The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В Chrome OS реализована блокировка доступа к USB во время не..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от opennews (??), 24-Дек-18, 21:59 
В экспериментальной ветке Chrome OS (Canary) тестируется (https://www.chromestory.com/2018/12/usbguard-usb-bouncer-chr.../) возможность блокирования подключения новых устройств к USB-портам во время действия экрана блокировки системы. Добавленная возможность включается через флаг "chrome://flags/#enable-usbguard" и позволяет защитить оставленное без присмотра устройство от атак через USB-порт, например, проводимых при помощи специального оборудования (https://www.opennet.dev/opennews/art.shtml?num=45510) или инструментария  BadUSB (https://www.opennet.dev/opennews/art.shtml?num=40744). Применяемые пользователем и заслуживающие доверия USB-устройства могут быть (https://chromium-review.googlesource.com/c/chromium/src/+/13...) добавлены в белый список. Блокировка также не распространяется на устройства, подключенные до блокировки экрана.


URL: https://www.chromestory.com/2018/12/usbguard-usb-bouncer-chr.../
Новость: https://www.opennet.dev/opennews/art.shtml?num=49846

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Chrome OS реализована блокировка доступа к USB во время не..."  +2 +/
Сообщение от Аноним (1), 24-Дек-18, 21:59 
Правильный подход!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В Chrome OS реализована блокировка доступа к USB во время не..."  +1 +/
Сообщение от Xasd (ok), 24-Дек-18, 22:51 
> Правильный подход!

неплохо было бы что-нибудь придумать и для случая когда это происходит НЕ во время скринсэйвера :-)

так как badUSB вероятнее всего как раз и должен использоваться во время НЕ скринсэйвера.

ну и конечно Chrome OS не нужна -- пусть для Linux что-то изобретают

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от AnonPlus (?), 24-Дек-18, 22:56 
А речь не о том, когда оно ИСПОЛЬЗУЕТСЯ, а о том, когда оно ВОТКНУТО.

Нсли оно ВОТКНУТО во время скринсейвера, то оно не будет использоваться ни во время, ни после окончания скринсейвера. А ВТЫКАЮТ как раз, когда юзер отсутствует физически на месте.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от iPony (?), 25-Дек-18, 04:54 
> А ВТЫКАЮТ как раз, когда юзер отсутствует физически на месте

Ну есть же ещё «о кто-то забыл флешку, надо посмотреть что там».

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "В Chrome OS реализована блокировка доступа к USB во время не..."  +2 +/
Сообщение от Xasd5 (?), 25-Дек-18, 10:44 
> Ну есть же ещё «о кто-то забыл флешку, надо посмотреть что там».

badUSB это не о том.

это когда воткнул usb-флешку, а она ещё и в добавок оказалсь usb-клавиатурой (сама нажимающая свои клавиши)..

а будь это во время именно Скринсэйвера -- ничего особенного  не произошлобы кстати.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от iPony (?), 25-Дек-18, 10:49 
И о том в том числе. Что-то вообще как-то мимо...

https://ru.wikipedia.org/wiki/BadUSB

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от J.L. (?), 25-Дек-18, 12:59 
> А речь не о том, когда оно ИСПОЛЬЗУЕТСЯ, а о том, когда
> оно ВОТКНУТО.
> Нсли оно ВОТКНУТО во время скринсейвера, то оно не будет использоваться ни
> во время, ни после окончания скринсейвера. А ВТЫКАЮТ как раз, когда
> юзер отсутствует физически на месте.

а что, включение "флешки" (логических линий, а не линий питания) по таймеру, а не только в момент подачи питания - не комильфо?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "В Chrome OS реализована блокировка доступа к USB во время не..."  +1 +/
Сообщение от Аноним (10), 25-Дек-18, 10:12 
> неплохо было бы что-нибудь придумать и для случая когда это происходит НЕ во время скринсэйвера

да. А еще: неплохо бы вынести железные тумблеры для usb, микрофона, камеры, кардридера, возможно, клавиатуры и тача - что бы юзер наглядно видел, что у него включено, и собственными руками включал и выключал, то, что считает нужным. И ввести это в стандарт индустрии всех девайсов.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от Xasd5 (?), 25-Дек-18, 10:47 
> железные тумблеры для usb

тут не тумблеры нужны, а переключатели режимов (на каждом из usb):

* режим накопителя
* режим устройства ввода
* режим можема
* ну и ещё что там за режимы могут быть

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от Crazy Alex (ok), 25-Дек-18, 17:09 
И зачем? Если вы не доверяете своему софту - то поздно дёргаться. А если доверяете - то и софтовых хватит.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "В Chrome OS реализована блокировка доступа к USB во время не..."  –1 +/
Сообщение от Аноним (17), 25-Дек-18, 13:53 
> неплохо было бы что-нибудь придумать и для случая когда это происходит НЕ во время скринсэйвера :-)

В Grsecurity/Pax был файл в procfs, после записи в который ядро начинало игнорировать вновь подключаемые по USB устройства до следующей перезагрузки.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

20. "В Chrome OS реализована блокировка доступа к USB во время не..."  +2 +/
Сообщение от Crazy Alex (ok), 25-Дек-18, 17:10 
Ну, эти удобно в принципе сделать не способны. "До перезагрузки", это ж надо придумать
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от Аноним (24), 25-Дек-18, 20:42 
Это by design. Всё, что можно подключать, подключается при включении. Владелец/пользователь обязан физически присутствовать рядом с машиной во время запуска.

И нужно помнить, что эта мера может быть не только и не столько против BadUSB, сколько против подключения несанкционированных носителей и выноса секретной информации.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от Crazy Alex (ok), 26-Дек-18, 00:09 
Именно, у них by design - это "безопасно - и ладно, и пофиг, какой ценой". Будь это падение быстродействия, ломка совместимости или банальное неудобство.

Насчёт защиты секретной информации мне тема не близка совершенно, но полагаю, что это очень частный случай и надо быть психом, чтобы делать решение только под него. BadUSB - куда более понятная и распространённая угроза.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от Аноним (-), 26-Дек-18, 00:41 
А для Linux, в Qubes давно есть защита от такого.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

14. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от Онанимус (?), 25-Дек-18, 11:21 
> Правильный подход!

Товарищ майор не одобряет вас!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

30. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от Аноним (30), 28-Дек-18, 14:47 
Пацаны вообще ребята!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В Chrome OS реализована блокировка доступа к USB во время не..."  +1 +/
Сообщение от A.Stahl (ok), 24-Дек-18, 22:01 
Who cares?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от Аноним (6), 24-Дек-18, 23:09 
Любо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В Chrome OS реализована блокировка доступа к USB во время не..."  +3 +/
Сообщение от Какаянахренразница (ok), 25-Дек-18, 08:00 
Ну, воткнул я злой девайс, пока хозяина не было. Ну, не активировался он сразу. Девайсы нынче маленькие. Хозяин подойдёт, разблокирует свой кампуцер и даже не заметит как активируется мой девайс.

[Дисклеймер про исследовательские цели, отказ от ответственности, свой страх и риск и про не повторять дома]

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от Аноним (17), 25-Дек-18, 13:50 
> Хозяин подойдёт, разблокирует свой кампуцер и даже не заметит как активируется мой девайс.

Он не активируется, если был подключён во время неактивности. Придётся вытащить и вставить заново на глазах изумлённого хозяина.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "В Chrome OS реализована блокировка доступа к USB во время не..."  +2 +/
Сообщение от Аноним (21), 25-Дек-18, 17:12 
Лол зачем ?

Питание на портах будет скорее всего, просто по таймеру передергивать само устройство раз в минуту (если нет ответа от ос )

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от Crazy Alex (ok), 26-Дек-18, 00:22 
Именно, можно ещё и device id менять - хоть из списка распространённых, хоть как. Если атака целевая - то узнать device id используемых "клиентом" аксессуаров - задача совершенно тривиальная.
И всё, больше никакой общей механики идентификации в usb нет.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

9. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от Аноним (9), 25-Дек-18, 09:17 
USB модем
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "В Chrome OS реализована блокировка доступа к USB во время не..."  +1 +/
Сообщение от vantoo (ok), 25-Дек-18, 16:59 
Сразу вспомнился рассказ о хакере и солонках.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от Crazy Alex (ok), 25-Дек-18, 17:22 
Бестолковая попытка заткнуть дыры протокола. Наверняка обнаружится масса кейсов, где этот номер не пройдёт.

Либо реализовывать нормально (хм, интересно, что там в планах у USB Консорциума на этот счёт) - "безопасный режим" с идентификацией по ключу, хранимому на устройстве вплоть до аналога иерархии доверия, разрешение только определённых режимов и т.д. - либо не делать ничего. А так - создание иллюзии безопасности, не более.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "overengineering"  +/
Сообщение от a (??), 25-Дек-18, 17:52 
Да-да, навертим лишней мути, в реализациях которой будут дополнительные дыры в безопасности.
Crazy Alex, ник очень в тему ;-)
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "overengineering"  +/
Сообщение от Crazy Alex (ok), 26-Дек-18, 00:16 
Альтернатива - каждый пытается навертеть своё, хоть как-то сохраняя совместимость с системами, которые про все эти меры ни сном ни духом.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

29. "В Chrome OS реализована блокировка доступа к USB во время не..."  +/
Сообщение от J.L. (?), 26-Дек-18, 13:34 
> Бестолковая попытка заткнуть дыры протокола. Наверняка обнаружится масса кейсов, где этот
> номер не пройдёт.
> Либо реализовывать нормально (хм, интересно, что там в планах у USB Консорциума
> на этот счёт) - "безопасный режим" с идентификацией по ключу, хранимому
> на устройстве вплоть до аналога иерархии доверия, разрешение только определённых режимов
> и т.д. - либо не делать ничего. А так - создание
> иллюзии безопасности, не более.

вроде бы юсб (и 3 и C) не дают подключенному устройству никакого прямого доступа в память или ещё к каким ресурсам системы кроме как к питанию?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру