¿Cómo se verifican correctamente las unidades USB extrañas antes de colocarlas en su red? ¿El enfoque presentado se considera "seguro"?

9

Situación actual:

Actualmente estoy empleado en un hospital y, con el peligro creciente de ransomware, etc., distribuidos por unidades USB, decidimos bloquear todos los puertos USB (solo alrededor de 600 clientes / Windows solamente) a través de Symantec Endpoint Protection. Este bloqueo puede determinar si un dispositivo es un dispositivo HID (usamos teclados con tarjeta inteligente, ratones con huellas dactilares y grabadores de voz que dependen del USB en áreas cruciales donde estos dispositivos deben funcionar, los dispositivos de entrada como ratones y teclados normales son en su mayoría PS / 2) o un dispositivo de almacenamiento. Si es algo más que un dispositivo HID, el puerto se bloquea. También puede otorgar privilegios de USB para ciertos Usuarios / Computadoras donde son absolutamente necesarios (PC de administración, PC de técnico, etc.)

Problema actual:

Es una práctica común que los usuarios (médicos, empleados administrativos) vengan con sus memorias USB privadas para importar datos, como estudios médicos, presentaciones, imágenes, etc. y quieran que se importen en el sistema (simplemente decir que no es desafortunadamente no es una opción) lo que obviamente es un riesgo de seguridad bastante grande

Solución actual:

Hay una computadora específica que se encuentra en una red completamente separada donde los usuarios ponen sus unidades y se escanean por SEP. Si la verificación salió bien, un administrador coloca la unidad en su PC (!) Y copia los archivos a la red que comparten las necesidades del usuario. Obviamente, esto tampoco es muy seguro, no solo confiamos en SEP para la protección, sino que también este método es propenso a los ataques BadUSB, etc.

Lo que quería hacer

Para integrar de forma segura estas memorias USB extrañas, pensé en una combinación de diferentes enfoques:

Paso 1 El usuario tiene que ir físicamente a un empleado de soporte de primer nivel que usa una Raspberry Pi (encerrado en una caja con bloqueos de alta seguridad que solo las posiciones de administración de TI tienen acceso a las teclas) donde CIRClean, ( enlace ) un" Desinfectante USB "de Código Abierto creado por el Gobierno de Luxemburgo, se ejecutaría y los puertos USB se ubicarán en el exterior de la Caja. Esta distro de Raspberry Pi debería eliminar todos los archivos de cosas "peligrosas" como Makros en Word / Excel Files o Convertir archivos PDF a HTML (y eliminar posiblemente Javascript incrustado) y copiar estos archivos "desinfectados" en otra unidad USB que ahora se considera "probablemente segura" .

Después de este paso, el usuario puede recuperar su Unidad y otros pasos de trabajo que realiza el Partidario de Primer Nivel. Este primer paso debería deshacerse de ataques más "no sofisticados", como BadUSB, makro-virus y así sucesivamente.

Paso 2 (AirGap1)

The First Level Supporter lleva la memoria USB "probablemente segura" a una máquina que ejecuta Qubes-OS ( enlace ) que está configurado por lo que el controlador USB es una máquina virtual separada. Esta máquina luego verificará automáticamente la unidad USB con varias aplicaciones antivirus diferentes. Esto debería permitirnos comprobar si hay ataques más sofisticados como buenos rootkits programados. Después de que la secuencia de comandos automatizada que ejecuta varios AV-Checks, el First Level Supporter toma el ahora "conocido" como USB Stick seguro y llega a una tercera máquina

Paso 3 (AirGap2)

Esta máquina es una PC normal de Windows que está en la red de hospitales. SEP se instala y realiza otra verificación de seguridad en la unidad antes de que se monte. Luego, el empleado simplemente arrastra los archivos al destino que el usuario deseaba y terminó. .

Por qué estoy aquí

Desafortunadamente, CIRCLean suena como una buena herramienta, pero no pude encontrar una versión que se ejecute correctamente (no estoy solo con eso, no puedo publicar más de 2 enlaces, solo miro los problemas en Git).

Así que después de toda esta historia de fondo, cuando vengo a mi pregunta:

¿Cómo se garantiza que las unidades USB extrañas estén seguras? ¿Mi enfoque es bueno y, de ser así, cómo "cambiaría" la parte de CIRClean que no funciona ?

    
pregunta Martin Fischer 21.08.2016 - 13:20
fuente

1 respuesta

8

Yo sugeriría ir por la ruta de la frambuesa. Pero en lugar de requerir que los administradores realicen la acción, esto podría construirse como una estación de autoservicio en su lugar, por supuesto, bloquearse con bloqueos de alta seguridad y eso también.

Como la Raspberry Pi no es x86, no puede ejecutar malware destinado a Windows, Linux o Mac en absoluto. Puede ejecutar scripts maliciosos, pero eso es otra cosa y se puede bloquear.

Configure la frambuesa pi para tener una pantalla táctil, de modo que el usuario pueda seleccionar los archivos que desee y luego asegurarse de bloquear todo el acceso al teclado.

Ahora al truco que lo hará completamente seguro:

1: Primero, restringe la interfaz para que solo muestre archivos de formatos de archivo permitidos específicos. Por ejemplo (jpg, png, gif, tiff, svg, bmp) (doc, pptp, etc.).

2: para las imágenes, puede usar GD para convertir desde todos los formatos de imagen conocidos, a PNG: (incluso PNG- > PNG). Esto eliminará los datos maliciosos que puedan estar contenidos en estos archivos, ya que solo se copiarán los datos sin procesar de la imagen, no los metadatos. (Tenga en cuenta que primero debe convertir la imagen a un objeto GD plano)

3: para los archivos de Office, utiliza un separador de macros, para eliminar los datos de macros, y luego usa un convertidor de documentos para convertir de DOC- > DOC, PPTP- > PPTP, etc. No necesita use CIRClean, hay otros macro strippers que pueden usarse.

La razón por la que debe usar un convertidor para convertir al mismo formato que el formato de origen, es que dicha conversión aún requerirá que el archivo contenga datos válidos para ese formato, por lo que, por ejemplo, cambiar el nombre digamos virus.exe a virus. doc, representará un archivo de salida vacío en este caso.

Esto limpiará completamente los archivos. Y esto también es inmune a los ataques "BadUSB", siempre y cuando configure la frambuesa pi para que no acepte la entrada del teclado. La entrada del mouse se asignará a la pantalla táctil, que tiene una interfaz muy limitada para seleccionar archivos.

Para evitar que cualquier USB malicioso filtre datos secretos, es recomendable permitir solo copiar en una dirección, desde el USB al directorio principal, NO a la inversa.

Así que aquí viene la idea completa:

El usuario se acerca a un terminal USB de autoservicio (que está repartido por todo el hospital). Inserte su USB, en la pantalla táctil, el usuario selecciona los archivos que desea. Solo puede ver archivos de tipos de archivos permitidos. Después de eso, los archivos seleccionados se limpian y luego se copian en su "carpeta de inicio". El inicio de sesión se podría hacer con tarjeta inteligente.

    
respondido por el sebastian nielsen 21.08.2016 - 21:52
fuente

Lea otras preguntas en las etiquetas