Ik zou een Raspberry Pi, het Model A / A + zonder netwerkverbinding gebruiken, omdat:

• Het (of liever Linux) de meeste soorten bestandssystemen op een USB-stick kan lezen.
• De enige niet-vluchtige opslag die het heeft, is een SD-kaart, die later opnieuw kan worden geformatteerd (of weggegooid als je paranoïde bent).
• Als de USB-stick blijkt te zijn elektrisch kwaadaardig ben je slechts $ 20 aan hardware kwijt.
• Het draait een ietwat niet-mainstream besturingssysteem op een niet-x86-platform, waardoor het minder waarschijnlijk kwetsbaar is voor typische Windows-malware.

Dit laat nog steeds de vraag wat je zou doen met alle bestanden die je erop vindt - het kopiëren naar een andere machine zou die machine duidelijk in gevaar brengen.

Niets is 100% veilig, let wel. Ik kan het niet beter zeggen dan James Mickens: "Als je tegenstander de Mossad is, GA JE STERVEN EN ER IS NIETS DAT JE ER AAN KUNT DOEN".

De USB-killer zou uw pc niet doden als u deze via een optisch geïsoleerde hub zou aansluiten. Ze bestaan ​​wel (zoek: "opto-geïsoleerde usb-hub") maar aangezien ik er zelf nog nooit een heb gebruikt, ga ik geen specifiek model aanbevelen. Ze zijn echter niet goedkoop. Hier is een voorbeeld:

Als je eenmaal het hardware-aspect hebt behandeld, ben je teruggebracht tot een meer algemeen probleem. Je hebt waarschijnlijk al meer deskundig advies in andere antwoorden, maar ik neem de stekker van de harde schijf (en alle andere beschrijfbare opslag) van een pc en start deze op vanaf een live-cd of live USB-stick (een die niet automatisch -run de inhoud van USB-sticks natuurlijk). Dat komt omdat het maximaal rendement oplevert voor de inspanning gegeven waar ik begin. Het zou verstandig zijn als u hier een gewoonte van zou maken om zelfs uw live-cd zo in te stellen dat deze niet automatisch wordt gemount en niet automatisch hardware installeert, en om de machine van het netwerk los te koppelen. Opstarten met de verdachte stick op zijn plaats zou ook een slecht idee zijn, voor het geval het opstartbaar is, maar ook omdat je misschien toegang wilt hebben tot gebeurtenislogboeken als je het net hebt aangesloten.

Als we aannemen dat de stick fysiek had kunnen worden aangepast voor maximale misselijkheid, dan moet men rekening houden met de mogelijkheid dat de vermeende 'geheugenstick' wat miltvuursporen of een wolk van plutoniumoxide zal uitspugen wanneer deze in een computer wordt ingebracht. , dus het antwoord op je vraag zou zijn: er is geen veilige manier om de inhoud van een geheugenstick te onderzoeken (tenzij je de taak kunt delegeren aan een ondergeschikte die het in een ander gebouw zal doen).

Omgekeerd, als we aannemen dat de aanvaller niet zo grondig zal zijn, dan gebruiken we impliciet een "drempel van gemeenheid" die willekeurig van aard is. Als we ruwe fysieke destructieve effecten uitsluiten (inclusief het proberen de elektronica van de hostcomputer te bakken), dan zijn er meestal vijf manieren waarop een slechte geheugenstick de machine kan beschadigen waarin deze is geplaatst:

• De geheugenstick kan proberen misbruik te maken van een kwetsbaarheid in de hardware van de USB-controller. Die controller is een chip met eigen firmware, die ook is aangesloten op de belangrijkste datastroken in de computer, dus er bestaat theoretisch de mogelijkheid van exploiteerbare gaten. Dit zou heel specifiek zijn voor een versie van de controller en zijn firmware, en ik ben me niet bewust van een dergelijk gat in het wild.

• De geheugenstick kan proberen een kwetsbaarheid in de code van het besturingssysteem die de USB-dialoog afhandelt. Dit is eigenlijk wat de PlayStation Jailbreak deed: het apparaat was, op USB-niveau, verschillende apparaten, waarvan er één enigszins afwijkende berichten stuurde die een bufferoverloop in de OS-code die USB-apparaten detecteert en opsomt.

• De geheugenstick kan in feite geen geheugenstick zijn, maar een ander soort apparaat, mogelijk meerdere ze tegelijkertijd. De stick zou bijvoorbeeld, vanuit het oogpunt van het besturingssysteem, een toetsenbord kunnen zijn, en bij het invoegen ervan zou hij dingen kunnen gaan typen. Dit gebeurt in het wild.

• De geheugenstick zou een echte geheugenstick kunnen zijn, met een bestandssysteem dat misbruik maakt van een kwetsbaarheid in de OS-code voor bestandssystemen. Afgezien van directe bufferoverflows, kunnen er ook problemen zijn met bijvoorbeeld auto-run-functies (het is opmerkelijk dat een aantal bestaande, niet-kwaadaardige geheugensticks ook een virtueel cd-rom-station emuleren, juist om te proberen dergelijke auto-running). Een variant zou een stick zijn met afbeeldingen die gaten in bibliotheken voor het renderen van afbeeldingen exploiteren (die door de hostcomputer zouden worden opgeroepen wanneer ze proberen om "miniaturen" weer te geven bij het grafisch verkennen van de mappen en bestanden).

• Last but not least is er een menselijke operator bij betrokken, wat veel aanvalsmogelijkheden biedt. Veel aanvallen maken eenvoudigweg gebruik van de bodemloze bron van menselijke goedgelovigheid. De inhoud van de stick kan de menselijke operator ertoe brengen om achteloos iets te lanceren dat eruitziet als een onschadelijk uitvoerbaar bestand. Of, erger nog, de stick kan documenten van verontrustende aard bevatten (sommige dingen kunnen niet zomaar onzichtbaar zijn), die nog steeds als "schade" gelden.

Uw de beste gok voor "veilige verkenning" van de stick zou zijn om een ​​basis-pc te gebruiken met een besturingssysteem met een goede reputatie wat betreft codekwaliteit, up-to-date met beveiligingspatches en, cruciaal, met zo min mogelijk plug-and -play ondersteuning mogelijk. Idealiter een besturingssysteem dat niet zal proberen om automatisch iets te doen met het nieuw geplaatste USB-apparaat (d.w.z. een besturingssysteem dat precies is wat moderne besturingssystemen zoals Windows, OS X of Linux niet zijn). Ik stel voor te beginnen met OpenBSD of NetBSD, aangepast om elke vorm van USB-gerelateerde magie te deactiveren. Het gebruik van ongebruikelijke software en ongebruikelijke hardware biedt ook wat kleine extra bescherming, op basis van het feit dat laagwaardige, grootschalige aanvallers de neiging hebben om geen exploits te schrijven voor bijvoorbeeld NetBSD-systemen die op een oude PowerPC-gebaseerde Mac draaien.

Houd er in alle gevallen rekening mee dat er geen perfect sandbox-systeem (hardware / elektrisch, software) is dat u voor 100% van dergelijke mogelijke infecties kan voorkomen.

Aan de andere kant, uw situatie kan afhangen van wie je bent en waar je het hebt gevonden.

Als u een gekwalificeerde werknemer bent, laten we zeggen, voor een autobedrijf en u de stok naast uw werkplek of naast uw woonplaats (u zijn gericht), dan is het misschien het beste dat u kunt doen, is die USB-stick vernietigen, omdat het probleem is dat u op geen enkele manier van tevoren kunt weten of de gevonden USB-stick firmware-ingebouwde malware bevat, in welk geval niets nuttig lijkt ( 'BadUSB'-malware leeft in USB-firmware om onopgemerkt en niet-herstelbaar te blijven). Dergelijke malware kan leiden tot de infectie van uw BIOS, wat te moeilijk kan zijn om er vanaf te komen (zo niet onmogelijk).

Als je een meneer X of Y bent en je hebt de USB-stick gevonden in een willekeurige openbare plaats, dan kan het zelfs zijn als de USK-stick is geïnfecteerd (met of zonder doel), de malware kan niet zo dramatisch zijn en in dat geval kan het opstarten naar uw computer met behulp van een Linux Live-CD om op te starten en de inhoud van uw USB kan een redelijke actie zijn.

Hoewel hierboven de elektrische aspecten werden behandeld, maken velen zich zorgen over malware die uw BIOS infecteert. Sluit hem dan aan op een machine die geen BIOS heeft en die niets op de stick zal draaien: gebruik een SPARC-machine. Ik zie Sunfire V100-machines op eBay voor $ 50-60 in onzekere omstandigheden, minder dan $ 200 voor de zogenaamde "verkoper opgeknapt". Het is mogelijk dat er oudere, dus zelfs goedkopere, waren met USB, ik kan me er gewoon geen herinneren. De V100 heeft absoluut USB-poorten. Ik weet zeker dat als een drieletterbureau weet dat je een SPARC gebruikt, ze iets smerigs kunnen doen met een USB-stick, maar het zou een buitengewoon kostbare aanval zijn omdat ze origineel onderzoek zouden moeten doen naar hoe het moet. Hier is de officiële Oracle-pagina over het monteren van USB-sticks onder Solaris.

In dit forumonderwerp wordt gesproken over het toevoegen van USB aan Ultra 5/10 als je de moeite wilt nemen daarmee maar ik zie ze niet veel goedkoper dan de Sunfire V100.

Een interessante benadering van dit probleem is CIRClean, ook beschreven in een LWN-artikel.

Het maakt gebruik van een Raspberry Pi (vermoedelijk redelijk vervangbaar in het gezicht van overspanning en andere elektrische aanvallen) waarop de niet-vertrouwde USB-massaopslag en een vertrouwde, lege USB-massaopslag moeten worden aangesloten. En er zijn geen andere apparaten aangesloten - het is niet verbonden met een netwerk of toetsenbord / muis /toezicht houden op. En er is geen beschrijfbare permanente opslag, of BIOS om te worden geïnfecteerd (en de echt paranoïde kan de boot-SD-kaart opnieuw flashen voor elk gebruik als ze dat willen, neem ik aan).

Zet het aan, en het zal bestanden overbrengen van de ene naar de andere, waarbij u een aantal geautomatiseerde scrubbing van bekende malwarevectoren uitvoert (bijv. het omzetten van PDF- of MSOffice-bestanden naar veiligere HTML). Een visuele en hoorbare indicator geeft aan wanneer het proces is voltooid en het systeem kan worden uitgeschakeld, waardoor de gebruiker een enigszins opgeschoonde versie van het originele bestandssysteem op de vertrouwde opslag heeft, klaar voor overdracht naar het werkstation van de gebruiker.

Als je van plan bent CIRClean te gebruiken, raad ik aan om de issue tracker te controleren op huidige defecten - het LWN-artikel merkt op (december 2014) dat er geen bescherming was tegen BadUSB-toetsenbordaanvallen; Ik heb niet vastgesteld of dat nog steeds waar is. Kijkend naar het kernel-configuratiebestand in de Git-repository, lijkt het er zeker op dat het nog veel meer kan worden vergrendeld (Magic Sysrq, iemand?). Misschien een project om bij betrokken te raken, in plaats van (nog) een afgewerkt product.

Het OP verwijst naar elektrische isolatie vanwege het risico van een USB-killer -apparaat:

Het apparaat werkt naar verluidt door stroom te halen uit de USB-poorten en het gebruiken van een omzetter totdat een negatieve spanning is bereikt. De stroom wordt vervolgens teruggeleid naar de computer, waarbij het proces doorloopt tot de schakelingen van de machine.

Helaas is er geen manier om jezelf te verdedigen tegen deze aanval omdat het elektrische schakelingen betreft (tenzij je bouw uw eigen aangepaste USB-poorten!), maar het lijkt zeer onwaarschijnlijk.

De meest voorkomende aanvalsvector is tegenwoordig een Windows-virus dat automatisch wordt gestart wanneer u de USB-drive aansluit. Daarom zou ik zeggen dat het onderzoeken van de inhoud van een USB-drive op een Linux-machine relatief veilig is. Het is in theorie onveilig, maar in werkelijkheid riskeer je niet veel om dit te doen, tenzij iemand je of je bedrijf als doelwit heeft (er is een verschil tussen een USB-stick die in een willekeurige straat wordt gevonden en een USB-stick die je op de parkeerplaats van je bedrijf vindt). ).

Technisch gezien is het onder Linux vrij eenvoudig om udev te stoppen en elke usb-gerelateerde kernelmodule te verwijderen behalve usb-opslag . Er zullen echter twee praktische problemen zijn:

1. Je stock-kernel kan de hid -module hebben ingebouwd, dus je zult de kernel opnieuw moeten compileren naar maak het laadbaar.

2. Zodra je de hid -module hebt leeggemaakt, werken de legitieme USB-toetsenborden en muizen ook niet meer. Zoek een oud PS / 2-toetsenbord of gebruik een virtueel toetsenbord met touchpad / touchscreen (werkt alleen als die geen USB zijn).

tl; dr: Iets radicaals doen, zoals het gebruik van een "brander" pc of apparaat dat je een keer zult gebruiken om de USB-stick te lezen en vervolgens weggooien, is een (bijna) volledig kogelvrije manier om te zien wat staat er op de stick. Maar eigenlijk tot zulke extremen gaan tijdens het onderzoeken is overdreven en een beetje dom. Behalve waar het niet is.

Geloof het of niet, er is een bijna onfeilbare manier om zo'n USB-stick te onderzoeken. Stap voor stap:

1. Zoek een superoude, supergoedkope, maar op de een of andere manier functionerende laptop / netbook op internet en koop deze. (Elke tablet die groot genoeg is om een ​​USB-poort van volledige grootte te hebben en met een besturingssysteem dat externe opslag op die USB-poort kan gebruiken, werkt ook.)

   • Alternatief 1: Als, echter , je geeft er ook echt om de USB-stick niet mogelijk te infecteren door hem aan te sluiten op een eerder eigendom apparaat met een onbekende beveiligingsgeschiedenis die je net zo goed zou kunnen betalen voor bijvoorbeeld the-barrel nieuwe Windows-tablet met een volledige USB-poort. (Ze zijn niet moeilijk te vinden op Newegg, Amazon, eBay, enz. En via sites als Dealnews.) Goedkoopste standaardhardware heeft zijn plaats.

   • Alternatief # 2: als je wat geld wilt besparen en je hebt al een oud, waardeloos of oud waardeloos &-apparaat, zou je je graag opofferen voor het doel van Als u wilt weten wat er op die USB-stick staat, kunt u in plaats daarvan zeker die weg volgen. Het is echter duidelijk dat u er zeker van wilt zijn dat er absoluut geen persoonlijke (of professionele) gegevens op staan ​​voordat u dit doet. Met een pc met een klassieke harde schijf kun je dat zeer waarschijnlijk bereiken door het af te vegen met een opstartprogramma dat elk stukje ruimte op de schijf vele malen overschrijft met willekeurige gegevens, en vervolgens het gewenste besturingssysteem opnieuw te installeren. Waarschijnlijk. Aan de andere kant, als je een apparaat wilt gebruiken met solid-state opslag...

2. Wanneer het pakket met je apparaat arriveert, pak je het, een geschikte oplaadkabel die je bereid bent op te offeren (je zult zo meteen zien waarom) en ga je naar een locatie met stekkers maar ofwel (a) geen draadloze netwerkbeschikbaarheid of (b) in ieder geval geen draadloze netwerken waarmee u ooit eerder verbinding hebt gemaakt en waar u in de toekomst waarschijnlijk nooit verbinding mee zult maken. (Een Panera of Starbucks aan de andere kant van de stad die ver van je normale weg ligt, werkt geweldig). Gewoon om het hypothetische geval te dekken waarin sommige super-ultra-geavanceerde malware op NSA-niveau die aanwezig is op de USB-stick uw apparaat infecteert en vervolgens autonoom zijn radio's gaat gebruiken om te proberen door te breken in Wi-Fi-, Bluetooth- enz. Paranoia-bonus: laat ook alle andere elektronische apparaten van je met een draadloze connectiviteit thuis. (Ja, inclusief je smartphone. Ik weet dat het moeilijk is om apart te zijn, maar voor deze ene keer.)

3. Wanneer je op je locatie aankomt, pak je je nieuwe apparaat uit en sluit je het aan . Wacht tot het een beetje is opgeladen.

4. Schakel uw apparaat in, wacht tot het is opgestart en sluit uw verdachte USB-station aan. Bekijk alles wat erop staat, de bestandsstructuur, welke kenmerken je ook leuk vindt. Als je op een plek bent waar openbare wifi is, maak dan misschien verbinding en pak wat tools van internet (als je oude rotzooi & installeert) en bekijk ze van dichterbij. Doe letterlijk niets anders met het apparaat.

5. Als je nieuwsgierig bent geworden, pak je apparaat en oplader en ga je naar een veld ergens in de buurt , en geef ze een mooie laatste uitzending door die scène uit Officespace na te spelen. (Waarschuwing: YouTube-video wordt automatisch afgespeeld, met waarschijnlijk NSFW-taal. Duh.)

6. Doe wat je hebt besloten te doen met de USB-stick &, alle gegevens erop.

(Oké, als je er trots op bent niet enorm verkwistend en / of onverantwoordelijk voor het milieu te zijn, in plaats van je 'verbrande' apparaat / pc op een leuke manier te vernietigen, kun je het recyclen, doneren aan een goed doel of het verkopen voor een schijntje. Als je een van de laatste twee routes gaat, moet je de ontvangende partij dan precies vertellen waarom je het apparaat weggooit? Laten we dat misschien een cybermoraliteitsvraag noemen voor een andere dag.)

Het einde.

Nou, oké, ik ben een beetje facetitief. Maar slechts een beetje. Het feit blijft dat als we het hebben over het onderzoeken van een USB-apparaat met (bijna) nul beveiligingsrisico, de enige echte optie is om het aan te sluiten op een systeem dat (a) absoluut geen gevoelige informatie van jou bevat, (b) je bereid bent op te offeren mocht de USB een elektrisch kwaadaardig item blijken te zijn, (c) u zult het nooit meer gebruiken voor enig doel waarvoor enige vorm van vertrouwen in de veiligheid vereist is, en (d) zal fysiek niet in staat zijn om verbinding te maken met een netwerken of andere apparaten om een ​​malware-infectie te verspreiden die het kan krijgen van de twijfelachtige USB-drive. (Of om gevoelige informatie te zoeken die zich op die apparaten en / of netwerken zou kunnen bevinden.)

Met andere woorden, een "brander" computer is de beste keuze. Als je de schijf echt, echt, echt wilt onderzoeken met bijna * perfecte veiligheid / beveiliging, dat wil zeggen.

Als we het nu hebben over het onderzoeken van de USB-stick met een "zeer waarschijnlijk goed genoeg, gezien praktische overwegingen" mate van veiligheid / beveiliging, dan is de suggestie van @Chris H hierboven een goede: pak een desktop-pc of een laptopcomputer (die je eigenlijk kunt openen / onderhouden zonder professionele tools), verwijder de opslagdrives, start op vanaf een live CD / USB OS-smaak die je verkiest, en sluit de verdachte / intrigerende USB-stick aan. Is er nog steeds een kleine kans dat de USB geavanceerde malware kan bevatten die kan worden uitgevoerd wanneer u de USB-stick aansluit en vervolgens het BIOS / UEFI van uw machine flasht, of andere beschrijfbare firmware flasht die is opgeslagen in zaken als uw videokaart, uw netwerkkaart, uw USB-controllers, enz.? Ja. (Hoewel op dit moment alle dingen naast BIOS / UEFI-aanvallen zeer zeldzaam zijn in het wild. En zelfs BIOS- of UEFI-malware moet specifiek worden geschreven voor de maker / versie-implementatie die wordt gebruikt in een gerichte machine.) Zou het item dat lijkt te zijn een USB-geheugenstick in werkelijkheid een USB-killer zijn die je moederbord elektrisch zal bakken? Nou ... theoretisch wel. Maar de waarschijnlijkheid dat een van deze dingen niet waar is - vooral de USB-killer - is sterk in uw voordeel. Om een ​​goed punt in uw vraag te parafraseren: meestal is een gewone oude USB-stick gewoon een gewone oude USB-stick.

Tenzij u, uw werkgever, bij een andere entiteit waarvan u deel uitmaakt worden beschouwd als een zeer waardevol doelwit door een of andere geavanceerde aanvaller, dat wil zeggen. Dan zijn alle weddenschappen uitgeschakeld. En in dat geval is een ingewikkelde methode van veiligheid boven alles, zoals hierboven, misschien wel de enige geschikte methode.

* Natuurlijk bestaat er niet zoiets als "perfecte" beveiliging. Maar "bijna perfecte" beveiliging is hier dichtbij genoeg voor onze doeleinden.

De andere antwoorden hebben betrekking op flashdrives die kwaadaardig zijn. Ik zal het hebben over de USB-killer die in je gekoppelde antwoord wordt genoemd. (EDIT - dat deden ze toen ik dit begon te typen)

Een virtuele machine helpt hier niet bij, hij krijgt nog steeds stroom en probeert te bakken waar hij mee is verbonden. Voor zover ik weet, heb je drie opties:

1. Open de schijf en kijk of hij er legitiem uitziet, of dat hij bedekt is met een lading grote condensatoren.
2. Sluit hem aan op een oude machine of een RPi enz. (Iets wat je niet erg vindt om gefrituurd te worden)
3. Bouw een USB-verlenging met een paar fatsoenlijke diodes erin, die een hoge sperspanning hebben.

Wat u kiest, hangt er echt van af waar u de drive vindt en hoe nieuwsgierig u bent. Persoonlijk, als ik een extern werk zou vinden en het absoluut moest controleren, zou ik het op een rPi aansluiten. Als ik er een op straat vond, blijft hij daar.

Je kunt een virtuele machine maken om te werken als een zogenaamd "condoom". Enkele populaire hypervisors zijn onder meer VMware Player en Virtual Box. Als u uw VM crasht, kunt u gewoon een nieuwe maken en het opnieuw proberen. U kunt ISO-bestanden op internet vinden om ze mee te maken. Google gewoon wat tutorials op als je er doorheen moet, afhankelijk van de hypervisor waarmee je werkt.

Als je een Linux-machine hebt, kun je de schijf alleen-lezen maken, en dit kan gemakkelijker zijn, afhankelijk van wat heb je. Je kunt dit doen via diskutil in Terminal.

Afhankelijk van de route die je neemt, kun je gewoon reageren, en ik kan dieper ingaan door dit antwoord te bewerken. Ik hoop dat dit je wat ideeën geeft en je dichter bij je doel brengt.