¿Es Ubuntu Guest Session más segura que el Ubuntu Live CD para examinar unidades USB maliciosas?

1

Tengo algunas unidades USB supuestamente maliciosas que quiero probar. Tengo un sistema operativo Ubuntu ya instalado con una sesión de invitado y el CD de Ubuntu Live. ¿Qué configuración de entorno es más segura para probar el disco malicioso?

Suposiciones:

  1. Todos los dispositivos de almacenamiento se eliminarán en la caja del Live CD . En el caso de Ubuntu Guest Session, puede haber otras unidades de disco internas pero no externas (las unidades de disco internas deben ser montadas para poder acceder a ellas, las unidades de disco externas no. Por lo tanto, las primeras no son accesibles debido a las restricciones de root, pero las segundas sí lo son). >
  2. La conexión de red está desactivada .

NOTA: Cuando me refiero a seguro, no me refiero al 100% (porque eso es imposible). Un 100% es suficiente :-P.

    
pregunta pgmank 26.11.2016 - 16:33
fuente

2 respuestas

7

En resumen: la cuenta de invitado no ofrece mucha protección. Utilice un sistema de solo lectura o desechable en su lugar (es decir, Live CD o Live USB) pero incluso esto no ofrece una protección completa.

En detalle:

Teniendo en cuenta el caso de que la memoria USB dañada podría contener un sistema de archivos corrupto deliberadamente que provoca una explotación del kernel (no es tan improbable, consulte CVE-2013-1773 ) entonces el sistema subyacente se verá comprometido, no importa si se trata de una sesión invitada de Ubuntu o un CD en vivo. Solo con la cuenta de invitado, el compromiso del sistema es permanente, mientras que con el CD en vivo no lo es, ya que un CD es un medio de solo lectura. Esto será diferente si usa una memoria USB en vivo que es de lectura / escritura, pero incluso entonces podría volver a instalarla antes de usarla la próxima vez.

Incluso si no considera una explotación directa del kernel a través del sistema de archivos, pero solo desea ejecutar algún código potencialmente malicioso como usuario sin privilegios, debe tener en cuenta los ataques de escalamiento de privilegios como this que de nuevo puede resultar en un sistema comprometido. E incluso si no desea ejecutar código, pero solo eche un vistazo a los datos en el stick, podría encontrar errores como este donde solo mirar un directorio usando un explorador de archivos causa la ejecución de código que, por supuesto, también puede hacer un ataque de escalada de privilegios.

@kasperd señaló en un comentario que incluso con un medio de solo lectura, el BIOS / UEFI u otro firmware en el sistema (como la red o la tarjeta gráfica) podrían modificarse para hacer que una infección sea más permanente. Y para agregar a esto: siempre que la conexión de red solo esté desconectada lógicamente, un malware podría habilitarlo nuevamente y luego atacar otros dispositivos en el sistema, por ejemplo, el enrutador. Esto es especialmente cierto cuando se utiliza una cuenta de invitado ya que la información de conexión para la WLAN generalmente ya está almacenada en el sistema. Pero esto también es cierto cuando se usa un Live CD pero la WLAN no está protegida.

    
respondido por el Steffen Ullrich 26.11.2016 - 17:34
fuente
6

Para agregar a la respuesta de Steffen Ullrich:

No utilice ninguna sesión de invitado o CD / USB en vivo sin más precauciones. Ambos no ofrecen suficiente protección si estás tratando con unidades USB que esperas que sean maliciosas.

El CD en vivo aún tiene acceso a sus dispositivos de almacenamiento interno (discos duros). Si la unidad USB realmente es maliciosa y puede atacar un sistema Linux, entonces podría intentar instalar malware en el sector de arranque de cada disco duro que encuentre en el sistema, y el CD en vivo no lo hará. protéjase contra este escenario (suponiendo que el malware en el USB se encuentre para obtener permisos de root).

Si realmente desea ver las unidades USB con sombra, desconecte físicamente todas las unidades de disco duro antes al iniciar el USB / CD en vivo y conectar la unidad USB maliciosa (no estoy seguro si esto es lo que quiere decir con el supuesto de que "todos los dispositivos de almacenamiento se eliminarán en la caja del Live CD").

Finalmente, incluso eso podría no ser suficiente si estás lidiando con un arma cibernética de grado militar, que podría atacar el firmware, pero supongo que no estás preocupado por ese nivel de amenaza.

    
respondido por el Pascal 27.11.2016 - 12:09
fuente

Lea otras preguntas en las etiquetas