Acquista un adattatore da PS2 a USB per tastiere e mouse (importante: entrambi devono essere in una porta USB per assicurarsi che non sia un ingenuo connettore straight-through).

Hannounalogicaecostanocirca$10almomentodellascrittura.

QuindiacquistagliadattatoridaUSBaPS2permouseetastiera(adattatoriseparati).

Non hanno logica, solo il cablaggio interno per ogni connessione e costano meno di $ 5 al momento della scrittura.

Inseriscili del tutto. Sì, sembra strano, ma i dispositivi funzioneranno ancora come previsto. Ora, anche se uno dei cavi raggiungibili dall'utente è giuntato, non possono aggiungere nuovo hardware oltre a mouse e tastiere generici.

Belle cose su questo:

• a buon mercato
• semplice
• hardware implementata
• protegge da dispositivi sconosciuti
• indipendente dal sistema operativo

UPDATE: Ho verificato manualmente, due volte, che non c'è continuità tra i pin dati / dati + USB e i pin di dati / clk PS2 (o altri pin PS2) su un adattatore due in uno. C'è comunque continuità sugli adattatori a porta singola, ma ciò non è importante finché uno degli adattatori implementa un tipo di logica come fa il due-in-uno. Collegare l'adattatore vuoto a una scatola di Windows dovrebbe causare "USB inserimento ding"; altrimenti è un ingenuo adattatore fisico.

Il doppio adattatore PS2-USB che ho provato in modo specifico era un "ez-pu21", disponibile ancora su Amazon.

UPDATE # 2, 2 cose:

• ci sono attacchi con la tastiera USB, quindi devi bloccare correttamente il sistema operativo per mantenere la sicurezza.
• si può entrare nel bios con una tastiera, e non sono sicuro di quanto sia rischioso per l'exfiltrazione, o se tutto ciò che possono fare è "rompere" il computer.

UPDATE # 3: Dopo aver usato gli adattatori double-line per circa 24 ore, posso dire che funzionano, ma non del 100%, forse del 99%. Quando stavo facendo una programmazione seria (digitando) ho notato che i tasti tenevano premuto per circa 1/3 di secondo ripetizione. Questo è prima della mia ripetizione tipografica di circa 2/3 al secondo dopo la stampa, e si ripete solo una volta; portando a cose come "biig" invece di "big". L'ho notato solo poche volte, a notte fonda, ma volevo parlarne. Non me ne sono nemmeno accorto fino a dopo l'orario di utilizzo, ma se stavi scrivendo un romanzo, potrebbe essere frustrante. Potrebbe essere solo l'adattatore economico che ho usato, i cavi veramente lunghi che sto usando o qualcos'altro che nessuno sperimenterà.

BONUS: (correlato ma OT): ho appena realizzato questi switch usb economici non collegano i pin di dati, sono troppo economici per passare tutti i 4 fili, rendendo così un "preservativo USB" a buon mercato per coloro che desiderano una cosa del genere, ho pensato di condividere. preservativi economici, come puoi sbagliare?

Stai prendendo la parte sbagliata del problema. Se qualcuno di cui non ti fidi può accedere a una macchina, la macchina è stata compromessa. Punto fermo.

Questo è il motivo per cui l'accesso alle sale server è altamente controllato e perché normalmente l'amministratore non si preoccupa della sicurezza fisica dei connettori: la linea di difesa non si trova al livello del connettore ma nella stanza che contiene la macchina.

Detto questo, puoi immaginare driver USB speciali che consentono solo ID hardware specifici. Semplicemente non è possibile installarli di default quando si installa un kernel su una nuova macchina a causa di un problema di gallina e uova, ma dopo un'installazione iniziale, è possibile creare un kernel personalizzato con quei driver USB speciali. Ma poiché ci sono molte altre possibilità per compromettere una macchina quando si ha accesso fisico ad essa, è semplicemente IMHO una perdita di tempo ed energia ...

E comunque, nulla impedisce a un'organizzazione malvagia e potente di costruire una tastiera USB specifica che si presenta con l'ID e l'apparenza di una tastiera innocente di un noto produttore di hardware ma che contiene un keylogger. Se non ti fidi del tuo amministratore, potrebbe sostituire la tastiera al riavvio del sistema. Come ho già detto, se un malvagio può toccare la macchina è compromesso, e se non ci riuscisse non dovresti preoccuparti dei connettori USB.

Sui sistemi Windows, sei stato in grado di bloccare o limitare i dispositivi USB tramite Criteri locali o di gruppo almeno da Windows Vista. Impostando le politiche di "Accesso allo spazio rimovibile", è possibile disabilitare l'allegato dei dispositivi di archiviazione USB (quella categoria include molti dispositivi USB malevoli). Queste impostazioni impediscono a Windows di interagire con i dispositivi perché impediscono il caricamento dei servizi.

link link

Utilizza solo una tastiera e un mouse PS / 2.

Non preoccuparti di adattatori e altri tipi di preservativi hardware. Ci sono ancora molte schede madri disponibili con connettori per mouse e tastiera PS / 2.

Richiesta di chiarimento: di quali attacchi sei preoccupato? Con la tua osservazione sul fatto di non preoccuparti delle foto dello schermo, suppongo che tu non voglia dati immessi nel sistema, e non preoccuparti di QUALSIASI estrofissione di dati.

Quindi, come possiamo attaccare il tuo sistema e cosa si può fare al riguardo?

Attacchi USB e amp; mitigazione

Come notato da altri, stai lontano dalla USB. Il sistema operativo NON PU protect proteggere da tutti gli attacchi. Nohl et al hanno dimostrato nel 2014 come attaccare il firmware del microcontroller host USB e il loro attacco, denominato BadUSB è stato dimostrato utilizzabile anche mentre il sistema era seduto nel BIOS dopo il riavvio.

Dopo che i microcontrollori dell'host USB sono stati compromessi, un payload malevolo potrebbe teoricamente fustigare sul bus PCI per modificare o snoopare la memoria.

Questi attacchi possono essere evitati o mitigati? SÌ! Sul mercato è presente almeno un dispositivo firewall hardware USB, USG , che è stato appositamente progettato per combattere l'attacco BadUSB. Non si occuperà ancora dell'input da tastiera non attendibile.

Ingressi tastiera non attendibili, USB e amp; PS / 2:

Anche il cablaggio PS / 2 suggerito da altri è un strong concorrente, ma non c'è motivo per cui un dispositivo non possa essere aggiunto per iniettare tutte le sequenze di tasti e gli ampli necessari; movimenti del mouse per attaccare il tuo sistema (es .: aprire il blocco note o qualsiasi cosa che mi permetta di inserire caratteri, inserire i caratteri binari necessari per formare un programma, salvare come .exe, eseguire!). Anche BadUSB non può combatterlo.

Attacchi e ampli HDMI; mitigazione

Stai consentendo il collegamento di un cavo HDMI? C'è stata almeno una osservazione da una ricerca sulla sicurezza (Dragos Ruiu) secondo cui è possibile utilizzare Ethernet-over-HDMI per infettare il sistema limitato.

La mitigazione qui è semplice: assicurati di utilizzare un cavo HDMI senza i bit Ethernet, ma fai attenzione ai DDC ...

Attacchi video DDC:

Per essere onesti, anche la VGA consentiva il trasferimento digitale tramite comunicazione bidirezionale DDC (come quella DVI), quindi ha un potenziale di sfruttamento; ma è molto meno probabile che venga usato. Non è raro aggiornare il firmware nei monitor tramite DDC su VGA / DVI / etc.

Funziona come HDMI - Display di hacking resi interessanti da Andy Davis, Blackhat-EU-2012 riguarda l'utilizzo di DDC per hackerare i monitor, ma il bus I2C che forma il collegamento DDC è bidirezionale e potrebbe essere utilizzato in modo creativo per colpire la scheda video dell'host.

Non puoi evitare il collegamento DDC perché è necessario per impostare correttamente la modalità video.

Vorresti un diodo di dati in linea accanto al PC sia per la tastiera che per il mouse, quindi nessun dato potrebbe essere inviato dal PC alla stanza, non importa quale (dal momento che hai detto che il cavo numero 3 non è un problema). Potresti trovare anche un mouse e una tastiera seriali.

A proposito, questo è tutto un covo di latta. ecco un protocollo di comunicazione denominato chat a foglio di alluminio che mostra i diodi di dati per i dispositivi seriali, che sono avvolti in carta stagnola. link

L'aggiunta di un diodo da solo non sta creando un diodo dati, come con un diodo che potresti inviare contro la freccia con una tensione inversa, i diodi dati utilizzati nel progetto hanno un accoppiatore ottico per rendere impossibile l'informazione di viaggiare contro la freccia (senza accesso all'hardware).

Dopo aver provato anche a mostrare perché il cavo HDMI potrebbe non essere un problema mi è venuta in mente questo layout della stanza, l'idea è di mettere la testa al microscopio che guarda il dispositivo di visualizzazione e ti permette di vedere lo schermo attraverso un ottico cavo in fibra che passa attraverso il muro. La tastiera e il mouse che porti con te possono solo inviare dati, non ricevere, in quanto vi è il diodo di dati sull'altro lato del muro. Bob, il tizio della sicurezza è lì per farti compagnia in questo inferno senza finestre di un posto di lavoro, e per buttarti fuori se inizi a parlare con il tuo dispositivo di registrazione, metti qualcosa di diverso dal tuo occhio sul mirino o prova a sfondare parete. Si noti che non può spingere qualsiasi informazione. Saresti disconnesso se avessi spostato la testa fuori dal mirino, per accedere dovresti digitare una password come al solito, ma anche digitare rapidamente caratteri che appaiono in schermi alternati sinistro e destro (ci sono ora due monitor che portano a ogni occhio separatamente). Questo per evitare di annoiare un bulbo oculare e sostituirlo con una macchina fotografica (non è necessario applicare i pirati con un occhio). Ora non sei in grado di copiare alcun file dal PC, Bob non deve spogliarti per cercare le apparecchiature spia e tutti sono contenti.

Qualunque cosa tu possa memorizzare dal sistema e portare a casa con te perde qualche credibilità, avresti potuto inventarlo invece di memorizzarlo.

Una soluzione universale per qualsiasi sistema operativo è quella di rimuovere tutti i driver USB tranne quelli necessari (HID). Assicurati di impedire all'utente di installare nuovi driver però.

Come altri hanno già detto, specialmente robbat2 e Serge Ballesta ... Una volta che le persone hanno accesso fisico alla macchina, sei a tutti gli effetti compromessa.

Puoi rendere la tua installazione più sicura elettronicamente in vari modi. Molti di questi probabilmente copriranno praticamente tutti i tuoi casi d'uso. A meno che tu non stia lavorando con il governo top secret o roba aziendale e l'hacker stia introducendo una tecnologia speciale con loro, dovresti essere praticamente al sicuro.

Ma l'unico modo per essere sicuri al 100% in termini accademici è andare anche fisici. Hai bisogno di una persona di cui ti fidi a guardia della macchina.

Se sei davvero paranoico sulla giunzione dei cavi e questa è la tua unica preoccupazione, potresti coprire la lunghezza dei cavi del mouse e della tastiera in una maglia di rame collegata a un sensore. Esegui una corrente attraverso di essa e disponi di un relè in grado di misurare la tensione verificandola 24 ore su 24, 7 giorni su 7. Fai in modo che il relè sia connesso a un'altra macchina, magari un Raspberry Pi o un Arduino, in modo che possa attivare un allarme nel caso in cui la mesh venga depotenziata.

Ora devi solo impostare la tensione sulla mesh. Usa qualche piccolo potenziale - diciamo da 3 a 12 volt - se vuoi solo sapere se i cavi sono stati tagliati o meno. O vai fino a 220V o più se vuoi che funga da trappola esplosiva (alcune persone direbbero che è una cosa non etica da fare).

È possibile collegare la tastiera a una scrivania (ad esempio con viti antivandaliche attraverso la base della tastiera) in modo che il cavo USB non sia accessibile, ad es. in un canale tagliato nella scrivania e coperto con una piastra metallica.

Non è necessario un mouse cablato o wireless: è possibile utilizzare una tavoletta cablata (ad esempio una Wacom) con il cavo USB reso altrettanto inaccessibile. Puoi prendere un mouse per il tablet se gli utenti non riescono a farcela usando una penna.

Ovviamente, un utente particolarmente malintenzionato potrebbe tentare di strappare la tastiera per accedere alla connessione USB all'interno, quindi scegliere una costruzione a prova di vandalo, possibilmente con un allarme in modo che se riescono ancora a entrare qualcuno viene avvisato.

Inoltre, sono disponibili tastiere con montaggio a pannello in acciaio inossidabile con trackball.

Cosa succede se ...

... abbiamo collegato la tastiera a un Raspberry Pi o a Teensy ( link ), programmato per leggere i tasti e il tipo "di nuovo nel computer? Immagino che sarebbe abbastanza veloce da evitare qualsiasi latenza percepita. Questo fungerà da "USB Firewall for Keyboard" e un altro come "USB Firewall for Mouse".

Il computer identifica il Teensy come "FirewalledKeyboard" o "FirewalledMoused". Non è necessario che il computer visualizzi la tastiera o il mouse originali.

È interessante notare che l'utente @ robbat2 ha indicato un firewall USB che impedisce alcuni attacchi USB di basso livello:

• link
• link

Mi sembra che questo potrebbe anche essere modificato per consentire solo la connessione di tastiere e mouse.

Potremmo anche aggiungere la soluzione di cavi PS / 2 (vedi la risposta utente @dandavis) tra la tastiera e il "USB Firewall".

Aggiornamento:

Ho inviato un'email a Robert Fisk, creatore del (open source) USG , e gli ho chiesto (condensato) :

Hello Mr. Robert Fisk,

Can your USG be modified so that it only allows keyboards and mouses to be connected, and also prevent information to be sent from the computer to the keyboard? If I buy your ready USG hardware (instead of building my own), is it possible to change its firmware? How much is each USG?

Ha risposto:

Hi Marcelo. The firmware can easily be turned into a 'keyboard-only' or 'mouse-only' device. You can also disable the computer-to-keyboard communication that updates the caps, scroll, and num lock lights. However you will still be vulnerable to a malicious user typing in an evil VBScript, Powershell script, or even binary using ALT ascii codes that will perform malicious actions. Yes you can certainly program in your own firmware, see this page: https://github.com/robertfisk/USG/wiki/DFU-Firmware-Upgrade

I hope that helps!

Tieni presente che non avevo mai parlato con il signor Fisk prima di questa email e non ho mai sentito parlare di USG prima di porre questa domanda. Non sono collegato a USG o al suo creatore in alcun modo, e non ne ho mai usato uno, l'ho testato o studiato. Non so personalmente se è adatto per il lavoro. Sto solo postando queste informazioni perché penso che sia interessante e possibilmente utile.

Se alla fine decido di acquistare alcuni USG e modificare il suo firmware, probabilmente aprirò il nuovo firmware in GitHub e lo collegherò qui.

Potresti usare un mouse e una tastiera wireless se il computer con le porte USB non è lontano dalla tua stazione di ingresso.

In base al tuo commento su una delle risposte: Il concetto di "toccare la macchina" qui è il problema.

Quindi questa è una risposta che suggerisce un approccio diverso piuttosto che concentrarsi sulle porte USB.

1. Perché non utilizzare il wireless? La tastiera e il mouse wireless ti impediscono di usare fili.

2. Accesso remoto al computer , ci sono applicazioni / software che ti permettono di controllare altri computer da remoto, localmente. Ha senso, se stai facendo una configurazione tipo server.

3. Controlla i movimenti del cursore e della tastiera tramite il dispositivo di rete locale (router)? Non sono sicuro se possibile, ma se lo è, i router hanno il filtraggio degli indirizzi mac, e tali dispositivi di input devono avere i propri indirizzi MAC. Dai un'occhiata a questo HP Wifi Mouse , anche se per le recensioni online, sembra essere buggato.

Ecco qua. Epossidico, colla a caldo, ecc. Avete fornito requisiti e condizioni molto specifici senza dare molte basi eccetto "Dati altamente sensibili".

La tua domanda suggerisce che l'utente PU un scollegare e inserire dispositivi USB nel computer, SENZA rispetto della natura rigorosa che hai originariamente descritto. Ciò implica l'accesso fisico a una parte del sistema. La vecchia regola dice "l'accesso fisico supera tutti gli altri controlli".

Questa è la migliore risposta che posso dare, date le tue presunte condizioni. Ho lavorato in ambienti governativi ad alta sicurezza, con soluzioni cross-domain, e quelle erano più facili. La risposta semplice è solitamente la risposta più sicura.