Forum Linux.général USB Keyboard

Posté par (page perso) . Licence CC by-sa
Tags :
6
16
oct.
2013

Salut,

Je viens de lire un article sur Korben : http://korben.info/usb-rubber-ducky.html

Je trouve ça un peu effrayant. Comment faire confiance à une clé USB qu'on me prête ?
Ou même une clé USB que j'aurais achetée et qui agirait comme un clavier le temps de lancer ses requêtes et ensuite se transforme en USB classique (NSA Inside).

Je n'ai pas acheté cette clé USB donc je ne sais pas ce que ça donne sur Linux mais je me dis, pourquoi pas ?

Existe-t-il des mesures de protection contre ce genre de clé ?
Par exemple, déjà n'autoriser qu'un clavier (et souris) à la fois et alerter si un autre clavier se branche.

Ou toute autre mesure de protection ?
Merci

  • # Non il ne faut jamais faire confiance à personne

    Posté par . Évalué à 3.

    Et surtout quelqu'un comme moi qui donne des avis sur le net ;-)
    Les distributions linux grand publique sont par défaut très permissive.
    Pour te rassurer l'article en question montre surtout le danger de laisser une session ouverte car en branchant une clef qui va simuler un clavier et la frappe de tout un ensemble de commande ou raccourci.
    Déja, si tu est en login utilisateur, seule tes données personnelles sont en danger (mais tout le monde fais souvent des sauvegardes régulière n'est ce pas) ?

    Si effectivement on veut neutraliser ce genre d'attaque il suffit d'écrire des règles udev voir ici
    pour n'autoriser que ton clavier sur l'usb par exemple (faut penser à mettre la souris aussi peut être), on peut affiner les régles udev pour n'autoriser que le numéro de série que d'un clavier précis et sont branchement sur un port usb précis du système.
    En rajoutant une règle qui verrouille automatique le poste en cas de débranchement du clavier.
    Donc la sécurité serait renforcé au niveau ou l'attaquant devrais éteindre le PC et partir avec le disque dur.

    • [^] # Re: Non il ne faut jamais faire confiance à personne

      Posté par (page perso) . Évalué à 7.

      Si effectivement on veut neutraliser ce genre d'attaque il suffit d'écrire des règles udev voir ici
      pour n'autoriser que ton clavier sur l'usb par exemple (faut penser à mettre la souris aussi peut être), on peut affiner les régles udev pour n'autoriser que le numéro de série que d'un clavier précis et sont branchement sur un port usb précis du système.

      Pour ma part, j’ai bricolé quelque chose avec udev, en me basant non pas sur un numéro de série, mais sur le postulat que les périphériques USB d’entrée (claviers, souris et assimilés) « légitimes » sont ceux qui sont déjà branchés lors du démarrage, et seulement ceux-là (je connecte et déconnecte fréquemment des clefs USB à n’importe quel moment une fois le système démarré, mais jamais des claviers et des souris).

      Partant de ce principe, à la fin de l’initialisation du système (donc une fois que tous les périphériques « légitimes » ont été détectés), j’ajoute la règle Udev suivante :

      ACTION=="add", SUBSYSTEM=="input", SUBSYSTEMS=="usb", ATTRS{authorized}==1, ENV{PARID}="$id", RUN+="/bin/sh -c 'echo 0 >/sys/bus/usb/devices/$env{PARID}/authorized'"
      

      qui désactive automatiquement tout nouveau périphérique USB d’entrée, et je recharge Udev — le « truc » est que recharger les règles Udev n’a pas d’effet sur les périphériques déjà connectés, seulement sur ceux qui seront branchés plus tard, donc les périphériques qui étaient déjà là au démarrage ne seront pas touchés. Les autres types de périphériques (clefs USB notamment) ne sont pas affectés non plus, du fait de la sélection sur le SUBSYSTEM=="input".

  • # Mwai

    Posté par (page perso) . Évalué à 2.

    Comme toujours, on a l'avantage de la diversité…

    Si je veux écrire un script pour hacker une machine Linux, j'ai intérêt à bien la connaitre à l'avance: quel raccourcis pour exécuter une commande, quelle commande pour ouvrir un terminal et surtout comment faire pour que ce ne soit pas visible à l'utilisateur…

  • # De la lecture

    Posté par . Évalué à 3.

    Le sujet a déjà été abordé sur linuxfr et comme souvent il y a plein de commentaires intéressants.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.