Qual é o melhor jeito para testar um disco removível?

[ThiagoMagalhães0]

Em uma situação hipotética, 

Você achou um pen-drive na rua e gostaria de ver o conteúdo que está dentro de uma maneira segura

Obviamente você não sabe o conteúdo que está dentro, pode ser uma imagem como também um script que irá infectar o seu computador. 

 

Qual é a melhor solução para ver o conteúdo do pen-drive sem se expor a riscos?

[Ster]

@ThiagoMagalhães0

Recomendaria instalar algum linux no DVD e usar no modo live para verificar os arquivos.

[ThiagoMagalhães0]

3 horas atrás, MakyBR disse:

@ThiagoMagalhães0

Recomendaria instalar algum linux no DVD e usar no modo live para verificar os arquivos.

 

É, na verdade teria que ser algo que não dependesse do sistema operacional, por que imagina se no pen-drive tivesse com um código malicioso para Linux ou Mac? Estou ignorando toda a discussão sobre ser difícil instalar um malware no Linux  e também não é nada radical do tipo "se você passa pelas barreiras de root do Linux, não há nada que possa proteger do código malicioso"
 

Não sei se ajuda, mas vou tentar reformular a pergunta:

Quais são as boas práticas para se seguir ao conectar um pen-drive a um computador?

[Marcos FRM]

 

Discos removíveis: negar acesso de execução

 

Sem executar código diretamente, ainda existe a possibilidade de arquivos regulares (.docx, .jpg, etc), conseguirem explorar alguma falha no programa associado para abri-los. Contudo, é mais difícil. Por isso é importantíssimo manter programas complexos, como o Microsoft Office, recebendo atualizações pelo Windows Update, que frequentemente consertam bugs explorados dessa forma. E o Windows em si também, claro, para diminuir a probabilidade de alguma falha no código do subsistema USB, do driver do sistema de arquivos, etc.

 

Se apenas navegar pelo Windows Explorer, sem abrir nada, o risco é quase zero. Ainda tem o processamento de miniaturas de imagens, que envolve código do Windows. Você pode desativar a geração de miniaturas por descargo de consciência... 

[ThiagoMagalhães0]

15 minutos atrás, Marcos FRM disse:

 

Discos removíveis: negar acesso de execução

 

Sem executar código diretamente, ainda existe a possibilidade de arquivos regulares (.docx, .jpg, etc), conseguirem explorar alguma falha no programa associado para abri-los. Contudo, é mais difícil. Por isso é importantíssimo manter programas complexos, como o Microsoft Office, recebendo atualizações pelo Windows Update, que frequentemente consertam bugs explorados dessa forma. E o Windows em si também, claro, para diminuir a probabilidade de alguma falha no código do subsistema USB, do driver do sistema de arquivos, etc.

 

Se apenas navegar pelo Windows Explorer, sem abrir nada, o risco é quase zero. Ainda tem o processamento de miniaturas de imagens, que envolve código do Windows. Você pode desativar a geração de miniaturas por descargo de consciência... 

Perfeito! Resolveu o meu problema. 

Mas agora me veio uma ideia na cabeça... complicando um pouco mais, imagine que um HD Externo está infectado com um ransomware, essa solução evitaria que o computador seja infectado também?

[Marcos FRM]

Precisaria executar programa ou script, acredito, que não rodariam com aquela GPO... porém aguarde opiniões de quem melhor conhece esse assunto.

[thiago.jj]

Em 03/01/2023 às 17:17, ThiagoMagalhães0 disse:

Perfeito! Resolveu o meu problema. 

Mas agora me veio uma ideia na cabeça... complicando um pouco mais, imagine que um HD Externo está infectado com um ransomware, essa solução evitaria que o computador seja infectado também?

os ransomware que ja vi precisa sempre executar algo e manualmente, nunca foi algo automatico, e o arquivo infectado que ao clicar criptografa tudo ficou no dispositivo que executou

 

no caso de rede, HD externo, pendrive ele vai criptografar os arquivos onde tiver acesso e fica por elas, não replicam o script, bat, exe, etc para se propagar caso alguém clique novamente no maximo um jpg com a msg de resgate

tenha um bom antivirus, bloqueie a execucao de arquivos na pasta temp, windows, arquivos de programas, no caso de estacoes pelo proprio antivirus torne todos os compartilhamentos somente leitura etc se você quer bloquear o maximo vai ter que impor diversas regras no antivirus, firewall, etc e não se esqueca que fazendo isso em ambiente corporativo vai gerar N chamados

 

na duvida monta um ambiente controlado e comeca abrir os spams que recebe, melhor forma de descobrir como funcionam

[Henrique - RJ]

@thiago.jj

 

Para todas essas suas questões eu me sentiria mais seguro usando a suíte de segurança acho que ainda gratuita em português Comodo Internet Security Premium.

 

Essa suíte possui módulos de proteção que avisam e bloqueiam comportamentos anormais no sistema evitando infecções.

 

Eu mesmo uma ocasião durante navegação um exe quase foi baixado para a pasta temp do sistema para ser executado mas a suíte bloqueou o acesso e me alertou.

[Lusitano]

Em 03/01/2023 às 15:03, ThiagoMagalhães0 disse:

Você achou um pen-drive na rua e gostaria de ver o conteúdo que está dentro de uma maneira segura

Em bom rigor, pese embora as sugestões válidas apontadas pelos colegas anteriores, nenhuma delas será garantia total. Sem recurso a hardware especifico para esse efeito e um conjunto de software, será difícil gerar um ambiente seguro. Creio que uma solução prática e exequível será o recurso a um pc em desuso onde possa abrir o conteúdo dessa midia externa e caso algo muito ruim aconteça apenas estará danificando um pc que nem tão pouco utiliza.

[thiago.jj]

14 horas atrás, Henrique - RJ disse:

@thiago.jj

 

Para todas essas suas questões eu me sentiria mais seguro usando a suíte de segurança acho que ainda gratuita em português Comodo Internet Security Premium.

 

Essa suíte possui módulos de proteção que avisam e bloqueiam comportamentos anormais no sistema evitando infecções.

 

Eu mesmo uma ocasião durante navegação um exe quase foi baixado para a pasta temp do sistema para ser executado mas a suíte bloqueou o acesso e me alertou.

 

Henrique,

 

realmente tem alguns programas que você baixa na internet e acabam instalado outros programas juntos e nem sempre sao prejudiciais, as vezes sao ate complementos para o principal instalar e  em alguns casos é um falso positivo e pod eser falta de atencao do usuario tbem.

 

se for algo confiavel que você conhece sempre tem a opcao de você recusar a instalacao desses outros.

 

[ThiagoMagalhães0]

17 minutos atrás, Lusitano disse:

Sem recurso a hardware especifico para esse efeito e um conjunto de software

O que seria esse recurso e quais seriam os programas?

[Henrique - RJ]

@ThiagoMagalhães0

 

Caso queira conhecer e testar o Comodo Internet Security Premium deixo abaixo o link de download mas aviso, não tenho certeza de que ainda seja gratuito e ele pode apresentar bug durante a instalação:

 

http://download.comodo.com/cis/download/installs/1000/standalone/cispremium_only_installer.exe

 

No fórum em inglês da Comodo pode tirar dúvidas caso queira.

 

[ThiagoMagalhães0]

15 horas atrás, thiago.jj disse:

os ransomware que ja vi precisa sempre executar algo e manualmente, nunca foi algo automatico, e o arquivo infectado que ao clicar criptografa tudo ficou no dispositivo que executou

 

no caso de rede, HD externo, pendrive ele vai criptografar os arquivos onde tiver acesso e fica por elas, não replicam o script, bat, exe, etc para se propagar caso alguém clique novamente no maximo um jpg com a msg de resgate

 

Em minhas pesquisas, também chego a essa conclusão. Mas como é um exemplo fictício, quis escalonar o problema pra termos uma discussão mais profunda à respeito desse tema. 

O comportamento padrão é que o ransom só irá criptografar onde ele possui acesso mas e se ele fosse criado com um recurso de elevação de privilégios e se replicasse pela rede toda?

É coisa de filme, pouco usual mas contando que isso pode acontecer, qual é o melhor jeito de evitar?

3 minutos atrás, Henrique - RJ disse:

@ThiagoMagalhães0

 

Caso queira conhecer e testar o Comodo Internet Security Premium deixo abaixo o link de download mas aviso, não tenho certeza de que ainda seja gratuito e ele pode apresentar bug durante a instalação:

 

http://download.comodo.com/cis/download/installs/1000/standalone/cispremium_only_installer.exe

 

No fórum em inglês da Comodo pode tirar dúvidas caso queira.

 

Vou dar uma olhada!

[Henrique - RJ]

@ThiagoMagalhães0

 

Tem apenas o Comodo Firewall que é mais leve sem o módulo antivírus que faz consulta na nuvem online em casos de desconhecidos e o Comodo Antivírus que é muito mais limitado em recursos que considero essenciais.

 

https://forums.comodo.com/news-announcements-feedback-cis/comodo-internet-security-2020-v12227062-released-t126495.0.html

[thiago.jj]

16 minutos atrás, ThiagoMagalhães0 disse:

 

Em minhas pesquisas, também chego a essa conclusão. Mas como é um exemplo fictício, quis escalonar o problema pra termos uma discussão mais profunda à respeito desse tema. 

O comportamento padrão é que o ransom só irá criptografar onde ele possui acesso mas e se ele fosse criado com um recurso de elevação de privilégios e se replicasse pela rede toda?

É coisa de filme, pouco usual mas contando que isso pode acontecer, qual é o melhor jeito de evitar?

Vou dar uma olhada!

 

ele pode explorar vulnerabilidade das coisas, ai não tem muito o que fazer mesmo as coisas com suas ultimas atualizacoes vai passar algo.

 

se você quer tentar ao maximo

 

- criar vlans porta porta e ninguem se fala com ninguem ? rs

- bloqueia acesso a todos os sites, protocolos, portas e vai liberando conforme a necessidade.

- bloqueia todas as portas, etc de acesso de fora para dentro tbem

- deixe o antispam no maior nivel possível para bloquear ou libere apenas dominios confiaveis e bem provavel que vai liberar gmail, hotmail, etc....

- não deixe conectar celular pessoal na rede e celular empresarial veja se tem um open vpn que obrigue a ficar 100% do tempo conectado para a pessoa não usar o 4g e abri o que quiser.

- faca os bloqueios no antivirus que comentei.

- caso alguém use note externo não deixe conectar em nenhuma wifi publica, apenas usando o celular como roteador e uma vpn

- pelo servidor ad você consegue bloquear por nomes ou tipos de arquivos por exemplo wscript, você pode permitir executar certos programas tbem

 

e por ai vai.

 

conheco empresa pequena de desenvolvimento por exemplo onde os analistas não tem nenhum tipo de acesso a internet, nem mesmo para consulta.

 

se você ficar pensando nisso ai vai ficar doido, ai vai descobrir que a unica forma é nunca trabalhar rsrsrs

[Henrique - RJ]

@thiago.jj

 

Essa suíte a que me referi já considera a exploração de vulnerabilidades e tenta proteger por meio de uma lista de permissões e bloqueios de cada processo com seu HIPS ( Host Intrusion Protect System ) e módulo monitor de comportamento VirusCope.

 

Usei essa suíte por muitos anos.

[Marcos FRM]

Existem muitas GPOs com propósito de restringir vários pontos do Windows. Pesquise sobre o assunto. O principal problema do Windows é a permissão de execução ser dada por padrão para quase tudo/todos, ao contrário dos Unix-like. Felizmente, aquela GPO que mencionei (disponível a partir do Windows 7 e Server 2008 R2, se a memória não me falha) ajuda muito, pois dispositivos removíveis são considerados não confiáveis em qualquer ambiente sério.

 

É possível fazer o mesmo em pastas aleatórias usando ACLs. Aqui está um experimento que fiz anos atrás. Não conseguindo executar código diretamente, já diminui enormemente a superfície de ataque. Depois tem que ir aparando o resto. Um exemplo: o mínimo é o usuário não ser administrador; apenas membro do grupo "Usuários". Assim, é recomendável habilitar esta GPO:

 

Configuração do Computador -> Configurações do Windows -> Configurações de segurança -> Políticas locais -> Opções de segurança -> Controle de Conta de Usuário: comportamento da solicitação de elevação de usuários padrão (Negar automaticamente solicitações de elevação)

 

Para ser impossível para tais usuários conseguirem elevar privilégio, mesmo que, saiba-se lá como, consigam as credenciais.

 

Veja que são apenas duas GPOs (contando a dos dispositivos removíveis), de centenas, que fazem uma boa diferença.

[Henrique - RJ]

Exemplos de bloqueios e alertas do Comodo Internet Security:

 

https://www.google.com/search?q=block+alerts+comodo+internet+security&também=isch&ved=2ahUKEwj8w5nLhMD8AhWmN7kGHftzAhsQ2-cCegQIABAA&o que=block+alerts+comodo+internet+security&gs_lcp=CgNpbWcQA1CDCViYMGCPNWgAcAB4AIABtQKIAfMSkgEIMC4xOC4wLjGYAQCgAQGqAQtnd3Mtd2l6LWltZ8ABAQ&sclient=img&ei=CPG-Y_yfOKbv5OUP--eJ2AE&bih=597&biw=1024&client=ubuntu&hs=0c3

[John Frusciante]

Na minha opinião, produto da Comodo, apenas o Firewall. O antivírus acho que deixa a desejar. Sobre o HIPS, que tem no Comodo, eu posso estar falando besteira (e me corrijam se eu estiver), mas todos os modernos e principais antivírus já incluem HIPS. 

[Henrique - RJ]

2 horas atrás, John Frusciante disse:

Na minha opinião, produto da Comodo, apenas o Firewall. O antivírus acho que deixa a desejar. Sobre o HIPS, que tem no Comodo, eu posso estar falando besteira (e me corrijam se eu estiver), mas todos os modernos e principais antivírus já incluem HIPS. 

 

O problema é a qualidade desse HIPS nos outros antivírus. Até o Comodo já teve qualidade ruim na época do Matousec mas melhorou pois estavam pressionando.