Počítač určený jen ke kontrole médií na malware

Mike_q

Počítač určený jen ke kontrole médií na malware
« kdy: 08. 12. 2017, 13:48:18 »
Ahoj,

rád bych se zeptal, jestli nemá někdo nějaké řešení jakým způsobem postupovat pokud potřebuji v podniku provádět automatizovanou kontrolu médií na malware.
Dejme tomu, že zaměstnanec přinese podezřelé médium (USB, CD, DVD...) a já ho vložím do vyčleněného počítače bez připojení do podnikové sítě a automatizovaně se mě provede hloubková kontrola daného média na malware? Jde mi o to, abych se nemusel o nic starat a za pár minut měl téměř jisté, že je médium OK. Rád bych, aby bylo médium proscanováno antiviry různých výrobců, aby proběhla pokud možno křížová kontrola.

Děkuji za nápady.
« Poslední změna: 11. 12. 2017, 09:07:33 od Petr Krčmář »


Jenda

Re:Počítač určení jen ke hloubkové kontrole médií
« Odpověď #1 kdy: 08. 12. 2017, 13:54:28 »
Systém běžící z readonly SD karty nebo nabootovaný po síti (s tím že po nabootování a zacachování do ramdisku se síť odpojí)? Ale obávám se, že pokud očekáváš exploity na antiviry nebo linuxové drivery na FS, tak si útočník dá tu práci, aby antivir jeho malware nepoznal (často stačí napsat si vlastní packer).

?

Re:Počítač určení jen ke hloubkové kontrole médií
« Odpověď #2 kdy: 08. 12. 2017, 14:03:37 »
Pokud z nějakýho důvodu řešíš bezpečnost pro seriózní byznys, dá si potencionální útočník práci na tom, že ten jeho malware nebude detektován. Stejný kontroly, který budeš provádět ty, může provést prvně i on.

Malware se dneska dává i přímo do FW USB disků.

CoffeeMan

Re:Počítač určení jen ke hloubkové kontrole médií
« Odpověď #3 kdy: 08. 12. 2017, 14:33:55 »
Já ten dotaz asi chápu. Jako že se to prostě nejdříve strčí někam, kde to zahlásí O. K., že.

j

Re:Počítač určení jen ke hloubkové kontrole médií
« Odpověď #4 kdy: 08. 12. 2017, 16:44:01 »
Mno ... a ceho tim chces docilit? To si jako myslis, ze lidi budou stat ve fronte aby neco otestovali a teprve pak to strcej do mechaniky/portu svyho PC? Velmi naivni predstava.

Navic 100% antiviraku funguje tak, ze ten vir kterej sis prave stahnul/prines/... budou znat mozna za 14 dnu.


CoffeeMan

Re:Počítač určení jen ke hloubkové kontrole médií
« Odpověď #5 kdy: 08. 12. 2017, 18:50:30 »
Mno ... a ceho tim chces docilit? To si jako myslis, ze lidi budou stat ve fronte aby neco otestovali a teprve pak to strcej do mechaniky/portu svyho PC? Velmi naivni predstava.

Navic 100% antiviraku funguje tak, ze ten vir kterej sis prave stahnul/prines/... budou znat mozna za 14 dnu.

Mně se ten dotaz zdá naprosto relevantní. Prostě chce, aby když mu Franta z hospody přinese něco, aby si to hodil nejdříve někam, kde mu to projede nějaký software a řekne, jestli Franta nenese něco, kde mu pak budou létat po windows svítící hovínka. A nechce se s tím moc matlat, chce to mít zautomatizované.

Naprosto relevantní dotaz uživatele.


Mike_q

Re:Počítač určený jen ke kontrole médií na malware
« Odpověď #6 kdy: 19. 12. 2017, 10:12:56 »
Moc relevantních odpovědí jsem nedostal.
Hledám přesně řešení, které popisuje CoffeeMan o post výše.

Níkdo žádné relevantní řešení nebo nápad? Díky

nefunkcnigoogle?

Re:Počítač určený jen ke kontrole médií na malware
« Odpověď #7 kdy: 19. 12. 2017, 10:53:20 »
Offline multi engine malware scanner a hned prvni odkaz a možnosti 2 a 5?

Franta <xkucf03/>

Re:Počítač určený jen ke kontrole médií na malware
« Odpověď #8 kdy: 19. 12. 2017, 12:15:10 »
Nápad je to dobrý, ale řešení rozhodně není triviální. Nezapomínej na dva problémy:

1) USB flashka může mít upravený firmware a chovat se nějak špatně – např. po Xtém připojení se začne tvářit jako klávesnice a odešle do počítači sekvenci stisků kláves, která provede něco škodlivého, nebo se bude tvářit jako síťová karta, nebo jako USB mass storage zařízení, ovšem s jinými daty, než která jsi viděl při kontrole.

2) Můžou tam být šifrovaná data, takže nepůjde poznat, že uvnitř nich je nějaký mallware, a vedle může být soubor s heslem, takže uživatel si ta data nakonec dešifruje a spustí. Tzn. musel bys za podezřelá považovat jakákoli šifrovaná/neznámá data, takže to nejde moc automatizovat a stejně by to musel někdo ručně zkoumat.