann nicht durch Löschen der Festplatte verhindert werden, da die unangenehmen Nutzdaten nicht als Festplatte vorliegen. davidgo vor 6 Jahren 1
Wenn Sie den nicht vertrauenswürdigen Anbieter in einen Mixer und einen neuen von einem vertrauenswürdigen Anbieter einsetzen, ist dies der einzige Weg, um sicher zu gehen. ratchet freak vor 6 Jahren 3
@ratchetfreak Wenn das Laufwerk nicht mit Anthrax oder etwas dotiert ist und die Mischung es in Ihre Lunge verteilt: P 100% ige Sicherheit ist Unsinn. Wenn Sie eine Flash-Disk mit etwas Illegalem finden, muss diese keine Malware enthalten, um beispielsweise einen großen Strom von Problemen zu verursachen. und die Formatierung würde die Daten auch nicht wirklich löschen. Luaan vor 6 Jahren 8
Sie brauchen keinen weiteren Chip, programmieren Sie einfach den Controller im Stick - https://www.bunniestudios.com/blog/?p=3554 Pete Kirkham vor 6 Jahren 0
@davidgo Man kann sehen, dass es sich ziemlich leicht um ein HID-Gerät (Tastatur) anstelle eines MSC-Geräts (Laufwerk) handelt endolith vor 6 Jahren 0
+1 für den Hinweis, dass es Dinge gibt, die wie USB-Sticks aussehen, aber keine sind (Killer, getarnte HID-Geräte). Selbst wenn sie keine Malware enthalten (zum Beispiel, wenn sie überhaupt kein Datenträger sind), können sie dennoch sehr bösartig sein. TuringTux vor 6 Jahren 0
7
MichaelK

You assume that it is tainted.

You cannot be betrayed if there never was any trust to be betrayed.

And you will not suffer harm if you assume that harm is what will happen and prepare to meet it.

Remove hard-drives, disconnect from the network, use a bootable drive

If you are hellbent on examining this USB drive and want to avoid malware, you can do so by taking a computer, removing all its hard-drives, unplugging it from all networks (including WiFi) and then boot it up using a bootable USB drive. Now you have a computer that cannot be tainted and that cannot spread the contents of the found USB drive.

By now you can mount the found USB drive and examine its contents. Even if it is tainted, the only thing the malware reaches is an "empty" computer with an OS that you do not care if it gets infected anyway.

Determine your level of paranoia

Do note that even this is not entirely "safe". Assume that this is The Perfect Malware™.

  • If you boot from a writable media (USB stick, writable CD/DVD), then this may become tainted too if it is writable and remains in the computer as you insert the tainted USB drive.

  • Practically all peripherals have some kind of firmware that can be updated. Malware can choose to nest there.

  • You could end up with a corrupted BIOS that compromises the hardware for good even after you have removed the tainted drive and powered down.

So unless you are prepared to throw away all the hardware afterwards, you need to determine how badly do you want to examine this found USB stick and what price are you willing to pay to 1) stay safe and 2) take the consequences if things turn out bad?

Adjust your paranoia to reasonable levels according to what risks you are willing to take.

Sie sollten lieber von einer Live-DVD als von einem USB-Stick booten. Andernfalls werden nach dem Anschließen des "verdächtigen" USB-Anschlusses _two_ möglicherweise verunreinigte USB-Laufwerke verwendet. Booten Sie von einem schreibgeschützten Medium. Mokubai vor 6 Jahren 3
@Mokubai Sicherlich gibt es Live-Images, mit denen Sie das Medium starten können, von dem Sie gebootet haben. MichaelK vor 6 Jahren 3
Das Trennen des Netzwerks und aller Laufwerke reicht nicht aus. In Ihrem Computer ist viel mehr permanenter Speicher vorhanden, z. B. das EFI NVRAM, das EFI Flash EEPROM, der Mikrocontroller Flash EEPROM auf der Tastatur und der Maus, der Firmware Flash EEPROM auf der Grafikkarte, der Mikrocode der CPU usw. usw .. . Ich glaube nicht, dass Malware, mit der der CPU-Mikrocode gepatcht wird, öffentlich bekannt ist (was jedoch nicht bedeutet, dass sie nicht existiert), aber alle anderen wurden zumindest demonstriert und einige werden sogar aktiv in Angriffen eingesetzt. Es reicht nicht aus, alle Laufwerke zu trennen, Sie müssen im Grunde auch… Jörg W Mittag vor 6 Jahren 11
… Werfen Sie den Computer danach weg. Jörg W Mittag vor 6 Jahren 9
@MichaelKarnerfors gibt es zwar, aber Sie haben nicht erwähnt, dass Sie den USB entfernt haben, von dem Sie gebootet haben. Ich stimme Jörg jedoch zu, es gibt viele andere nichtflüchtige Speichergeräte als die, von denen Sie im Computer booten. Mokubai vor 6 Jahren 1
+1 für tatsächliche Möglichkeiten, die Situation zu verbessern, statt nur "Nicht tun". Fabian Röling vor 6 Jahren 0
@Fabian: Ich bin nicht sicher, dass * nicht * die Aussage "Nicht machen" die Situation verbessert. Es gibt vielleicht Möglichkeiten, es sicher zu machen, aber ehrlich gesagt, jemand, der diese Operation sicher durchführen könnte, würde nicht nach [su] fragen, er wäre ein Gold-Badge-Mitglied auf [security.se]. Jörg W Mittag vor 6 Jahren 0
Ich sagte "statt ** nur ** sagen" tue es nicht ", weil er gesagt hat:" Beachten Sie, dass selbst das nicht ganz "sicher" ist. Dies wäre keine gute Antwort, wenn er einfach so getan hätte, als wäre alles in Ordnung, wenn Sie tun, was er sagt, aber er hört nicht auf "Es ist keine gute Idee, daher gebe ich keine Hinweise, um es zu schaffen." weniger gefährlich." Er sagt immer noch, dass Sie im schlimmsten Fall ein Stück Metall anstatt eines PCs haben, aber mit seinen Tipps ist es zumindest möglich, den Stick auszuprobieren, ohne Ihr Netzwerk, Ihre Laufwerke, Ihre wichtigen Daten und all das zu beeinträchtigen interwebz oder was auch immer. Fabian Röling vor 6 Jahren 0
@ JörgWMittag, ich nehme an, man könnte benutzerdefinierte Hardware ohne umprogrammierbaren Speicher erstellen, um als USB-Host die Daten sicher aus dem Laufwerk auf weniger verdächtige Medien zu kopieren, wenn dies erforderlich ist. Einige Mikrocontroller könnten anfangen. ilkkachu vor 6 Jahren 1
@ilkkachu vielleicht, aber lohnt sich der Aufwand? Selbst wenn Sie bei InfoSec ein Gold-Badge-Mitglied sind, ist es dennoch einfacher, es einfach in den Papierkorb zu werfen und ein neues, weit weniger verdächtiges zu erhalten. Baldrickk vor 6 Jahren 0
@Baldrickk, oh, natürlich, wenn Sie einen Stick verwenden möchten. Wenn Sie jedoch die Daten auf dem Stick haben möchten, ohne Ihren Computer freizulegen, und von einer Bedrohung ausgehen, die ernsthaft genug wäre, um die Firmware auf dem genannten Computer anzugreifen, würde sich so etwas als Problemumgehung vorstellen. ilkkachu vor 6 Jahren 0
4
matterny

Was einen Hardware-Hack angeht, könnte ein absurd fortgeschrittener Elektrofachmann mit einem bestimmten Ziel eine Logikschaltung herstellen, die überprüft, ob Sie Ihre Reinigungssoftware beendet haben, und dann etwas in den Host-Computer und das Flash-Laufwerk injiziert. Sie können sogar dazu führen, dass das Laufwerk für einen zufälligen Beobachter intern etwas normal aussieht. Denken Sie daran, theoretisch ist nichts sicher. Sicherheit basiert auf der Anstrengung, mit der die Leute Sie hacken, und der Anstrengung, die Sie unternehmen, um sie zu stoppen.

Für Sie gedacht - Sicherheit basiert auf Schutzschichten, und die Zeit / Kosten / Unbequemlichkeit beim Implementieren oder Unterbrechen dieser Schichten. davidgo vor 6 Jahren 1
Sie müssen kein "absurd fortgeschrittener Elektrofachmann" sein, um dies zu können. glglgl vor 6 Jahren 7
1
Jörg W Mittag

Aus Sicherheitsgründen ist die Antwort auf alle Fragen, die den Satz "100%" enthalten, immer ein großes, fettes NEIN .

Es reicht nicht aus, einfach zu formatieren, zu überschreiben, zu löschen oder was auch immer Sie sich vorstellen können. Warum? Denn in all diesen Fällen müssen Sie immer durch den Stick gehen, um dies zu tun. Aber wenn ich ein böser USB-Stick bin und Sie sagen, ich soll mich selbst löschen? Warum sollte ich mich damit einverstanden erklären? Ich könnte einfach so tun, als wäre ich eine Weile beschäftigt und sage dann "Ich bin fertig", ohne jemals etwas getan zu haben.

So könnte der Stick beispielsweise einfach alle Schreibbefehle ignorieren. Oder Sie könnten die Schreibbefehle auf einem Scratch-Flash-Chip ausführen, warten, bis Sie überprüft haben, ob der Schreibvorgang wirklich alles gelöscht hat, und dann den echten Flash-Chip eintauschen. Der USB-Stick könnte einen USB-Hub enthalten und kann eigentlich aus zwei Laufwerken bestehen, von denen eines nur sehr kurz eingesetzt wird, während Sie das andere löschen (was sehr lange dauert und daher der Grund ist, dass Sie Ihren Computer verlassen.) und nimm dir einen Kaffee oder ähnliches, damit du keine Chance hast, es zu bemerken).

Außerdem ist das USB-Laufwerk möglicherweise nicht einmal ein USB-Laufwerk. Es könnte sich um eine USB-Tastatur handeln, die sehr schnell einige Befehle in Ihren Computer eingibt. Die meisten Betriebssysteme nicht die Identität der angeschlossenen Tastaturen überprüfen. (Ja, dieser Angriff nicht existiert tatsächlich in der realen Welt.)

Oder es könnte ein USB-3G-Modem sein ... und Ihr Computer ist wieder an ein offenes, unsicheres Netzwerk angeschlossen.

Es kann möglicherweise nicht einmal ein USB-Gerät sein. Es kann sich um ein Mikrofon oder eine Kamera handeln, und der USB-Anschluss dient lediglich zur Stromversorgung.

Oder es wird möglicherweise nicht versucht, Malware auf Ihrem Computer zu installieren, sondern lediglich zu zerstören, z. B. durch Anlegen von 200 V an den Datenleitungen .

Es könnte sich auch um ein USB-Laufwerk * ​​und * um eine Kamera / ein Mikrofon / was auch immer - so dass alles gut zu funktionieren scheint, keine Malware auf dem Laufwerk ... während alle Ihre Daten langsam verschlüsselt werden: P USB ist flexibel und Flexibilität ist nicht immer eine gute Sache ... Luaan vor 6 Jahren 0

Verwandte Probleme