วันนี้ได้ความรู้ใหม่เกี่ยวกับ USB Security จากกระทู้ใน SANS ICS Community มาประมาณนี้
กรณีที่ไม่ต้องใช้ USB
- รัน regedit แล้วไปที่
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
สร้างREG_DWORD
value ชื่อStart
แล้วใส่ค่าเป็น4
- disable USB port ใน BIOS และใส่พาสเวิร์ดใน BIOS ด้วย เพื่อป้องกันการแก้ไข
- ถ้าจะให้ชัวร์ก็ทำลาย port USB ไปเลย เค้าบอกว่าพวกอุปกรณ์ที่ใช้ lock port บางทีก็แกะได้ง่ายๆ ด้วย swiss army knife
กรณีที่ยังต้องใช้ USB อยู่
- ใช้ sheep dip PC หรือ clean kiosk แสกน USB drive ก่อนนำไปใช้ในระบบ (เพิ่งเคยได้ยินคำว่า sheep dip PC ก็วันนี้ 😅) เครื่องพวกนี้ปกติจะไม่ต่อเน็ตเวิร์ก และมีโปรแกรม antivirus มากกว่าหนึ่งยี่ห้อ เพื่อสแกนไฟล์ใน USB drive
- ใช้วิธี transfer ข้อมูลจาก untrusted USB drive มาใส่ใน trusted USB drive ก่อนเอาไปใช้ในระบบ (USB sanitizer) ลอง google ดูพบว่ามี solution แบบ open source ที่น่าสนใจคือ CIRCLean
- solution แบบไม่ฟรี แต่คิดว่าคอนเซปต์น่าจะคล้ายๆ กันคือ ODIX ในหน้าเว็บเค้าเรียกว่า Content Disarm & Reconstruction แต่อ่านคำอธิบายแล้วเหมือนเอา sheep dip PC กับ USB sanitizer มารวมกัน