Hoe uw USB-poorten te beveiligen op Linux
De Universal Serial Bus (USB) Wat is USB Type-C? Wat is USB Type-C? Ah, de USB-stekker. Het is zo alomtegenwoordig nu het berucht is omdat het nooit de eerste keer goed kan worden ingeplugd. Read More is het tweesnijdend zwaard dat een revolutie teweegbracht in de manier waarop we communiceren met onze apparaten. De plug-and-play-aard heeft het overzetten van gegevens tussen apparaten eenvoudig gemaakt. USB-sticks zijn echter niet zonder fouten. Ze werden al snel het medium voor het infecteren van hele netwerken met virussen en malware.
Ga naar het USB Kill-apparaat, dat je USB-poort volledig kan braden of je moederbord kan vernietigen. Dit wordt bereikt door de condensatoren van de USB-poort op te laden en de brutale spanning terug naar de poort te brengen. Dit gebeurt verschillende keren totdat de verbinding wordt verbroken, of de host sterft.
Laten we eens kijken hoe u kunt proberen en de risico's van dergelijke apparaten kunt beperken.
De basis
Voordat we ingaan op de fijnere details, zijn er enkele vuistregels die je kunt volgen:
- Steek geen USB-drives in die je op de grond hebt gevonden.
- Plaats geen USB-drives die door een willekeurig persoon aan u zijn gegeven.
- Vraag vertrouwde mensen om je bestanden via de cloud te sturen.
- Geen USB-drives plaatsen Hoe een Flash-drive beveiligen en coderen: 5 eenvoudige methoden Wachtwoordbeveiliging beveiligen en een flash-drive coderen: 5 eenvoudige methoden Moet u een gecodeerde USB-flashdrive maken? Hier zijn de beste gratis hulpmiddelen om uw USB-stick te beveiligen met een wachtwoord en deze te coderen. Meer lezen die niet afkomstig zijn van bekende leveranciers zoals Samsung, SanDisk, enz.
- Laat uw computer niet onbeheerd achter.
Deze lijst zou de meeste gevallen moeten omvatten. De beveiliging van USB-apparaten kan echter nog worden verbeterd.
Bescherm uw BIOS
In het geval dat u een machine hebt die onbeheerd moet blijven, is het relatief eenvoudig om toegang te krijgen tot die machine. Het enige wat iemand hoeft te doen is een opstartbare USB-drive maken en van de schijf opstarten in een live omgeving. Dit geeft ze toegang tot alle niet-versleutelde bestanden. In het geval van Windows kunt u zelfs de wachtwoorden van gebruikers wissen. Wachtwoordbeveiliging van uw Basic Input Output System (BIOS) Het BIOS invoeren op uw computer Het BIOS invoeren op uw computer Binnenin het BIOS kunt u basiscomputerinstellingen wijzigen, zoals de opstartvolgorde. De exacte sleutel die u moet aanslaan, is afhankelijk van uw hardware. We hebben een lijst met strategieën en sleutels samengesteld om ... Lees Meer betekent dat er een wachtwoord moet worden ingevoerd, zelfs voordat de opstartopties verschijnen.
Raadpleeg de documentatie van uw hardwarefabrikant voor informatie over het betreden van het BIOS. Over het algemeen wordt dit gedaan door herhaaldelijk op de te tikken Verwijder sleutel als uw computer opstart, maar dit verschilt tussen fabrikanten. De wachtwoordinstelling moet onder de Veiligheid sectie in uw BIOS.
USBGuard heeft uw rug
Moet u een pc of server onbeheerd achterlaten? Als dat het geval is, kunt u aanvallen met een toepasselijk genoemd hulpprogramma, USBGuard, voorkomen. Dit is ontworpen om te beschermen tegen kwaadwillende USB-apparaten, ook bekend als BadUSB. Uw USB-apparaten zijn niet meer veilig, dankzij BadUSB. Uw USB-apparaten zijn niet meer veilig, dankzij BadUSB Read More. Voorbeelden zijn USB-apparaten die een toetsenbord kunnen emuleren en opdrachten van een ingelogde gebruiker kunnen afgeven. Deze apparaten kunnen ook netwerkkaarten vervalsen en de DNS-instellingen van een computer wijzigen om verkeer om te leiden.
USBGuard stopt in wezen ongeautoriseerde USB-apparaten door de basisfuncties voor blacklisting en whitelisting te implementeren. Idealiter zou je geen USB-apparaten toestaan, behalve een paar die je vertrouwt. Wanneer u een USB-apparaat of hub aansluit, scant USBGuard het apparaat eerst. Vervolgens kijkt het sequentieel naar het configuratiebestand om te controleren of dat apparaat is toegestaan of afgewezen. Het mooie van USBGuard is dat het een functie gebruikt die direct in de Linux-kernel is geïmplementeerd.
Als u Ubuntu 16.10 of hoger gebruikt, kunt u USBGuard installeren door het volgende te typen:
sudo apt usbguard installeren
Als je een van de oudere * buntus gebruikt, volg dan de instructies op GitHub [niet langer beschikbaar]. Ons voorbeeld volgt een eenvoudig toestaan waarmee wordt gedemonstreerd hoe een apparaat met een specifieke ID kan worden geautoriseerd. Gebruik om te beginnen:
usbguard generate-policy> rules.conf nano rules.conf
Neem even de tijd om het beleid te bekijken dat op het punt staat te worden toegevoegd. Met deze stap wordt alles toegevoegd en geautoriseerd dat momenteel op uw machine is aangesloten. U kunt de lijnen verwijderen of commentaar geven voor de apparaten die u niet wilt autoriseren.
sudo install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf sudo systemctl restart usbguard
Probeer het eens
Inmiddels zal elk apparaat dat u op uw machine aansluit niet functioneren, hoewel het lijkt te zijn gedetecteerd. IPlug in een USB-drive om dit te controleren door te draaien lsusb om alle USB-apparaten weer te geven die op het systeem zijn aangesloten. Let op de SanDisk-id, we hebben dit later nodig.
Hoewel het apparaat is gedetecteerd in Ubuntu, is er geen teken dat het is aangekoppeld. Een USB-flashapparaat in Linux en uw Raspberry Pi plaatsen Een USB-flash-apparaat in Linux en uw Raspberry Pi monteren Laten we eens kijken naar de problemen rondom USB-apparaten en SD-kaarten met populaire distro's (we gebruiken Ubuntu) en minder gebruikte distro's, zoals Raspberry Pi's Raspbian Jessie-besturingssysteem. Lees verder !
Ga als volgt te werk om dit apparaat aan de lijst met geautoriseerde apparaten toe te voegen:
sudo nano /etc/usbguard/rules.conf
Voeg nu de SanDisk-id toe aan de rules.conf bestand om het in te stellen als een van de geautoriseerde apparaten.
Het enige dat nu nodig is, is een snelle herstart van de USBGuard-service:
sudo systemctl restart usbguard
Ontkoppel nu het USB-station en sluit het opnieuw aan. USBGuard controleert rules.conf, herkent het ID als een toegestaan apparaat en staat toe dat het wordt gebruikt.
Meteen is je apparaat beschikbaar voor normaal gebruik. Dit was een eenvoudige methode om het apparaat gewoon toe te staan ID kaart. Om echt specifiek te worden, zou je een regel kunnen toevoegen rules.conf in deze richting:
geef 0781: 5151 de naam "SanDisk Corp. Cruzer Micro Flash Drive" serie "0001234567" via-poort "1-2" afwijzen via-poort "1-2"
De bovenstaande regels staan alleen een apparaat toe dat overeenkomt met die id, naam, alleen serieel op een specifieke poort. De weigeringsregel staat geen ander apparaat toe dat is aangesloten op die poort. De opties zijn vrijwel eindeloos, maar kunnen online worden doorverwezen.
Fysieke profylactica
USBGuard zal je waarschijnlijk niet beschermen tegen de beruchte USB Killer. Dus wat kan je doen? Als u wel controle hebt over uw USB-poorten en nog steeds een paar dubieuze USB-drives moet aansluiten, zijn er enkele oplossingen beschikbaar. De prijs van een USB-hub 3 Redenen waarom u een USB-hub nodig hebt (of misschien niet) 3 Redenen waarom u een USB-hub nodig heeft (of misschien niet) Bijna alle apparaten maken tegenwoordig gebruik van USB-poorten op één manier of een ander. Als zodanig kan een USB-hub voor de meeste mensen enorm nuttig zijn. Hier zijn enkele redenen waarom u er misschien een wilt hebben. Meer lezen ten opzichte van een nieuwe laptop is microscopisch. Een van de enorme voordelen van het gebruik van een dergelijke doorgewinterde technologie is dat de accessoires overal verkrijgbaar en goedkoop zijn. U kunt een goede merknaam aanschaffen en in plaats van losse apparaten rechtstreeks op uw machine aan te sluiten, sluit u deze aan via de USB-hub. Mocht de USB-drive een USB Killer zijn, dan frituurt deze de USB-hub en is uw machine veilig.
Een andere oplossing voor uw gebruik kan de USG zijn. Het apparaat is een hardwarefirewall die zich bevindt tussen een verdacht USB-apparaat en uw apparaat. Het is compatibel met muizen, toetsenborden en USB-flashstations. Het zal je beschermen tegen BadUSB door de kwaadwillige activiteit te filteren en de gegevens door te nemen die je nodig hebt.
Is dit niet Overkill?
Afhankelijk van de omgeving waarin u werkt, kan dit het geval zijn. Als u het zich veroorlooft om geen enkel apparaat aan te sluiten waar u geen volledige controle over heeft en u de enige persoon bent die toegang heeft tot uw machine, dan zou dit het beste geval zijn. De zilveren voering is dat naast de mensen die manieren proberen te vinden om kwaad te doen, er ook mensen zijn die nadenken over manieren om dat kwaad te voorkomen.
Heb je ooit slechte ervaringen gehad met dodgy USB-apparaten? Hoe zorgt u ervoor dat u of uw bedrijf veilige USB-maatregelen hebt? Laat het ons weten in de comments hieronder!
Afbeeldingscredits: Frantisek Keclik / Shutterstock
Ontdek meer over: Computerbeveiliging, USB.