USBゴム製のアヒルを検出する方法は?
3週間前、私の会社は大量のハードウェア(IT関連ではなく実際のハードウェア)を中国に注文しました。
今日、倉庫の女の子が私のオフィスにやって来て、中に混ざっていると、彼女は白いUSBドライブを見つけて「Lihuiyu Studio Labs 2012.10.25 」
不思議なことに、「YAY!無料のUSBドライブ!中身を見てみましょう!」のような反応がありました。私のメインマシンにつまらないプラグを差し込んだところ、それがUSB HIDとキーボードとして検出されたことに驚いた。
ショックで麻痺し、20〜30秒待ってから外しました。
画面では何も起こりませんでした。USBRubber Duckyのようなデバイスは画面に何かを表示するはずですよね?それが肉眼では見ることができないいくつかの光速コマンドで私たちの会社のシステムを危険にさらした方法はありませんよね?
主な質問:
このようなUSBデバイスからWindowsシステムを保護する方法はありますか?
毎週何百もの異なるUSBドライブを接続する必要があるため、USBサポートの削除/無効化はオプションではありません
二次質問:
このUSBデバイスが実際に何をしているのか、どうすればわかりますか?
このデバイスをコンピュータに挿入しても危険はありません。これは、低価格のレーザーマシンに付属しているWingraverXPという名前のレーザー彫刻ソフトウェアスイートのドングルにすぎません。マシンの1つを持っていますが、これには同じUSBスティックが付属しています。
お母さんが幼い頃に、見知らぬ人からのパッケージの受け入れについて、中国のドライバーでいっぱいの倉庫で奇妙なUSBドライブを見つけたときなどに、あなたが言ったのと同じように会社のネットワークの一部であるコンピュータには接続しないでください。ずっと。
それが「このようなUSBデバイスからWindowsシステムを保護する」ための最良の方法です。そうは言っても、ジェームズがコメントで言ったように、最初の明らかな攻撃方法はリムーバブルドライブの自動実行機能をオフにすることでブロックされますが、誰かが本当にコンピュータに危害を加えたい場合は、有能なハッカーができると思いますしたがって、自動実行が有効になっていません。
次に、そのような空から変なUSBスティックが落下してそれが何であるかを確認したい場合は、ネットワークに接続されておらず、インターネット接続も重要なデータもないコンピューターに接続します。
今、中国の海岸のどこかに彼のワイヤレスキーボードの喪失を嘆く怒り狂うドッカーがいる可能性があります。ドライブに悪意のあるものは何もなく、コンピューターに何も問題はありません。ただし、原則として、奇妙なデバイスをネットワークに接続しないでください。
更新
実際にゴム製のアヒルを検出する方法はないと思います。良いニュースは 最もよく知られているもの があなたが投稿した写真のように見えないことです。一方、架空のUSB鶏が何をするかは、そのペイロードに完全に依存し、予測することはできません。したがって、何を行おうとしたのかを事前に知ることができないため、確固たるチェック方法はありません。
ドライブが本当にキーボードとして識別される場合、ドライブが送信するキーストロークを判別する最も安全な方法は、おそらくハードウェアUSBキーボードロガーです。あなたはグーグル「usbキーボードロガー」だけでインターネットを通してそれらを手に入れることができます。
もちろん、これにより、識別されていないデバイスが、接続先のシステムに実際にキーストロークを送信するのを防ぐことはできません。したがって、本番システムではこれを行わないでください。
おそらくUSB HIDとキーボードデバイスのサポートを無効にしたくないので、信頼できないデバイスをコンピューターに接続しないこと以外に、このような攻撃を防ぐためにできることはないと思います。
編集:他の回答についてコメントすることはできませんので:自動実行を無効にすると、接続されたUSBドライブ上のファイルの自動実行のみが防止されます。ただし、このデバイスがキーボードとして識別される場合、キーストロークを送信し、ファイルを提供しない可能性があります。自動実行を無効にしても、キーストロークから保護されません。
キーボードが接続されたことを検出すると、画面をロックします。