usbdeath: script antiforense para USBs mediante reglas udev

El año pasado os hablábamos muy brevemente de usbkill, un pequeño script en Python que apaga el PC en cuanto detecta cambios en cualquier puerto USB, muy útil para joder impedir el trabajo del forense de turno que conecta un disco para extraer un volcado de memoria.
Hoy os traemos usbdeath otra herramienta inspirada en usbkill pero con algunas diferencias:

- está escrita en bash
- no es un daemon en sí mismo si no que usa la monitorización y manipula las reglas de udev, ya sabéis, el gestor de dispositivos que usa el kernel Linux desde la versión 2.6. Crea reglas udev para los dispositivos USB conocidos y permite acciones en caso de cambios con los mismos o con dispositivos desconocidos.
- utiliza más valores de identificar dispositivos USB (nombres y números de serie)

Para empezar a usarlo simplemente elimina o comenta la línea del script demo='yes' y edita los triggers (por defecto sync y poweroff).
Luego es recomendable ponerlo en el PATH y no moverlo después de activarlo, ya que el archivo de reglas /etc/udev/rules.d/00-usbdeath.rules se basa en la ruta de acceso absoluta.
No obstante se puede cambiar en la sección de configuración "avanzada".

Uso: usbdeath acción

Las acciones disponibles son:
o, on - activar usbdeath
x, off - desactivar temporalmente usbdeath
j, eject - añadir una entrada en un evento eject
g, gen - generar o refrescar el fichero whitelist de udev
d, del - borrar el fichero de reglas de udev
t, trigger - disparar un evento al insertar o quitar el dispositivo
e, edit - editar el fichero de reglas udev manualmente
s, show - mostrar los dispositivos usb conectados

Github: https://github.com/trpt/usbdeath

3 comentarios :

  1. cual es mejor de los dos?

    ResponderEliminar
  2. hola. muy interesante este proyecto. Aunque me hubiese gustado que en lugar de hacer un sync y poweroff, simplemente acepte solamente los dispositivos que se generen en 00-usbdeath.rules (y el resto bloqueado)

    ResponderEliminar
  3. hice un fork de ese proyecto, para agregarle unas cositas (que solo bloquee o que apague el terminal (modo paranoico), y que el log brinde mas info de la usb ilegal)
    https://github.com/maravento/blackusb

    ResponderEliminar