Skanowanie pendrive-ów klientów.
#1
Cześć,

kumpel prowadzi studio fotograficzne, małą poligrafię. Często przychodzą klienci z pendrive na których mają fotki do wywołania, obrobienia, itp. Fotki, jak to fotki, dużo zajmują więc przez e-mail nie przejdą. Po drugie często przychodzą z ulicy pewni że dadzą nośnik i zostaną obsłużeni, tak więc odsyłanie ich z prośbą aby wrócili do domu i przesłali przez email (często z 20 maili bo wiadomo że skrzynki mają limit) czy skorzystania z jakiegoś hostingu (np. wetransfer) kończy się tym że nie wracają - klient stracony. Z drugiej strony włożenie takiego pendrive niejednokrotnie skończyło się infekcją.

Wpadłem na pomysł aby uruchomił na jakimś innym komputerze linuksa (zgodnie z założeniami że na linuksa nie ma wirusów) i do tego jakiś antywirus (aby od razu zneutralizować zagrożenie) i dopiero wtedy takiego sprawdzonego, ewentualnie oczyszczonego pendrive użyć w firmie.

Jeśli pomysł dobry, to jaką taka najbardziej wirusoodporną dystrybucję linuksa polecicie i do tego jaki antywirus do neutralizacji wykrytego szkodliwego oprogramowania.
Odpowiedz
#2
1)Wystarczy wyłączyć auto odtwarzanie pendriva... np w zasadach gpedit.msc
2)Można też wymusić otwieranie plików z pendrive w izolowanym środowisku typu sandboxie czy vmware
3)Po za pozbawieniem możliwości infekcji z poziomu pendriva jak wyżej opisałem warto sam system też zabezpieczyć i nie siedzieć na koncie administratora tylko zwykłym z ograniczeniami dostępu.

Co to linuxa raczej nie uruchomi automatycznie plików exe Craze
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#3
(04.02.2023, 21:20)Quassar napisał(a): 1)Wystarczy wyłączyć auto odtwarzanie pendriva... np w zasadach gpedit.msc

To rozwiąże problem z infekcją typu autorun, a nie jeśli sam plik będzie zainfekowany.

(04.02.2023, 21:20)Quassar napisał(a): 2)Można też wymusić otwieranie plików z pendrive w izolowanym środowisku typu sandboxie czy vmware


Chciałbym jak najbardziej idiotoodporne rozwiązanie, kolega ma pracowników. Co innego pamiętać aby pendrive "przechodził" przez jakiś inny komputer zanim zostanie podłączony pod komputer do pracy, a co innego na tym właściwym komputerze pamiętać aby uruchomić jakiś program, gdy pendrive już jest podłączony i aż korci aby szybko przeglądnąć zawartość bo klient stoi za plecami.
3)Po za pozbawieniem możliwości infekcji z poziomu pendriva jak wyżej opisałem warto sam system też zabezpieczyć i nie siedzieć na koncie administratora tylko zwykłym z ograniczeniami dostępu.
To już dawno ma zobione.

(04.02.2023, 21:20)Quassar napisał(a): Co to linuxa raczej nie uruchomi automatycznie plików exe Craze

A po co ma uruchamiać? Linuks to ma być komputer pierwszego kontaktu, taki właśnie sandbox, izolatka. Ma przeskanować pliki a nie uruchamiać.
Odpowiedz
#4
Uruchamianie wirusa na 2 kompie nie rozwiąże technicznie problemu bo jak masz np 2x kasperskiego na głównej maszynie i na pobocznej
To w przypadku infekcji niewykrytej zainfekujesz maszynę poboczną myśląc że wszystko jest ok na 1 rzut oka, a potem zainfekujesz jeszcze drugi komputer.

Autorun off w zupełności wystarczy jeśli kolega pracuje tylko na plikach obrazkowych, a nie uruchamia dokumentów i innych plików wykonywalnych z obcych pendrive.
Bo właściwie tylko tak wirusy automatycznie infekują, inna infekcja musi wynikać z interakcji usera czyli uruchamianie pliku wykonywalnego przez samego usera.

Piaskownice czy też wirtualizacje można też nie tylko zastosować na nośnik i jego dane wymienne ale też uruchamiać domniemany program w sztucznym izolowanym środowisku.
Jeśli wirus sie odpala zostanie w sztucznej strefie, a nie tej prawdziwej czytać głównym systemie.

Jak już pisałeś tylko zdjęcia wywołują tak że nie powinno być problemu po wyłączeniu autoplay USB i nawet CD jak mają.
No chyba że ich infekcja wynika nie tylko z podłączenia USB ale też że surfowania z Internetu.
Wtedy tym bardziej zalecam skorzystanie z jakiegoś izolatora/kontenera.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#5
Jakie typy plików (konkretne rozszerzenia, formaty) przynosi się do takiego zakładu?
PNG, JPG, BMP nie mają w sobie np Javascriptu czy makr.

Gorzej, jeśli otwiera jakieś dokumenty Office czy nawet PDF albo archiwa.
Odpowiedz
#6
(06.02.2023, 05:54)bluszcz napisał(a): Jakie typy plików (konkretne rozszerzenia, formaty) przynosi się do takiego zakładu?
PNG, JPG, BMP nie mają w sobie np Javascriptu czy makr.

Gorzej, jeśli otwiera jakieś dokumenty Office czy nawet PDF albo archiwa.

Akurat PNG nie jest taki bezpieczny jak się wydaje. Nie wiem czy to kwestia przeglądarki do obrazów, ale gdzieś czytałem o umieszczaniu w PNG złośliwego kodu.
Odpowiedz
#7
Ludzie którzy zgłaszali się z infekcjami takich penów, to swego czasu daną infekcje się usuwało i szczepiło programem chociażby usbfix, ale to nie o tym Smile

Dobrym pomysłem jest natomiast przeglądać takie nośniki w środowisku izolowanym albo chociażby w systemach unixowych gdzie faktycznie jest mniejsze narażenie głównego systemu operacyjnego.
Co się tyczy autostartu takich penów nie ma to już znaczenia przy innych wektorach ataku a mianowicie można się zapoznać z nowo-starą techniką że tak powiem infekcji tych że nośników.

https://unit42.paloaltonetworks.com/plug...jm739ksup9

PlugX jest akurat starszym zagrożeniem w tym wypadku ale metoda infekcji już nie.
Odpowiedz
#8
Kiedyś z tego softu korzystałem za czasów windows 7/XP
https://sourceforge.net/projects/noautorun/

Opcjonalnie Panda USB
https://download.cnet.com/Panda-USB-Vacc...tag=button

Ale jak pisałem gpedit
Wystarczy
https://soundartifacts.com/pl/how-to/195...ws-10.html
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 2 gości