通用串行总线(USB)是一把双刃剑,它彻底改变了我们与设备的接口方式。它的即插即用特性使得在设备之间传输数据变得简单。不过,U盘并非没有缺点。它们很快成为病毒和恶意软件感染整个网络的媒介。
进入USB Kill设备,它可以完全炸毁你的USB端口或摧毁你的主板。它通过从USB端口给电容器充电,然后将残酷的电压冲击回端口来实现这一点。这种情况会发生几次,直到拔掉插头或主机死亡。
让我们来看看您可以如何尝试并减轻这些设备带来的风险。
在我们深入了解更多细节之前,您可以遵循一些简单的经验法则:
这个清单应该涵盖大多数情况。然而,USB设备的安全性仍有待提高。
如果您有一台必须无人看管的机器,那么访问该机器就相对简单。所有人要做的就是创建一个可引导的USB驱动器和引导从驱动器到一个活的环境。这将允许他们访问所有未加密的文件。在Windows中,你甚至可以清空用户的密码。密码保护您的基本输入输出系统(BIOS)意味着即使在启动选项出现之前也必须输入密码。
有关如何进入BIOS,请参阅硬件**商的文档。一般来说,这是通过反复点击删除键,因为你的电脑正在启动,但这是不同的**商。密码设置应该在BIOS的Security部分下。
你需要让电脑或服务器无人看管吗?如果是这样,您可以使用一个恰当命名的实用程序USBGuard来防止攻击。这是为了防止恶意USB设备也被称为BadUSB。例如,USB设备可以模拟键盘并发出登录用户的命令。这些设备还可以欺骗网卡并更改计算机的DNS设置以重定向流量。
USBGuard基本上通过实现基本的黑名单和白名单功能来阻止未经授权的USB设备。理想情况下,你不会允许任何USB设备除了选择少数你信任。当您**USB设备或集线器时,USBGuard将首先扫描设备。然后它按顺序查看其配置文件,以检查该设备是否被允许或拒绝。USBGuard的优点在于它使用了一个直接在Linux内核中实现的特性。
如果您运行的是Ubuntu 16.10或更高版本,您可以通过键入以下命令来安装USBGuard:
sudo apt install u**guard
如果您使用的是较旧的*buntus,那么可以按照GitHub[不再可用]上的说明进行操作。我们的示例将遵循一个简单的allow,它将演示如何授权具有特定id的设备。要启动并运行,请使用:
u**guard generate-policy > rules.conf
nano rules.conf
花点时间回顾一下即将添加的策略。此步骤将添加并授权当前**计算机的所有内容。您可以删除或注释掉不想授权的设备的行。
sudo install -m 0600 -o root -g root rules.conf /etc/u**guard/rules.conf
sudo systemctl restart u**guard
到目前为止,您连接到机器的任何设备都将无法工作,即使它似乎已被检测到。i**USB驱动器以通过运行lsu**列出连接到系统的所有USB设备来验证这一点。注意SanDisk的id,我们稍后会用到这个。
虽然这个设备在Ubuntu中被检测到了,但是没有被挂载的迹象!
要将此设备添加到授权设备列表,请运行以下操作:
sudo nano /etc/u**guard/rules.conf
现在将SanDisk id添加到规则.conf文件将其设置为授权设备之一。
现在只需快速重启USBGuard服务:
sudo systemctl restart u**guard
现在拔下插头,然后重新连接USB驱动器。USBGuard会检查的规则.conf,将id识别为允许的设备,并允许使用它。
您的设备立即可以正常使用。这是一个简单的方法,只允许设备的id。要得到真正具体的你可以添加一个规则规则.conf沿着这些路线:
allow 0781:5151 name "SanDisk Corp. Cruzer Micro Flash Drive" serial "0001234567" via-port "1-2"
reject via-port "1-2"
以上规则只允许在特定端口上使用与该id、名称、序列号匹配的设备。拒绝规则将不允许任何其他设备**该端口。这些选项几乎是无穷无尽的,但可以在网上查阅。
USBGuard可能不会保护你免受臭名昭著的USB**的攻击。那你能做什么呢?如果你有控制你的USB端口,仍然需要**一些可疑的USB驱动器,一些解决方案是可用的。USB集线器相对于新笔记本电脑的价格是微乎其微的。使用这种老练技术的一个巨大优势是,它的配件可以广泛获得,而且价格便宜。你可以拿一个好的品牌的,而不是直接**粗略的设备到你的机器,通过USB集线器**它。如果USB驱动器是一个USB**,它会炸USB集线器和你的机器将是安全的。
您的用例的另一个解决方案可能是USG。该设备是一个硬件防火墙,位于可疑USB设备和您的计算机之间。它与鼠标、键盘和USB闪存驱动器兼容。它将通过过滤恶意活动和传递您需要的数据来保护您免受badubs的攻击。
根据你工作的环境,情况可能是这样。如果你能负担得起不**任何你不能完全控制的设备,并且你是唯一可以访问你的机器的人,那么这将是最好的情况。一线希望是,除了人们试图找到伤害的方法外,还有人在思考如何防止这种伤害。
你有过使用不可靠的USB设备的不好经历吗?你如何确保你或你的公司有安全的USB措施?请在下面的评论中告诉我们!
图片来源:Frantisek Keclik/Shutterstock
...有2 GB的RAM,而Linux版只有1 GB的RAM。如有必要,HP Stream Mini上的RAM可以升级到16 GB,而Intel Compute Stick支持的最大内存为2 GB。 •HP Stream Mini有32 GB的SSD用于存储,而Windows版的Intel Compute Stick有32 GB的嵌入式闪存作为存储空间。Linux版的...
...网收音机的选择,这仍然是一个伟大的项目。它让您了解如何安装自定义固件,以及如何欣赏流媒体音乐。 ...
... 想想软件是如何安装的。在Windows和Mac上,用户通常下载请求系统级访问的EXE、MSI和DMG安装程序文件,以便进行必要的安装更改。这是恶意软件攻击的主要途径。一个错误,一个把戏...
...并且没有明显的开关来启用或禁用写保护。困惑?下面是如何格式化您的写保护USB pendrive并再次开始使用它。 ...
想学习如何保护闪存驱动器吗?不幸的是,你不能用密码保护整个U盘。但是您可以加密分区、文件夹和存档。 ...
... 我们有一个简单的指南,说明如何在Windows和Mac之间共享文件。该过程还可以与Windows到Windows和Mac到Mac一起工作。如果您在Linux上,菜单系统取决于您的操作系统。但是一旦你进入网络设置,你会发现它...
... 学习黑客如何工作的最好方法就是学会黑客!Kali Linux是一个以安全为中心的Linux发行版,深受渗透测试人员和道德黑客的青睐。 ...
... 很多!下面是几个例子,然后是对如何做到每一个的更深入的解释: ...