W poprzednich artykułach pokazywaliśmy już inne podejścia do obrony przed USB Rubber Ducky: przed jego podłączeniem (USBGuard) i w trakcie (Google UKIP). Co jednak jeżeli do ataku na firmę już doszło, szukamy tylko, gdzie i kiedy? Poznajcie USBRip.
Zadaniem narzędzia USBRip jest szybkie ogarnięcie sytuacji wtedy, gdy już atak został przeprowadzony i wykryty, a naszym celem jest już tylko zebranie odpowiedniej wiedzy i dowodów, ew. zablokowanie kolejnych prób tą samą metodą.
Czym adekwatnie jest USBRip?
Jest to zaawansowany analizator logów systemowych, skupiony wokół zdarzeń podłączania i odłączania urządzeń USB. Na wejściu skanuje on logi pochodzące z wyjścia polecenia journalctl, lub plików /var/log/syslog* albo /var/log/messages* – zależnie od dystrybucji i dokładnej wersji Linuxa.
Przykładowy wynik takiej analizy wygląda następująco:
Więcej sposobów użycia, oraz instrukcję instalacji i konfiguracji USBRip znajdziesz w tym artykule, oraz filmie:
Wadą programu USBRip jest dość mała elastyczność odnośnie sposobu wyboru danych wejściowych: wymaga on instalacji na stałe w systemie, zamiast po prostu umożliwiać przekazanie w parametrze nazwy katalogu zawierającego odpowiednie pliki (które np. mogłyby być codziennie kopiowane ze wszystkich komputerów firmowych na 1 centralny serwer do ich audytu).
Z drugiej strony, takie właśnie podejście, przy dodatkowym zachowaniu odpowiednich wymagań bezpieczeństwa odnośnie samych logów, dostępów itp., umożliwia traktowanie wyników działania USBRip jako dowodów w sądzie, a nie tylko jako jakiegoś rodzaju informacji pomocniczych. Więc coś za coś.
Patrząc całościowo, USBRip wydaje się ciekawym uzupełnieniem narzędzi typu USB Keystroke Injection Protection, szczególnie jeżeli z jakichś względów nie można połączyć go z USBGuard.