Je dobrý nápad vystavovat USB port počítače, a strkat do něj zařízení které je potenciálně nedůvěryhodné? To USB zařízení může například přepětím odpálit celý počítač, nebo se identifikovat jako human interface device a poslat stisky kláves, které spustí shell, stáhnou malware a spustí ho.
http://arstechnica.com/security/2015/10/usb-killer-flash-drive-can-fry-your-computers-innards-in-seconds/
http://arstechnica.com/security/2014/07/this-thumbdrive-hacks-computers-badusb-exploit-makes-devices-turn-evil/
Ještě než se tu objeví názor někoho, kdo se nad tím nezamyslel, a napíše „to jako budeš každý den povolovat svoji klávesnici“ a „jak povolím klávesnici, když nemám klávesnici“.
Ad. 1) Samozřejmě že ne. Svoji klávesnici připojuji doma, případně v práci. To je pro notebook poměrně dobře definované, protože se právě probudil, visí to na hubu (přičemž útočník by musel naemulovat hub, myš i klávesnici včetně správných USB ID a pořadí portů) a vidí kolem sebe třeba určité WPA wifi sítě nebo je v ethernetu, kde se může zeptat nějakého vnitřního SSH serveru.
Další možností je koncept, na který přistoupil QubesOS. Počítače mají hodně USB portů a některé prohlásíme za důvěryhodné a některé ne.
Ad. 2) Já mám PS/2, ale řekněme, že nemáte. Mohlo by to třeba akceptovat první klávesnici připojenou při bootu. A abychom se nedostali do deadlocku při výměně klávesnice, bylo by též možné "Pro autorizaci napište na klávesnici nc1y". Pokud by to byla interaktivní klávesnice, mohu ty čtyři klávesy zmáčknout a tím se to potvrdí.
Další možnost je mít desktop s přepínáním různých úrovní zabezpečení, což je stejně rozumné, abyste neměli třeba v ssh-agentovi trvale odemčený SSH klíč od důležitých serverů, i když zrovna jenom kecáte na Rootu. Některá úroveň by pak počítala s připojováním USB zařízení, některá ne.
A jinak na Linuxu se to dá částečně implementovat pomocí options usbcore authorized_default=0 a /sys/zařízení/authorized.
Coz uz na rozdil od "Vase klavesnice napsala ALT-2 rm -rf /" dava smysl (zda to za tu praci stoji je jina, neni lepsi proste nestrkat do pocitace nezname veci a vyresit tak 95% posobnych problemu?). Navic jeste musis pocitat pri takovemhle nastavovani s tim, ze chces, aby se YubiKey choval jako klavesnice, takze trebas pravidlo "jen prvni klavesnice" stacit nebude.
Ostatne s tim strkanim veci do portu se muzes dockat daleko horsich veci, nez klicenky, co umi psat.
> zda to za tu praci stoji je jina, neni lepsi proste nestrkat do pocitace nezname veci a vyresit tak 95% posobnych problemu?
Není volbou, pokud tvoje práce zahrnuje kopírování věcí ostatním lidem na flashku nebo prostě používání různých USB periferií. Od JTAG debuggeru po softwarově definované rádio.
> Ostatne s tim strkanim veci do portu se muzes dockat daleko horsich veci, nez klicenky, co umi psat.
Povídej.