bloghoved ole tange

USB-batteri - for din sikkerheds skyld

Har du ubeskyttet sex med folk du ikke kender? Har dit udstyr ubeskyttet USB-sex med porte du ikke kender?

I Hong Kongs lufthavn har de aflåste skabe, hvor man kan lægge sin mobiltelefon til opladning.

Illustration: (CC-By-SA) Ole Tange

Men har du lyst til at forbinde dit udstyr til udstyr, som du ikke har nogen grund til at have tillid til? Jeg har ikke. Specielt ikke efter at have læst om USB-killer og BadUSB.

Man kan købe USB-kondomer, som stopper datatrafik ved at klippe de to datakabler over, så kun strømkablerne føres igennem. Samme effekt kan man få med et lettere defekt USB-kabel.

På min sidste udlandsrejse havde jeg ikke et sådant kondom med. I flyet var der USB-porte i sæderne. Fin service; så kunne man f.eks. lade sin mobiltelefon op, men jeg havde ærligt talt ikke lyst at eksperimentere med usikker USB-sex. Heldigvis havde jeg mit USB-batteri med; og ved at oplade via det er jeg ret sikker på, at der ikke kom snavs ind på min mobiltelefon, og 100% sikker på at data i hvert fald ikke røg den anden vej.

Illustration: (CC-By-SA) Ole Tange

Så i fremtiden husker jeg at have mindst eet USB-batteri med. Men gerne to så man kan sætte det ene til at oplade, mens det andet aflader.

(Foto: http://memegenerator.net/)

USB-firewall

Men ind i mellem vil jeg faktisk gerne tillade noget USB-datatransport til enheder, jeg ikke har tillid til. F.eks. når nogen spørger om de må få mine slides eller lignende. I praksis er det begrænset til USB-storage. Jeg kunne derfor godt tænke mig et lille USB-filter, der kun tillader USB-storage kommandoer at komme igennem. Så ville jeg roligt kunne lade andre at sætte deres inficerede USB-enheder til min maskine, og jeg ville roligt kunne sætte mit USB-drev i andres maskiner.

Hvis du finder en sådan dims, der kun tillader USB-storage, så smid lige en kommentar.

Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Nobel

Hvad om man tog en Raspberry Pi og benyttede til formålet?

Bevares, den er ikke helt lille sammenlignet med en ren USB pind, men til gengæld så kan man selv have helt styr på hvad der sker.

Og RPi'en har den fordel at der hverken er bios eller rom der kan blive inficeret.

  • 2
  • 0
Michael Kjems

God ide med RPi, men med de ældre modeller jeg har derhjemme, resetter eller fryser RPi'en hvis der trækkes for meget strøm ud af de udgående porte. Løser dette med et USB-hub, men det dur næppe i denne situation i flyveren.
Læste at man har forsøgt at gøre RPi-2'eren mere modstandsdygtig over for dette, men har ikke prøvet efter

  • 0
  • 0
Christian Nobel
  • 0
  • 1
Ole Tange Blogger

Jeg er ikke sikker på hvilket problem det skulle løse. Det løser ikke mit. Jeg har brug for at kunne tilslutte et "ondt" USB-drev til min computer og tilslutte mit USB-drev til en "ond" computer.

Din løsning virker ikke for det "onde" USB-drev, for hvis jeg skal gemme mine slides på USB-drevet, så skal drevet være read-write. For SD-kortet bør du huske at switchen ikke styrer hardware, men det alene er software, der skal respektere, at kortet er read-only.

Din løsning virker ikke for den "onde" computer, for den skal jo netop kunne skrive på mit USB-drev (f.eks. gemme hans slides på mit drev).

  • 2
  • 0
Henrik Tietgen

@Hr Nobel:
"Endnu en gang, læs spørgsmålet." Præcis hvad jeg har gjort OG svaret på.

@Hr Tange:
"F.eks. når nogen spørger om de må få mine slides eller lignende. "
- Min ide var kun i forhold til din overstående sætning.
Du låner din skrivebeskyttet ikke inficeret USB pind ud, med slides til kopiring i vedkomnes egen computer, uden at den kommer inficeret retur

  • 5
  • 2
Jacob Andersen

@Henrik: Jeg må desværre holde med Christian her. Blogindlægget starter med at sætte en scene, der involverer USB-Killer, BadUSB og det der er værre, så den fundamentale antagelse er, at man ikke kan stole på at udstyret opfører sig efter "specs'ene". Så hjælper det ikke med en ikke-løsning, der oversat lyder "du må stole på at udstyret opfører sig korrekt" (hvilket er antagelsen bag skrivebeskyttelses-switchen).

@Christian: Da jeg først læste indlægget tænkte jeg, at der da må findes nogle "udvidede" USB kondomer, der kan gøre det - noget med en embedded mikrocontroller med både USB host og device. Men din løsning er så enkel (omend fysisk kluntet), at jeg godt kunne finde på at bruge den. Jeg vil dog nok sætte Pi'en op med et minimalt Linux billede på et read-only filsystem, kun med en SSH server. Så kan man sætte den (muligvis) onde USB stick i Pi'en, og så mounte diskens indhold via netværk og sshfs på sin laptop.

  • 1
  • 0
Ole Tange Blogger

Det er korrekt, at jeg i princippet heller ikke kan stole på batteriet, og at USB-kondomet eller det halvdefekte kabel vil være sikrere. Men rent datastrømsmæssigt er det svært for batteriet at tappe min telefon og komme af med data, da det typisk bliver ladet op af min egen charger.

Derudover vil jeg i praksis have langt større tillid til et batteri, som jeg har brugt uden problemer i flere år, end en tilfældig USB-port i et fly eller en lufthavn.

  • 1
  • 0
Christian Bierlich

Jeg deler altid slides ved at lægge dem online. Enten på min egen server eller den konferencen stiller til rådighed. Jeg har aldrig USB-penne med ud selv, og fremmede får bestemt ikke lov til at putte deres udstyr ind i min computer.

  • 2
  • 0
Ole Tange Blogger

Hvis filerne er små og der er en rimelig internet forbindelse kan man nok overtale modtageren til at bruge cloud storage - også selvom han står og vifter med en USB-stick. Det er sværere, hvis du skal overbevise afsenderen om, at han skal til at benytte noget, som han ikke benytter, og han siger: "Jo dem må du gerne få. Har du et USB-drev?".

Slides er kun eet eksempel. Det kunne f.eks. også være en video af hele dagen, som let tager 100 GB i råformat: Skal videoen først uploades over en ADSL, så tager det ret lang tid, og Dropbox's default er desuden 2 GB plads - så noget mere bøvlet end lige at tilslutte en USB-harddisk i en time.

  • 0
  • 0
Allan Ebdrup

Slides er kun eet eksempel. Det kunne f.eks. også være en video af hele dagen, som let tager 100 GB i råformat: Skal videoen først uploades over en ADSL, så tager det ret lang tid, og Dropbox's default er desuden 2 GB plads - så noget mere bøvlet end lige at tilslutte en USB-harddisk i en time.

Da jeg skulle have de rå video-filer fra min talk sidst, sendte jeg et link hvor der kunne uploades til min betalte Dropbox.
Det var også smart da jeg delte video-filerne de to personer der var inde over redigeringen - som sad i Aarhus.

Har du prøvet det? Der er mange andre løsninger end Dropbox.

  • 2
  • 0
Ole Tange Blogger

Igen kræver det, at du skal overbevise afsenderen om at benytte noget, som hun ikke benytter til daglig. Og med en langsom ADSL, så kræver du i praksis at hun skal få det gjort på et senere tidspunkt og give dig besked, når det er gjort. Jeg kan sagtens se, at cloud-storage kan være en løsning, hvis begge parter er med på den og i praksis vil få det gjort, men det er ikke altid tilfældet.

Men hvis man selv er afsender, så kunne man jo selvfølgelig bruge det til at promovere ens favorit cloud-storage: http://metadisk.org/ ("Du kan hente det med Metadisk eller også kan du rende og hoppe.")

  • 1
  • 0
Henrik Eriksen

http://www.instructables.com/id/USB-Condom/?ALLSTEPS

Det system er alt for usikkert! Den tape bliver slidt af på et tidspunkt, eller klisteret bliver for gammelt/mættet med skidt hvorefter tapen falder af.
Og det vil jeg æde min hat på tager mindre end et halvt år.

Han skriver selv at det er vigtigt at tapen dækker begge ledere helt. Det er umuligt at den tape skulle kunne ligge helt fast derinde, når den samtidig skal hives ud og ind af USB-sokler.

Han kan selvfølgelig kontrollere om tapen er på plads hver gang han skal bruge kablet, men det er ikke nogen anbefalelsesværdig løsning.
Sådan noget skal bare virke uden at man tænker over det, og hvis man fysisk klipper de to dataledere over, så er den sikker.

Det er den her tape-løsning overhovedet ikke.

  • 2
  • 0
Benny Lyne Amorsen

Det er svært at forestille sig at filsystemsdriverne er robuste nok til at modstå en ondsindet USB-stick. Det har aldrig været et seriøst scenario i testen af driverne at der kommer bevidst ondsindet dynamisk korruption ind i datastrukturerne.

Jeg vil godt vædde på at der er mængder af zerodays gemt i driverne.

Hvis du vil noget, så skal du bruge en lille USB-HD-server som f.eks. en lille router. Skulle den blive angrebet, så er der trods alt ethernet mellem den og din computer. Det er ekstra godt hvis du kan få den til at dele drevet med HTTP WEBDAV.

Det ville være let at lave en minimal dims med en ethernetport og en USB-port, og den ville ikke koste meget. Men fabrikkerne gider som regel ikke lave noget i mindre end 100.000 eksemplarer...

  • 0
  • 0
Knud Jensen

Den her dims, løser problemet med usikre kilder ved opladning, og fylder tilpas lidt.
http://www.startech.com/Cables/USB-2.0/USB-Adapters/USB-2-Fast-Charging-...

Og til deling af data på USB, bruger jeg en lille WiFi dongle, samt en FTP App på min telefon.
Man starter App'en, sætter donglen i maskinen, ændrer lige hurtigt nettet til at køre over donglen, og så flytter man filerne over via FTP til telefonen.

Selve WiFi donglen er en fra Sandberg, som fylder så lidt at den nemt kan sættes i enden på Startech adapteren, og samlet fylder det hele det samme som et enkelt USB-flash stik :)

  • 0
  • 0
Troels Henriksen

Det er svært at forestille sig at filsystemsdriverne er robuste nok til at modstå en ondsindet USB-stick. Det har aldrig været et seriøst scenario i testen af driverne at der kommer bevidst ondsindet dynamisk korruption ind i datastrukturerne.

Det virker ikke så svært at løse. De fleste USB-pinde benytter FAT32 eller lignende. Det er ikke noget videre kompliceret filsystem at implementere - vi har engang gjort det i en ugeopgave på DIKU - og ved brug af FUSE kunne man implementere det i et sikkert højniveausprog, som f.eks. Python (for nu at tage en laveste fællesnævner). Ydelsen bliver selvfølgelig derefter, omend ikke så sårlig som man kunne tro, da man alligevel kommer til at vente på I/O det meste af tiden. Til gengæld vil programmeringsfejl ikke manifestere sig ved vilkårlig kodeafvikling og lignende dårligdomme.

  • 0
  • 0
Christoffer Kjeldgaard

Det ville være let at lave en minimal dims med en ethernetport og en USB-port, og den ville ikke koste meget. Men fabrikkerne gider som regel ikke lave noget i mindre end 100.000 eksemplarer...

De fleste moderne routere har en eller flere USB-porte, der understøtter samba eller WebDAV.

Nogle bundkorte understøtter også charging only option i BIOS - Det har forresten også været muligt i tidligere udgaver af Android at indstille telefonen til ikke at acceptere andet end strøm - den feature er da mere relevant nu end nogensinde.

Det er svært at forestille sig at filsystemsdriverne er robuste nok til at modstå en ondsindet USB-stick. Det har aldrig været et seriøst scenario i testen af driverne at der kommer bevidst ondsindet dynamisk korruption ind i datastrukturerne.

Jeg er ikke sikker på hvad du mener. Stack, buffer og heap overflow er da almindeligt kendt. Normalvis beskyttes der ikke for det i selve driveren, hvilket heller ikke giver mening.

Enten sker det i kontrollaget mellem driveren og grænsefladen til eksempelvis memory (firmware), eller også håndteres det i grænseflade-implementationen af den software, der bruger driveren.

  • 0
  • 0
Christoffer Kjeldgaard

Er der slet ingen der har tænkt på blot at slukke sin telefon eller tablet, når man oplader den et fremmed sted?
Så bliver den også opladt hurtigere fordi der ikke skal bruges strøm på at holde den i live.

Sådan fungerer det desværre ikke i praksis. Hvis du har en Apple enhed kan du kun oplade den i slukket tilstand ved at starte opladningen og derefter slukke enheden. De fleste nyere Android enheder har 2 opladetilstande: MTP-baseret opladning og offline opladning. Hvis telefonen ikke modtager nok strøm, vil den automatisk tænde og forsøge at forbinde via MTP. En lader skal derfor bare have et lavt nok strømniveau for at telefonen vil forsøge at forbinde.

  • 3
  • 0
Fini Alring

Jeg købte for nyligt et USB batteri via en annonce på min facebook side.
Forleden da jeg skulle bruge den for første gang, slog det mig hvor nemt det ville have været for en 'ondsindet organisation' at få den annonce 'smidt' i hovedet på mig, for derefter at sende mig en 'special edition' af et USB batteri, som ved brug jailbreakede og/eller inficerede de tilsluttede gadgets. Nu frygter jeg heldigvis ikke at være mål for et målrettet angreb, men der kan sagtens være tale om mindre målrettede angreb imod masserne. Så det er værd at huske på at vi muligvis går rundt og spreder små ubehageligheder på de mest mærkværdige måder, selvom de ikke nødvendigvis er møntet på vores gadgets eller IT systemer.

Vi skal ikke mere end et par år tilbage for at finde en generel høj-risiko fejl i Windows JPEG bibliotek, hvilket i praksis gør et tilfældigt selfie billede til en smitsom pestilens. Det gør det absolut ikke bedre at vores gadgets nu også kan deltage i denne virusfest, da de jo som bekendt opdateres endnu sjældnere end software på pc'ere og mobiler.

  • 0
  • 0
Richard Foersom

@Maciej Szeliga

Jeg ville nok stole mere på en hjemmelavet USB ledning med klippede dataledere.


Hvis man klipper dataledere tillader USB (2) standarden kun at oplade med 500 mA. Hvis der er 200 ohm modstand mellem D+ og D- dataleder er det signal til mobiltelefonen (eller andet USB device) at den kan lade med op med 1.5 A. F.eks. min Galaxy S4 kan oplade med ~1.1 A på en sådan oplader. Uden 200 ohm forbindelsen (power-only kabler) lader den kun med 500 mA.

Så hvis du ved at USB stikket kan levere nok strøm, skal dit "klippede kabel" altså have 200 ohm modstand indsat for at få hurtig opladning.

Dette er faktisk ikke nogen nyhed, det er noget der har været i USB standard siden mindst 2009. Min tidligere Galaxy S1 (2010) kunne også lade hurtigere på denne måde.

  • 1
  • 0
Martin Birk

Lige en kommentar ang behovet for flere powerbanks her 3 år senere:
En Urban Revolt powerbank fra Trust kan både oplades og oplade en telefon samtidigt (pass-through charging), hvilket er lidt usædvanligt.

Jeg har den her (lidt ældre) model. Der er endda en indikator for batteriniveau:
https://trust.com/en/product/19856-powerbank-4400-portable-charger-white

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize