Skocz do zawartości

Uruchamianie zewnętrznych nośników danych we wrażliwym środowisku


Rekomendowane odpowiedzi

Witam,

zastanawiam się jakie rozwiązanie można zastosować w sytuacji w której chciałbym wykorzystywać zewnętrzne nośniki informacji typu pamięci USB, płyty CD/DVD, dyski zew. w środowisku w którym bezpieczeństwo danych w systemie jest krytyczne. Jak zabezpieczyć w takim razie taki system i jak obchodzić się z takimi nośnikami w takim środowisku. Wiadomo, że infekcje z tego typu nośników są bardzo powszechnym zjawiskiem, dlatego zastanawiam się jak uniemożliwiać infekcji z tych nośników, załóżmy że sam antywirus w systemie nie wystarczy. Myślałem coś o piaskownicy w której mógłbym zeskanować nośnik danych kilkoma systemami antywirusowymi ale jak tego dokonać? Jak włożę nośnik danych to za chwilę będzie on dostępny w moim komputerze i czy już wtedy może dojść do infekcji systemu?

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Na forum jest wątek na temat infekcji z pamięci USB - http://www.fixitpc.p...ow-przenosnych/ - ale są tam tylko przykładowe i raczej te pionierskie aplikacje. Możesz sprawdzić więc np. programy z tej listy - http://www.sciagnij....anie_USB/408/16 z tej http://www.brotherso...sb-protect.html lub z tej http://www.jonnysblog.com/2009/02/27/10-usb-flash-drive-freeware-programs/

Co do wirtualizacji zawartości pamięci USB, to nie za bardzo teraz kojarzę jakiś konkretny soft tylko w tym zakresie - na pewno jednak wirtualizację dysków przenośnych można zrealizować dzięki Shadow Defender, który poza dowolnym dyskiem stałym (w tym oczywiście systemowy) może zwirtualizować pamięć przenośną. W tym wypadku wydaje mi się, że dobrze zrobić to równocześnie z wirtualizacją dysku systemowego - u mnie przykładowo wygląda to tak (niebieskie zaznaczenie oznacza zwirtualizowany dysk, G - to pamięć USB)

post-335-071709500 1286265412_thumb.jpg

Odnośnik do komentarza

Obecnie istnieją dwa rodzaje infekcji z dysków przenośnych:


  •  
  • wykorzystujące pliki autorun.inf, w których zapisane jest jaki program ma się uruchomić i mają możliwość automatycznego wykonywania programów z dysków. W przypadku włączonej funkcji autouruchamiania "Autorun" infekowanie zachodzi już w momencie podłączenia zarażanego nośnika
  • wykorzystujące lukę w przetwarzaniu plików .lnk (skrótów) gdzie aby zostać zainfekowanym, wystarczy podłączyć tylko zainfekowany dysk przenośny jeśli autoodtwarzanie "Autoplay" jest włączone lub wyświetlić zawartość dysku USB za pomocą dowolnego programu, który automatycznie pokazuje ikonki plików (np. Total Commander czy Windows Explorer), jeśli autoodtwarzanie jest wyłączone.

 

Aby dobrze się zabezpieczyć przed tymi infekcjami:

- instalacja łaty eliminującej lukę w przetwarzaniu skrótów: KB2286198 Biuletyn zabezpieczeń firmy Microsoft MS10-046 - krytyczny

 

- koniecznie wyłączyć rozpoznawanie przez system plików autorun.inf

https://www.fixitpc.pl/index.php?/topic/56-zabezpieczenia-infekcje-z-pendrive-mediow-przenosnych/page__view__findpost__p__300

 

- można też wyłączyć autoodtwarzanie "Autoplay". Tutaj mozna użyć ciekawej nakładki AutoRunSettings, która umożliwia włączanie / wyłączanie funkcji Autoplay dla typów oraz liter napędów. Zaznaczona opcja oznacza aktywną funkcję Autoplay. Aby wyłączyć odznaczamy. Z kolei zaznaczona opcja "block autorun.inf" wyłącza rozpoznawanie plików autorun.inf

 

Istnieje również ciekawa aplikacja No Autorun (strona domowa), która monitoruje każdy podłączany dysk USB i blokuje znajdujące się na nim plik autorun.inf wraz z zapisanymi w nim plikami wykonywalnymi. Po wykryciu pliku autorun.inf wyświetlane jest okienko z wyborem akcji. Do czasu podjęcia stosownej akcji pliki nie mogą się wykonać i nie zaszkodzą systemowi, nie można także ich usuwać z poziomu Explorera. Aby usunąć wszystkie pliki wybieramy Delete Autorun Files / Delete All. Pojedyncze pliki kasujemy Delete. Przyciskiem Unlock zdejmujemy blokadę z plików i mamy do nich dostęp. Quarantine - kwarantanna.

 

2dbjrzq.jpg

 

Wybierając Config mamy dostęp do konfiguracji:

disable autorun - opcja wyłącza funkcje autoodtwarzania Autoplay

when a usb disk is inserted, safely open the disk folder - opcja pozwala na bezpieczne otwarcie folderu dysku USB po określonym czasie w sekundach

lock autorun.inf file when it contains more than 4 lines. ( prevent potential parsing error.) - blokada pliku autorun.inf, jeśli zawiera więcej niż 4 linie. (zapobiega potencjalnym błędom parsowania)

 

17r05c.jpg

 

Edit: Wypełniając te warunki myślę, że nic się automatycznie nie uruchomi. A pozostałą zawartość nośnika możesz sprawdzić poprzez skanowanie antywirusami.

Także aplikacja Sandboxie ma możliwość uruchomienia dysku w piaskownicy - po prostu po zainstalowaniu w oknie Mój komputer klikamy PPM na dysku >>> Uruchom w piaskownicy.

Edytowane przez Traxter
Odnośnik do komentarza

Nie jestem pewny, bo nie używam Sanboxie, ale czy nie jest tak, że nawet po restarcie w folderach programu zostają śmieci po uruchamianych plikach czy programach? Wiem, że są izolowane, ale wciąż tam pozostają i nie każdy pamięta,by je usuwać. To nie jest do końca bezpieczne. Kilka lat temu (ok...jakoś rok temu) były już infekcje, które sprawdzały najpierw czy Sandboxie jest w systemie i wtedy go skutecznie obchodziły.Poza tym to, co działa w piaskownicy nie jest przez program monitorowane - jest tylko izolowane - więc np. wszelkiej maści loggery mogą sobie nas skubać do woli sczytując uderzenia w klawisze, robiąc zrzuty ekranu itp..dopóki nie opróżnimy piaskownicy.

Odnośnik do komentarza

Ale uruchomienie w izolacji to zawsze jakieś zabezpieczenie, że nic nie wydostanie się do systemu.

Masz rację...piaskownica to jest już jakieś zabezpieczenie i w większości pewnie skuteczne, zwłaszcza jeśli się przestrzega pewnych zasad - choćby opróżnienie jej zawartości - lub konfiguracja programu stosującego piaskownicę na to pozwala. Niemniej wyszedłem z założenia, że pełna wirtualizacja jest skuteczniejsza, bo chroni nie tylko wybrany folder lecz całą zawartość dysku. Poza tym wychodzę z założenia, że nie można opierać się na jednym rozwiązaniu...każde inne bardziej "uszczelnia" ochronę systemu.

Odnośnik do komentarza

Nie jestem pewny, bo nie używam Sanboxie, ale czy nie jest tak, że nawet po restarcie w folderach programu zostają śmieci po uruchamianych plikach czy programach? Wiem, że są izolowane, ale wciąż tam pozostają i nie każdy pamięta,by je usuwać. To nie jest do końca bezpieczne. Kilka lat temu (ok...jakoś rok temu) były już infekcje, które sprawdzały najpierw czy Sandboxie jest w systemie i wtedy go skutecznie obchodziły.Poza tym to, co działa w piaskownicy nie jest przez program monitorowane - jest tylko izolowane - więc np. wszelkiej maści loggery mogą sobie nas skubać do woli sczytując uderzenia w klawisze, robiąc zrzuty ekranu itp..dopóki nie opróżnimy piaskownicy.

 

Pomyliłeś Ichito piaskownicę z wirtualizerem. Restart nie ma nic do Sandboxie. Można ja opróżnić ręcznie przed, lub po restarcie ewentualnie ustawić automatyczne opróżnianie, po zamknięciu ostatniej aplikacji.

 

Jeżeli chodzi o śmieci, to zdarza się, że pozostają one po opróżnieniu piaskownicy i nie są wcale zaizolowane.

 

Czytałem tylko o jednym rootkicie, który potrafił obejść zabezpieczenia Sandboxie, a nie o wirusach i zostało to już naprawione.

 

Sandboxie to nie tylko sama izolacja, ale także ochrona. W Comodo Laek Teście wraz z zaporą Windows XP, zalicza ona 160 pkt. Potrafi zablokować niektóre keyloggery, a wersji zarejestrowanej może nawet blokować dostęp, połączenia wychodzące oraz izolować dyski zewnętrzne.

 

 

@yethwa

 

Oprócz w/w sposobów i aplikacji jak np. Pandy USB, można wykorzystać także HIPS z piaskownicą DefenseWall, klasyczne mocne hipsy np. Program Guard OA, Defense+ COMODO, wirtualizer Wondershare Time Freeze Free 2 oraz antywirusy blokujące autouruchamianie, np. Avira, Panda, NOD32.

Odnośnik do komentarza

Pomyliłeś Ichito piaskownicę z wirtualizerem. Restart nie ma nic do Sandboxie. Można ja opróżnić ręcznie przed, lub po restarcie ewentualnie ustawić automatyczne opróżnianie, po zamknięciu ostatniej aplikacji.

Jeżeli chodzi o śmieci, to zdarza się, że pozostają one po opróżnieniu piaskownicy i nie są wcale zaizolowane.

Nie pomyliłem Jura...no i napisałem przecież, że nie za bardzo się w tym orientuje, bo nie używam, a piaskownica to też w końcu forma wirtualizacji :) Słowa o usuwaniu przez restart były tylko podkreśleniem faktu, że nawet restart niczego nie zmienia i te pliki mogą być wciąż groźne do momentu ich usunięcia.

Czytałem tylko o jednym rootkicie, który potrafił obejść zabezpieczenia Sandboxie, a nie o wirusach i zostało to już naprawione.

Nie pisałem o wirusach...użyłem słowa infekcje :) Poza tym o rootkicie można znaleźć nie tylko w postach Creera, ale też i tu...jak się okazuje jeszcze o rok wcześniej i jest tego więcej, niż 1 malware

http://forum.sysinte...s.asp?TID=15072

 

Oprócz w/w sposobów i aplikacji jak np. Pandy USB, można wykorzystać także HIPS z piaskownicą DefenseWall, klasyczne mocne hipsy np. Program Guard OA, Defense+ COMODO, wirtualizer Wondershare Time Freeze Free 2 oraz antywirusy blokujące autouruchamianie, np. Avira, Panda, NOD32.

Oczywiście OA i Comodo mają mocne HIPSy...ale nie patrząc tylko na testy Matouska można je znaleźć jako samodzielne softy...choćby Malware Defender, który wrócił po kilku latach "niebytu", a ze starszych System Safety Monitor, AntiHook, Real-Time Defender czy NetChina...i oczywiście np. ThreatFire jako bloker,który niedawno po prawie 1,5 roku doczekał się kolejnej wersji, choć jeszcze beta.

---------------------

Edit:

jeśli już mowa o blokowaniu infekcji z pendraków i zastosowaniu HIPSów, to chyba dobrze byłoby wspomnieć o rodzimej produkcji - mam na myśli oczywiście SpySheltera. Co prawda jego zadanie podstawowe jest zupełnie inne - to anti-logger i to chyba najbardziej rozbudowany, który ceniony jest wyżej w tej roli, niż Zemana - to w pełnej, płatnej wersji ma opcję blokowania ładowania plików*.dll z wymiennych dysków, co podnosi skuteczność ochrony przed niektórym malware. Ma również moduł ochrony systemu czyli HIPS z tym, że bardziej niż u innych chyba rozbudowana jest lista aplikacji na "białej liście", co zmniejsza zdecydowanie ilość komunikatów, jakie użytkownik dostaje. Lista bazuje na aplikacjach podpisanych cyfrowo i nie tylko aplikacji Microsoftu. Niedawno został wprowadzony tryb instalacji, który jednym zatwierdzeniem załatwia sprawę wielu akcji, na które nie musimy odpowiadać. Dodatkowo w wersji darmowej jak i płatnej jest opcja "blokuj automatycznie podejrzane aplikacje", co z automatu nie dopuszcza do ich uruchomienia - nawet po pomyślnej instalacji.

Odnośnik do komentarza
  • 2 miesiące temu...
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...