@LinkorAnd

Взлом компьютера через usb мышку со встроенной памятью. Как защититься?

Всем добрый день,
В связи нарастающей популярности мышек со встроенной памятью, задался целью защитить компьютер от взлома.
Суть очень проста, есть USB мышка, но не обычная а с памятью. Как ограничить возможности этого устройства при подключении к компьютеру, что бы мышка (и потенциально опасное ПО):
- Не могла считывать какие либо программы и процессы на ПК
- Не могла передавать файлы
- Работала как обычная мышь, где возможности ее только - управлять курсором на моем компьюторе и ничего больше.
Причем все остальные попытки мышки вмешиватся или считывать какие либо процессы были жестко блокированы.
Важно - Я не хочу полностью отключать USB порты. Я хочу, что бы любой девайс с ClassGuid {4d36e96f-e325-11ce-bfc1-08002be10318} имел возможности только обычной мышки, а все остальное запретить.

Пробовал разобраться через regedit и Policy Editor. Но у меня не получилось.
Буду очень раз за помощь.
  • Вопрос задан
  • 589 просмотров
Решения вопроса 1
15432
@15432
Системный программист ^_^
BadUSB мышь в нужный момент представится другим USB устройством, поэтому фильтрация по идентификаторам вам ничего не даст.

Не очень представляю сценарий взлома, который вы себе выдумали. Но если очень сильно хотите заморочиться, то можно создать аппаратный фильтр USB устройств
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Уже есть описания атак, хотя бы концепты? Или это просто чьи-то бредовые фантазии?
Ответ написан
@LinkorAnd Автор вопроса
Если что, у меня уже есть мышка, которая сканирует запущенные процессы в ПК. Если находит нужное совпадение, отключается. То есть мышка уже может сканировать, дальше вопрос сможет ли делать атаку. Но я думаю это вопрос времени.
Причем программу сканер, ставил не я :(
Ответ написан
Как сама мышка может знать, каким образом что-то там считать с компа? Это комп ХОСТ, а мышка (или любое составное устройство usb) не может сама ничего делать, она может только определиться как одно или сразу несколько устройств usb. А вот дальше может быть сценарий BadUSB, когда мышка может быть и клавиатурой сразу, которая, например, выполнит после подключения нажатия на какие-то клавиши, и вполне может запустить на компьютере что-то нехорошее.
У меня вот мышка тоже представляется как составное устройство, клава+мышь. Но в 90% случаев это из-за кривой реализации доп.кнопок, которые обрабатываются виртуальной мультимедиа клавиатурой. У меня эту мышку касперский определяет как badusb, и выдаёт картинку с требованием ввести с этой виртуальной клавы код с картинки. На деле же, никаких комбинаций и нажатий она не нажимает, я это отслеживал, и спокойно много лет дома под линуксом работает и есть не просит.
Другой сценарий - это когда в ОС есть уязвимости, и на флешке в мышке (если есть такая) лежит что-то, чем можно эту уязвимость эксплуатировать. Например, классический автозапуск, и в нём прописан запуск какой-нибудь последовательности команд. Например, скачать какой-то файл и выполнить его. Для этого не нужны даже какие-то внешние программы, можно обойтись встроенными, например ftp, curl, и т.п. Дыры с эксплуатацией автозапуска были и в виндах, и в линуксах под КДЕ и другими оболочками (но под линуксами пользователь ещё должен был сам щёлкнуть по значку, и то, под пользователем что-то запустилось бы).

Защититься - под виндами можно использовать тот же каспер, он умеет это (kes с 8 вроде версии умеет). Или в реестре отключить параметр, который позволяет пользоваться usb накопителями (usbstore). При надобности - включить вручную. Дело простое - создать два рег-файла, и одним выключать, другим включать, если понадобилась флешка вдруг. От виртуальной клавиатуры в мышке..... не знаю как просто без сторонних инструментов защититься.
Под линуксами - можно как-то в udev прописать правила, в котором запретить работать определённому устройству, или даже классу устройств. Подробности гуглить, так с ходу не скажу.

Но правильное решение - не тыкать в свой комп что попало! Купил мышку, проверил - работает как надо - пусть работает. Если определяется как составное устройство - купить другую, если совсем паранойя, ну или тоже протестить и если всё ок, пусть работает.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы