Sono preoccupato che i dispositivi USB siano fisicamente collegati al mio laptop MacBook quando sto per sbloccare il mio computer o mentre il mio computer è sbloccato.
Il mio modello di minaccia coinvolge un utente malintenzionato che è disposto a spendere circa $ 200 per ottenere l'accesso al mio laptop, in particolare il mio account utente o root. Pertanto, non sono possibili attacchi fisici sofisticati come complicate modifiche dell'hardware o sostituzione fisica del laptop.
Ma mi piacerebbe essere in grado di:
-
Lascia il computer incustodito ma bloccato per alcuni minuti mentre utilizzo il bagno in un bar.
-
Dispositivi di archiviazione USB esterni plug-in senza dover eseguire l'avvio in una VM isolata o utilizzare un account utente ospite. Essere in grado di ricaricare il mio telefono dalla porta USB utilizzando un cavo non affidabile ed essere ancora in grado di utilizzare il mio computer dal mio account utente allo stesso tempo. Essere in grado di usare monitor esterni non fidati tramite USB.
-
Evita di dover toccare fisicamente le porte USB per assicurarti che non sia collegato a nulla di nefasto prima di digitare il login.
L'attacco di cui sono preoccupato è ovviamente BadUSB o dispositivi USB progettati su misura che possono agire come tastiere (e possono essere prodotti per meno di $ 200). Questi dispositivi potrebbero essere collegati mentre lascio il mio portatile incustodito, e può essere troppo piccolo (si pensi alle dimensioni ubikey) per essere notato immediatamente. Oppure potrebbero essere collegati da una persona seduta accanto a me quando mostro loro qualcosa sullo schermo.
Utilizzo già pratiche opsec di base, tra cui FDE, una password del firmware, una password dell'account utente che cambia spesso, blocco sempre il mio computer quando sono via, nessun riutilizzo della password, esecuzione solo dei binari, mi fido, ecc.
La soluzione che sto pensando sarebbe sulla falsariga di dover "autorizzare" i nuovi dispositivi USB quando sono collegati; e dovrei essere in grado di visualizzare il loro tipo (ad esempio tastiera VS fotocamera VS microfono VS cavo di ricarica VS dispositivo di archiviazione). Se autorizzo un dispositivo USB ed è scollegato e ricollegato, dovrei avere la possibilità di autorizzarlo nuovamente o di non autorizzarlo, e non dovrebbe essere in grado di agire fino a quando non prendo la decisione. E se un dispositivo tenta di registrarsi di nuovo come un tipo diverso, dovrebbe essere bloccato fino all'autorizzazione.
Conosci un sistema che mi consente di farlo? Grazie!