Come si controllano correttamente le unità USB esterne prima di inserirle nella rete? L'approccio presentato è considerato "sicuro"?

Naviga le tue risposte
9

Situazione attuale:

Sono attualmente impiegato in un ospedale e con il crescente pericolo di ransomware ecc. diffuso tramite unità USB, abbiamo deciso di bloccare tutte le porte USB (rotonde solo da 600 client / Windows) tramite Symantec Endpoint Protection. Questo blocco può determinare se un dispositivo è un dispositivo HID (usiamo Smart-Card-Keyboards, Fingerprint-Mouse e Voice Recorder che si basano sull'USB in aree cruciali in cui questi dispositivi devono funzionare, Dispositivi di input come mouse e tastiere normali sono per lo più PS / 2) o un dispositivo di archiviazione. Se è diverso da un dispositivo HID, la porta viene bloccata. Inoltre, puoi concedere privilegi USB per determinati utenti / computer dove sono assolutamente necessari (PC di amministrazione, PC tecnici, ecc.)

Problema corrente:

È pratica comune che gli utenti (Medici, Dirigenti) entrino con le loro chiavette USB private per importare dati, come studi medici, presentazioni, immagini, ecc. e vogliono che vengano importati nel Sistema (semplicemente dicendo di no non un'opzione purtroppo) che è ovviamente un rischio di sicurezza piuttosto grande

Soluzione corrente:

C'è un computer specifico che si trova in una rete completamente separata in cui gli utenti inseriscono le loro unità e vengono scansionati da SEP, se il controllo è uscito ok, un amministratore mette l'unità in suo PC (!) E copia i file sulla rete condivisa di cui l'utente ha bisogno. Ovviamente anche questo non è molto sicuro, non solo ci affidiamo solo a SEP per la protezione, ma anche questo metodo è soggetto agli attacchi BadUSB ecc.

Cosa volevo fare

Per integrare in modo sicuro queste chiavi USB estranee ho pensato a una combinazione di approcci diversi:

Passaggio 1 L'utente deve andare fisicamente a un dipendente di supporto di primo livello che utilizza un Raspberry Pi (bloccato in una casella con blocchi di sicurezza elevati che solo le posizioni di gestione IT hanno accesso alle chiavi) dove CIRClean, ( link ), un" USB Sanitizer "Open Source creato dal governo lussemburghese, funzionerebbe e le porte USB sono posizionate all'esterno della scatola. Questa distro di Raspberry Pi dovrebbe rimuovere tutti i file da cose "pericolose" come Makros in Word / Excel Files o convertire file PDF in HTML (e rimuovere i Javascript eventualmente incorporati) e copiare questi file "sanificati" su un'altra unità USB ora considerata "probabilmente sicura" .

Dopo questo passaggio l'utente può riprendere il suo Drive e ulteriori passi di lavoro vengono fatti dal Sostenitore del Primo Livello. Questo primo passo dovrebbe sbarazzarsi di attacchi più "non sofisticati", come BadUSB, makro-virus e così via.

Passaggio 2 (AirGap1)

Il First Level Supporter ottiene la chiavetta USB "probabilmente sicura" su una macchina che esegue Qubes-OS ( link ) che è configurato in modo che il controller USB sia una VM separata. Questa macchina controllerebbe automaticamente l'USB-Drive con varie applicazioni antivirus diverse. Questo dovrebbe permetterci di verificare attacchi più sofisticati come i Rootkit ottimamente programmati. Dopo che lo script automatico ha eseguito vari AV-Check, il First Level Supporter prende l'ormai "conosciuto" per essere sicuro USB Stick e arriva a una terza macchina

Passaggio 3 (AirGap2)

Questa macchina è un normale PC Windows che si trova nella rete degli ospedali, SEP è installato ed esegue un altro controllo di sicurezza sull'unità prima che venga montato, dopodiché l'impiegato trascina i file nella destinazione che l'utente ha voluto ed è finito .

Perché sono qui

Sfortunatamente CIRCLean sembra uno strumento preciso, ma non sono riuscito a trovare una versione che funzioni correttamente (non sono da sola con questo, non posso pubblicare più di 2 collegamenti, ma basta guardare i problemi su Git).

Quindi, dopo tutta questa storia di fondo, in cui viene la mia domanda:

Come si fa a garantire che le unità USB esterne siano sicure? Il mio approccio è buono, e in tal caso, come cambieresti "la parte CIRClean non funzionante ?

    
posta architekt 21.08.2016 - 13:20
fonte

1 risposta

8

Suggerirei di andare per la via dei lamponi. Ma invece di richiedere agli amministratori di eseguire l'azione, questa potrebbe essere costruita come una stazione self-service, ovviamente bloccata con serrature sicure e così via.

Poiché il raspberry pi non è x86, non può eseguire malware destinato a Windows, Linux o Mac PC. Può eseguire script dannosi, ma è un'altra cosa e può essere bloccato.

Configura il raspberry pi per avere un touchscreen, in modo che l'utente possa selezionare i file che desidera, quindi assicurati di bloccare tutti gli accessi da tastiera.

Ora il trucco che lo renderà completamente sicuro:

1: In primo luogo, si limita l'interfaccia per visualizzare solo i file di specifici formati di file consentiti. Ad esempio (jpg, png, gif, tiff, svg, bmp) (doc, pptp, ecc.)

2: Per le immagini, è possibile utilizzare GD per convertire da tutti i formati di immagine noti, in PNG: (anche PNG- > PNG). Ciò eliminerà tutti i dati dannosi che possono essere contenuti in questi file, poiché vengono copiati solo i dati delle immagini grezze, non i metadati. (Nota che devi prima convertire l'immagine in un oggetto GD semplice)

3: per i file di Office, si utilizza un estrattore di macro, per rimuovere tutti i dati macro e quindi utilizzare un convertitore di documenti per convertire da DOC- e gt; DOC, PPTP-, gt; PPTP ecc. Non è necessario usa CIRClean, ci sono altri macro stripper che possono essere usati.

La ragione per cui devi convertire un convertitore nello stesso formato del formato sorgente è che tale conversione richiederà comunque che il file contenga dati validi per quel formato, quindi ad esempio ridenominazione consente di dire virus.exe al virus. doc, renderà un file di output vuoto in questo caso.

Questo pulirà completamente i file. E questo è immune anche agli attacchi "BadUSB" se si configura il raspberry pi per non accettare l'input da tastiera. L'input del mouse verrà mappato sul touchscreen, che ha un'interfaccia molto limitata per selezionare i file.

Per evitare che qualsiasi USB dannoso rilasci dati segreti, è consigliabile consentire solo la copia in una direzione, da USB a home dir, NON viceversa.

Quindi ecco che arriva l'idea completa:

L'utente accede a un terminale USB self-service (che è sparsi nell'ospedale). Inserisci la sua USB, sul touchscreen, l'utente seleziona i file che desidera. Può solo vedere i file dei tipi di file consentiti. Successivamente, i file selezionati vengono puliti e quindi copiati nella "cartella principale". Il login può essere fatto con smart-card.

    
risposta data 21.08.2016 - 21:52
fonte

Leggi altre domande sui tag

La scuola installa qualcosa sul mio Mac per connettersi alla rete scolastica. Dovrei essere preoccupato? È possibile eseguire l'iniezione dell'intestazione HTTP se CR / LF sono stati rimossi?