Afaik usb rubber ducky actúa como un teclado y no como un usb normal, lo que le permite escribir cientos de comandos en cualquier computadora a la que esté conectado en cuestión de segundos. ¿Cuáles son las medidas que podemos tomar para evitar que ocurran ataques de este tipo en la plataforma Linux?
Hay algunas respuestas sobre la lista negra / lista blanca, pero en su mayoría se refieren a la configuración de udev. Pero en los nuevos kernels hay un marco oficial de autorización USB disponible.
Esto le permite bloquear todos los controladores USB primero y luego habilitar solo los dispositivos que desee.
Un sistema Linux no es más o menos susceptible que cualquier otro sistema a un ataque de teclado malicioso. Necesitarás las mismas protecciones que aplicarías a cualquier computadora.
Asegure físicamente la computadora cuando no esté presente. No te dejes conectado cuando te alejas. No conecte ningún dispositivo USB que no conozca personalmente.
Inicialmente iba a hacer un comentario con la respuesta de John Deters y decir que esta es la publicación correcta, al menos le ofrece al OP algún consejo sobre cómo proteger contra el ataque en lugar de que simplemente afirmar que si el atacante puede acceder físicamente a su dispositivo, se acabó el juego. Para principiantes, Linux con un cargador de arranque encriptado, USB deshabilitados y FDE invalida ese reclamo de inmediato. Segundo, no todas las computadoras pueden ser restringidas del acceso público. Terminales de bibliotecas, quioscos de tiendas, computadoras del lobby bancario, la lista continúa ...
Entonces, para ese fin, encontré algunas otras formas (además de la respuesta de John) que pueden ser útiles. Obtenido de esta publicación del foro :
La escritura del usuario hará que falle cualquier comando.
Otra ventana que se active y robe el enfoque del teclado hará que todo el proceso falle.
Los dispositivos HID o USB en general se pueden bloquear, deshabilitar, expulsar, etc. mediante programación, lo que puede provocar que el proceso falle.
Linux puede incluir en la lista blanca / negra dispositivos USB que harán que el proceso falle.
Cualquier aplicación que reutilice combinaciones de teclas hará que el proceso falle.
El dispositivo no recibe comentarios del equipo host y, por lo tanto, desconoce el tiempo, los retrasos, las ventanas activas, etc., lo que hará que el proceso falle.
Esto significaría que no tiene suficiente seguridad física para proteger sus activos. Si un atacante obtiene acceso a su dispositivo físico, ya no es su dispositivo.
Hay varias cosas que se deben considerar, incluidas, por ejemplo, las soluciones DLP para informar sobre las conexiones de hardware. Aparte de las restricciones sobre qué tipo de dispositivos se pueden importar al DC, así como garantizar que un principio de 4 ojos puede ayudar a evitar que se conecten dispositivos no deseados a su máquina.
También hay otra opción que he visto antes en servidores con datos confidenciales, que usaban resina epoxi en los puertos USB para evitar que se usaran.