Linux за българи: Форуми

   За съжаление, много трудно се намира конкретна информация за
голям security проблем, касаещ повечето USB у-ва.
   Става въпрос за това че при включване на USB у-во в компютъра,
ако firmware е заразен,може да се поеме пълен или почти пълен контрол
в/у компютъра.Напр. може да емулира клавиатура (!) ,и да накара компа
да изпълни всякакви команди.
   Това е демонстрирано още преди 2 години на конференция (показана е
т.нар. "BadUSB" уязвимост),но и досега няма конкретна информация как да
предпазим компютрите си.

Не зная, защо се притесняваш. Командите в линукс, които могат да навредят на системата изискват и съответните права, за да се изпълнят. най-много да си затриеш разни файлове в домашната папка.

Няма как да се предпазиш ефективно, в текущия си вид USB протоколът няма как да адресира задоволително BadUSB - той си работи по един и същ начин за всички устройства и операционната система няма как да знае дали дескрипторът, който и се подава, действително отговаря на това, което представлява устройството.

Пасивен метод за някаква защина е нещо от рода на usbkill (https://github.com/hephaest0s/usbkill) или silk-guardian (https://github.com/NateBrune/silk-guardian) като kernel модул и whitelist-ване на твоите устройства по VID и PID.

   Хубаво де,тогава излиза,че много голям брой сървъри,десктоп компютри,
таблети и смартфони са уязвими ,и на (почти) никого не му пука за това :o

Точно. На никой не му пука. Повечето хора не знаят за тези неща. Но, ако си се загрижил точно за USB-тата, малко си встрани от посоката по която се движат нещата. Никой няма да се хване да ти хаква таблета по този начин. Ако иска, може да го направи през SIM картата. И тя е направена, за да може да се правят пакости.

И понеже се споменаха сървъри - ако въпросния хахор има физически достъп до сървъра USB-то ще ти е последната грижа....

   Не става дума някой хахор да има физически достъп до сървър.
   Може някой по невнимание да сложи заразена флашка или външен
диск и ... дотам.
   Разбира се,може достъпа до USB да бъде забранен от BIOS/UEFI .
   Но, все пак високият риск си остава.

..... И пак отиваме на въпроса как така някакви хора ще вървят и ще бучат някакви низвестни усб устройства от сървър на сървър.....

   Въпросът е принципен,пак ще го повторя.
   Не се обръща внимание на този проблем.
   Всъщност,дори не е нужно "някакви хора ще вървят и ще бучат някакви низвестни усб устройства от сървър на сървър....".
   Може да е засегнат десктоп компютър с активна ssh сесия към някой
важен сървър.
   Или някоя кифла иска да свали снимки от смартфона си на служебния
компютър (да покаже купените си парцалки от мола)...
   Дори и да има политика на съотв. фирма/организация да се забранява
включването на външни USB у-ва ,може да се окаже ,че някой е забравил
да ограничи достъпа на нов компютър ,с току-що инсталирана ОС...
  И, ще се разбере,че има проблем чак когато "е опрял ножа до кокала" ...

Аз те разбирам, въпроса е, че ти не ме разбираш. Или нямаш идея какво значи стерилна среда. Десктоп с активна ссх сесия към сървър не може да емулира отдалечено усб и да монтира на сървъра нищо. Самия факт, че има ссх сесия означава, че който трябва да има достъп - вече има достъп. А ако важния сървър се достъпва от "всички" с "root" аксес - ами администратора е за обесване. На тема кифли - повярвай ми с пет параметъра в груб и modprobe.conf няма да има нищо работещо освен клавиатура и мишка (правил съм го точно с тази цел - да не могат разни хора да бучат разни неща без разрешение). А пък "някой" като "забравя" да прави неща, които са му работа на компютрите - ами да си взима парцалките и да отиде да чете и да тренира на по-маловажни позиции.
Не ме разбирай погрешно - самия факт, че важните сървъри имат конзолен достъп е проблем от гледна точка на сигурността, но това не значи, че разработчиците трябва да хабят време да фиксват (или да търсят начин да предпазват ОС от) всяка дивотия дето може да трекне на някой да направи.

"Десктоп с активна ссх сесия към сървър не може да емулира отдалечено усб и да монтира на сървъра нищо."
   Да,така е,но имах предвид ако десктоп компютъра е заразен,при активна
ssh сесия може да зарази и сървъра,може да изпълни отдалечено всякакви
команди(проблема е наистина сериозен ,ако е влязъл като root).За един
добър системен програмист не е проблем да вгради такава функционалност във firmware вируса.
   Както и да е.
   Все пак,метафорично казано,успях да бия камбаната за сериозен проблем,който се игнорира от сисадмините.
   Излиза,че ако в една стая има голям слон,само аз мога да го забележа ...

"Десктоп с активна ссх сесия към сървър не може да емулира отдалечено усб и да монтира на сървъра нищо."
   Да,така е,но имах предвид ако десктоп компютъра е заразен,при активна
ssh сесия може да зарази и сървъра,може да изпълни отдалечено всякакви
команди(проблема е наистина сериозен ,ако е влязъл като root).За един
добър системен програмист не е проблем да вгради такава функционалност във firmware вируса.
   Както и да е.
   Все пак,метафорично казано,успях да бия камбаната за сериозен проблем,който се игнорира от сисадмините.
   Излиза,че ако в една стая има голям слон,само аз мога да го забележа ...

Аз, в подобни ситуации казвам: "Welcome to the real world spec1a!".

Мисля че това достатъчно ясно и пълно описва ситуацията в ИТ сфератар а и не само в нея!
Само този, който не се е опитал да събори някоя система, не е успял. За ИТ системите дори няма нужда да се дават (повече) примери, те са навсякъде около нас. Трябва само да се огледаме.