Comment protéger vos ports USB sous Linux

USB Kill est l'un des nombreux risques auxquels votre appareil Linux pourrait faire face à partir du port USB. Comment pouvez-vous protéger votre ordinateur contre les logiciels malveillants USB?

USB Kill est l'un des nombreux risques auxquels votre appareil Linux pourrait faire face à partir du port USB.  Comment pouvez-vous protéger votre ordinateur contre les logiciels malveillants USB?
Publicité

Le bus série universel (USB) Qu'est-ce que USB Type-C? Qu'est-ce que USB Type-C? Ah, la prise USB. Il est aussi omniprésent maintenant qu'il est notoire pour ne jamais pouvoir être branché juste la première fois. Read More est l'épée à double tranchant qui a révolutionné la façon dont nous interagissons avec nos appareils. Sa nature plug and play a rendu le transfert de données entre appareils simple. Les clés USB ne sont pas sans défauts. Ils sont rapidement devenus le moyen d'infecter des réseaux entiers avec des virus et des logiciels malveillants.

USB à la recherche bizarre
Crédit d'image: Marek R. Swadzba via Shutterstock.com

Entrez dans le dispositif USB Kill, qui peut complètement faire frire votre port USB ou détruire votre carte mère. Il y parvient en chargeant ses condensateurs depuis le port USB et en renvoyant la tension brutale au port. Cela se produit plusieurs fois jusqu'à ce qu'il soit débranché ou que l'hôte décède.

Jetons un coup d'oeil à la façon dont vous pouvez essayer et atténuer les risques de tels dispositifs.

Les bases

Avant d'entrer dans les détails plus fins, vous pouvez suivre quelques règles simples:

  • N'insérez pas les clés USB que vous avez trouvées abandonnées sur le sol.
  • N'insérez pas les clés USB qui vous ont été attribuées par un individu au hasard.
  • Demandez à des personnes de confiance de vous envoyer des fichiers via le cloud.
  • Ne pas insérer de clés USB Comment mot de passe Protégez vos clés USB: 3 façons simples Comment mot de passe Protégez vos clés USB: 3 façons simples Les clés USB sont petites, portables et facilement perdues. Nous vous montrerons les moyens les plus simples de protéger par mot de passe les fichiers et dossiers sensibles sur vos clés USB. Lire plus qui ne sont pas de fournisseurs bien connus comme Samsung, SanDisk, etc.
  • Ne laissez pas votre ordinateur sans surveillance.

Cette liste devrait couvrir la plupart des cas. Cependant, la sécurité du périphérique USB peut encore être améliorée.

Protégez votre BIOS

Dans le cas où vous avez une machine qui doit être laissée sans surveillance, l'accès à ladite machine est relativement simple. Tout ce que quelqu'un a à faire est de créer une clé USB amorçable et de démarrer à partir du disque dans un environnement en direct. Cela leur donnera accès à tous les fichiers non cryptés. Dans le cas de Windows, vous pouvez même effacer les mots de passe des utilisateurs. Protection par mot de passe de votre BIOS (Basic Input Output System) Comment accéder au BIOS de votre ordinateur Comment accéder au BIOS de votre ordinateur Dans le BIOS, vous pouvez modifier les paramètres de base de votre ordinateur, comme l'ordre de démarrage. La clé exacte que vous devez frapper dépend de votre matériel. Nous avons compilé une liste de stratégies et de clés pour entrer ... Read More signifie qu'un mot de passe doit être entré avant même que les options de démarrage apparaissent.

Consultez la documentation de votre fabricant de matériel sur la façon d'entrer dans le BIOS. Généralement, cela se fait en tapant à plusieurs reprises sur la touche Supprimer lorsque votre ordinateur démarre, mais cela varie d'un fabricant à l'autre. Le paramètre de mot de passe doit être dans la section Sécurité de votre BIOS.

USBGuard a votre dos

Avez-vous besoin de laisser un PC ou un serveur sans surveillance? Si c'est le cas, vous pouvez empêcher les attaques avec un utilitaire bien nommé, USBGuard. Ceci est conçu pour protéger contre les périphériques USB malveillants également connu sous le nom BadUSB Vos périphériques USB ne sont plus sûrs plus, grâce à BadUSB vos périphériques USB ne sont pas plus sûrs, Merci à BadUSB Lire la suite. Les exemples incluent les périphériques USB qui peuvent émuler un clavier et émettre des commandes d'un utilisateur connecté. Ces périphériques peuvent également usurper les cartes réseau et modifier les paramètres DNS d'un ordinateur pour rediriger le trafic.

USBGuard arrête essentiellement les périphériques USB non autorisés en implémentant des fonctionnalités de liste noire et de liste blanche de base. Idéalement, vous n'autoriseriez aucun périphérique USB, à l'exception d'un petit nombre de personnes en qui vous avez confiance. Lorsque vous branchez un périphérique ou un concentrateur USB, USBGuard va d'abord scanner l'appareil. Il regarde ensuite séquentiellement son fichier de configuration pour vérifier si ce périphérique est autorisé ou rejeté. L'avantage d'USBGuard est qu'il utilise une fonctionnalité implémentée directement dans le noyau Linux.

Si vous utilisez Ubuntu 16.10 ou plus récent, vous pouvez installer USBGuard en tapant:

sudo apt install usbguard 

Si vous êtes sur l'une des anciennes buntus, vous pouvez suivre les instructions sur GitHub. Notre exemple suivra une autorisation simple qui montrera comment autoriser un périphérique avec un identifiant spécifique. Pour se lever et courir, utilisez:

 usbguard generate-policy>rules.conf nano rules.conf 

Prenez un moment pour revoir la politique sur le point d'être ajoutée. Cette étape ajoutera et autorisera tout ce qui est actuellement branché sur votre machine. Vous pouvez supprimer ou commenter les lignes des appareils que vous ne souhaitez pas autoriser.

 sudo install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf sudo systemctl restart usbguard 

Mettez-le à l'épreuve

À ce jour, tout appareil que vous connectez à votre appareil ne fonctionnera pas, même s'il semble avoir été détecté. IPlibez sur une clé USB pour vérifier cela en lançant lsusb pour lister tous les périphériques USB connectés au système. Prenez note de l'identifiant SanDisk, nous en aurons besoin plus tard.

ubuntu lsusb

Bien que le périphérique ait été détecté dans Ubuntu, il n'y a aucun signe qu'il soit monté Comment monter un périphérique USB Flash sous Linux et votre Raspberry Pi Comment monter un périphérique USB Flash sous Linux et votre Raspberry Pi Jetons un coup d'œil aux problèmes qui entourent Des périphériques USB et des cartes SD avec des distributions populaires (nous utilisons Ubuntu) et des distributions moins répandues, comme le système d'exploitation Raspbian Jessie de Raspberry Pi. Lire la suite !

ubuntu finder

Pour ajouter cet appareil à la liste des appareils autorisés, exécutez les opérations suivantes:

 sudo nano /etc/usbguard/rules.conf 

Maintenant, ajoutez l'ID SanDisk au fichier rules.conf pour le définir comme l'un des périphériques autorisés.

Règles Ubuntu

Tout ce qu'il faut maintenant, c'est un redémarrage rapide du service USBGuard:

 sudo systemctl restart usbguard 

Maintenant, débranchez, puis reconnectez le lecteur USB. USBGuard vérifie rules.conf, reconnaît l'identifiant comme un périphérique autorisé et autorise son utilisation.

ubuntu usb gui détecté

Immédiatement, votre appareil devient disponible pour un usage régulier. C'était une méthode simple de juste autoriser l'appareil par son identifiant . Pour être vraiment précis, vous pouvez ajouter une règle à rules.conf en suivant ces lignes:

 allow 0781:5151 name "SanDisk Corp. Cruzer Micro Flash Drive" serial "0001234567" via-port "1-2" reject via-port "1-2" 

Les règles ci-dessus autorisent uniquement un périphérique correspondant à cet identifiant, nom, série uniquement sur un port spécifique. La règle de rejet n'autorisera aucun autre périphérique branché à ce port. Les options sont à peu près infinies, mais peuvent être référencées en ligne.

Prophylaxie physique

USBGuard ne va probablement pas vous protéger contre l'infâme USB Killer. Alors que peux-tu faire? Si vous avez le contrôle sur vos ports USB et avez toujours besoin de brancher des lecteurs USB douteux, certaines solutions sont disponibles. Le prix d'un concentrateur USB 3 raisons pour lesquelles vous avez besoin d'un concentrateur USB (ou peut-être pas) 3 raisons pour lesquelles vous avez besoin d'un concentrateur USB (ou peut-être pas) un autre. En tant que tel, un concentrateur USB peut s'avérer extrêmement utile pour la plupart des gens. Voici quelques raisons pour lesquelles vous pourriez en vouloir une. Lire la suite relative à un nouvel ordinateur portable est microscopique. L'un des grands avantages de l'utilisation d'une telle technologie est que ses accessoires sont largement disponibles et bon marché. Vous pouvez en attraper un bien de marque et au lieu de brancher des appareils brouillon directement dans votre machine, branchez-le via le hub USB. Si le lecteur USB est un tueur USB, il fera frire le concentrateur USB et votre machine sera en sécurité.

Une autre solution à votre cas d'utilisation peut être l'USG. L'appareil est un pare-feu matériel qui se trouve entre un périphérique USB suspect et votre machine. Il est compatible avec les souris, les claviers et les clés USB. Il vous protégera contre BadUSB en filtrant l'activité malveillante et en transmettant les données dont vous avez besoin.

usb ubuntu
Crédit d'image: Robert Fisk

Est-ce pas cette exagération?

Selon l'environnement dans lequel vous travaillez, cela peut être le cas. Si vous pouvez vous permettre de ne pas brancher un appareil dont vous n'avez pas le contrôle total et que vous êtes la seule personne ayant accès à votre machine, alors ce serait le meilleur des cas. La bonne nouvelle est que, en plus des personnes qui essaient de trouver des façons de nuire, il y a des gens qui réfléchissent également aux moyens de prévenir ce mal.

Avez-vous déjà eu de mauvaises expériences avec des périphériques USB douteux? Comment vous assurez-vous, vous ou votre entreprise, des mesures USB sécurisées? Faites-nous savoir dans les commentaires ci-dessous!

Crédits image: Frantisek Keclik / Shutterstock

In this article