domingo , dezembro 10 2017
Últimas Notícias

usbkill: anti-forense kill-switch

Introdução

O «usbkill» é um interruptor anti-forense que espera uma mudança nas suas portas USB e, em seguida, desliga o computador imediatamente.

 

Nota do tradutor¹: Não confunda com o usbkill(er) que é um hardware para queimar o PC.

Nota do tradutor²: Kill-switch é um termo em inglês que se referência a algo como um “botão de auto destruição”, nesse caso ele é usado como referência, pois o USB ao conectar/desconectar da máquina causaria uma “autodestruição” das informações.

 

Características

  • Compatível com Linux, * BSD e OS X.
  • Ele desliga o computador quando houver alguma atividade no drive de USB do computador.
  • Customizável. Defina quais comandos devem ser executados logo antes de desligar.
  • Capacidade de trabalhar com white list de dispositivos USB, ou seja, poderá definir que seu pendrive não desligue o PC.
  • Capacidade de alterar o intervalo de verificação (padrão: 250ms).
  • Capacidade de remover o programa no desligamento.
  • Pode limpar a RAM e swap wiping.
  • Funciona com o modo suspenso (OS X).
  • O programa não possui dependência de pacote, exceto o mode de remoção seguro (secure-delete) caso você queira que o usbkill exclua os arquivos / pastas para você ou se você deseja limpar RAM ou swap. Para instalar esta dependência, basta executar o comando: sudo apt-get install secure-delete
  • Modo sensível por padrão.

 

Por quê usar?

Abaixo estão alguns motivos o qual caberia utilizar esta ferramenta:

  • No caso da polícia ou um bandido entrar na sua casa (ou roubar seu laptop de você quando estiver em uma biblioteca pública, como aconteceu com Ross). A polícia geralmente usa um “mouse jiggler” para evitar que o modo de proteção de tela e de suspensão seja ativado.
  • Você não quer que alguém adicione ou copie documentos para ou do seu computador via USB.
  • Você quer melhorar a segurança do seu servidor doméstico (criptografado) ou servidor corporativo (por exemplo, seu Raspberry).

[!] Importante: Certifique-se de usar criptografia de disco para todas as pastas que contenham informações que você deseja que se mantenham privadas. Caso contrário, eles vão conseguir isso de qualquer maneira. A criptografia de disco completo é a opção mais fácil e segura.

 

Dica: Além disso, você pode usar uma cordinha (aquela para prender em câmeras) deixar amarrado um pendrive ao seu pulso. Em seguida, insira o pendrive no seu computador iniciando o usbkill. Se eles roubarem seu computador, o pendrive será removido e o computador será desligado imediatamente e o usbkill terá executado seu papel.

 

Download

Para baixar o usbkill, basta dar o comando abaixo:

git clone https://github.com/hephaest0s/usbkill.git

 

Execução

Para utilizar o usbkill, basta executar o comando abaixo:

sudo python usbkill.py

 

Fontes

  • https://github.com/hephaest0s/
  • Security Online

Sobre NullS3c

Possuo especialidade na área de computação forense. Mais informações sobre mim poderá ver em: https://www.linkedin.com/in/victor-cunha-8753073b/

  • Ciro Meneses

    Imagino que se eu fosse fazer uma auditoria em algum computador eu jamais o ligaria, ao invés disso eu faria uma cópia completa do HD e na cópia eu buscaria alguma coisa.

    • NullS3c

      Nos procedimentos de uma investigação forense o correto é sempre manter o PC ligado e coletar dados da memória e conexões da rede por um tempo e ai sim desligar e fazer um backup do HD e outras coisas. Pois depois que desligar você vai perder as provas como, por exemplo, se ele estava em um chat realtime planejando um ataque, você poderia identificar o grupo, coletar o que falavam, quem eram os membros e outras coisas, também na situação que o PC está com bitlock, ou um programa que está em memória que depois vai ser difícil de inicia-lo novamente e voltar no mesmo estado, como o caso de ter que usar senha para logar, ou está usando tails e tor e etc…

Free WordPress Themes - Download High-quality Templates