Achetez un adaptateur PS2 vers USB pour claviers + souris (important: les deux doivent être dans un port USB pour être sûr qu'il ne s'agit pas d'un connecteur direct naïf).

Ils ont une logique et coûtent environ 10 USD au moment de la rédaction.

Ensuite, achetez des adaptateurs USB vers PS2 pour les souris et le clavier (adaptateurs séparés).

Ils n'ont pas de logique, juste un câblage interne à chaque connexion et ils coûtent moins de 5 USD au moment de la rédaction.

Mettez-les ensemble. Oui, cela a l'air génial, mais les appareils fonctionneront toujours comme prévu. Désormais, même si l'un des câbles accessibles par l'utilisateur est épissé, ils ne peuvent pas ajouter de nouveau matériel autre que des souris et des claviers génériques.

De bonnes choses à ce sujet:

• bon marché
• simple
• implémenté par le matériel
• protège contre périphériques inconnus
• Indépendant du système d'exploitation

MISE À JOUR: J'ai vérifié manuellement, deux fois, qu'il n'y avait pas de continuité entre les données / données + broches de l'USB et les broches data / clk PS2 (ou toute autre broche ps2) sur un adaptateur deux-en-un. Il existe cependant une continuité sur les adaptateurs à port unique, mais ce n'est pas important tant que l'un des adaptateurs implémente une sorte de logique comme le fait le deux-en-un. Le branchement de l'adaptateur vide à une boîte Windows devrait provoquer le "ding d'insertion USB"; sinon c'est un adaptateur physique naïf.

L'adaptateur double PS2-USB que j'ai spécifiquement testé était un "ez-pu21", toujours disponible sur amazon.

MISE À JOUR # 2, 2 choses:

• il y a des attaques de clavier USB, vous devez donc verrouiller correctement le système d'exploitation pour maintenir la sécurité.
• on peut entrer dans le bios avec un clavier, et je ne le suis pas sûr à quel point c'est risqué pour l'exfiltration, ou si tout ce qu'ils peuvent faire est de «casser» l'ordinateur.

MISE À JOUR # 3: Après avoir utilisé les adaptateurs double en ligne pendant environ 24 heures, je peux dire qu'ils fonctionnent, mais pas tout à fait à 100%, peut-être 99%. Lorsque je faisais de la programmation sérieuse (dactylographie), j'ai remarqué que les touches étaient maintenues enfoncées pendant environ 1/3 de seconde. C'est avant ma répétition typique environ 2/3 par seconde après la presse, et cela ne se répète qu'une fois; menant à des trucs comme "biig" au lieu de "gros". Je ne l'ai remarqué que quelques fois, tard dans la nuit, mais je voulais en parler. Je ne l'ai même remarqué qu'après des heures d'utilisation, mais si vous écriviez un roman, cela pourrait être frustrant. Cela pourrait simplement être l'adaptateur bon marché que j'ai utilisé, les très longs câbles que j'utilise ou quelque chose d'autre que personne ne connaîtra.

BONUS: (lié mais OT): Je viens de réaliser ces commutateurs usb bon marché ne connectez pas les broches de données, elles sont trop bon marché pour changer les 4 fils, faisant ainsi un "préservatif USB" bon marché pour ceux qui désirent une telle chose, je pensais que je partagerais. préservatifs bon marché, comment pouvez-vous vous tromper?

Vous prenez le mauvais côté du problème. Si une personne en qui vous n'avez pas confiance peut accéder à une machine, la machine a été compromise. Arrêt complet.

C'est la raison pour laquelle l'accès aux salles serveurs est hautement contrôlé, et pourquoi les administrateurs ne se soucient normalement pas de la sécurité physique des connecteurs: la ligne de défense n'est pas au niveau du connecteur mais au niveau de la salle contenant la machine.

Cela étant dit, vous pouvez imaginer des pilotes USB spéciaux qui n'autorisent que des identifiants matériels spécifiques. Vous ne pouvez tout simplement pas les installer par défaut lors de l'installation d'un noyau sur une nouvelle machine à cause d'un problème de poule et d'oeuf, mais après une installation initiale, vous pouvez créer un noyau personnalisé avec ces pilotes USB spéciaux. Mais comme il existe de nombreuses autres possibilités de compromettre une machine lorsque vous y avez physiquement accès, c'est simplement à mon humble avis une perte de temps et d'énergie ...

Et de toute façon, rien n'empêche une organisation maléfique et puissante de se construire un clavier USB spécifique qui se présente avec l'ID et l'apparence d'un clavier innocent d'un fabricant de matériel bien connu mais qui contient un keylogger. Si vous ne faites pas confiance à votre administrateur, il pourrait remplacer le clavier lors d'un redémarrage du système. Comme je l'ai déjà dit, si un méchant pouvait toucher la machine, il est compromis, et s'il ne le pouvait pas, vous ne devriez pas vous soucier des connecteurs USB.

Sur les systèmes Windows, vous pouvez bloquer ou restreindre les périphériques USB via une stratégie locale ou de groupe depuis au moins Windows Vista. En définissant les stratégies «Accès au stockage amovible», vous pouvez désactiver la connexion des périphériques de stockage USB (cette catégorie comprend un grand nombre de périphériques USB néfastes). Ces paramètres empêchent Windows d'interagir avec les périphériques car cela empêche le chargement des services.

https://community.spiceworks.com/how_to/25619-blocking-usb-devices-and-removable- media https://technet.microsoft.com/en-us/library/2007.06.grouppolicy.aspx

Utilisez simplement un clavier et une souris PS / 2.

Ne vous embêtez pas avec les adaptateurs et autres types de préservatifs matériels. Il existe encore de nombreuses cartes mères disponibles avec des connecteurs souris et clavier PS / 2.

Demande de clarification: de quelles attaques vous préoccupez-vous? Par votre remarque sur le fait de ne pas vous soucier des photos de l'écran, je suppose que vous ne voulez pas que les données soient injectées dans le système, et que vous ne vous souciez d'aucune exfiltration de données.

Alors, comment pouvons-nous attaquer votre système, et que peut-on faire à ce sujet?

Attaques USB Atténuation &

Comme indiqué par d'autres, restez LOIN de l'USB. Le système d'exploitation NE PEUT PAS protéger de toutes les attaques. Nohl et al ont montré en 2014 comment attaquer le micrologiciel du microcontrôleur hôte USB, et leur attaque, nommée BadUSB s'est avérée utilisable même lorsque le système était dans le BIOS après redémarrage.

Une fois que les microcontrôleurs de l'hôte USB sont compromis, une charge utile malveillante pourrait éventuellement se faufiler sur le bus PCI pour modifier ou fouiller la mémoire.

Ces attaques peuvent-elles être évitées ou atténuées? OUI! Il existe au moins un périphérique de pare-feu matériel USB sur le marché, le USG, qui a été explicitement conçu pour lutter contre l'attaque BadUSB. Il ne traitera toujours pas les entrées clavier non fiables.

Entrées clavier non fiables, USB & PS / 2:

Le câblage PS / 2 suggéré par d'autres est également un concurrent sérieux, mais il n'y a aucune raison pour qu'un périphérique ne puisse pas être ajouté pour injecter toutes les frappes nécessaires, les mouvements de la souris & pour attaquer votre système (par exemple: ouvrir le bloc-notes ou tout ce qui me permet d'entrer des caractères, injecter les caractères binaires nécessaires pour former un programme, enregistrer sous .exe, courir!). Même BadUSB ne peut pas lutter contre cela.

Attaques HDMI Atténuation &

Vous autorisez la connexion d'un câble HDMI? Une recherche sur la sécurité (Dragos Ruiu) a fait au moins une remarque selon laquelle cela peut permettre l'utilisation d'Ethernet sur HDMI pour infecter le système restreint.

L'atténuation ici est simple: assurez-vous d'utiliser un câble HDMI sans les bits Ethernet, mais attention aux attaques DDC ...

Attaques vidéo DDC:

Pour être honnête, même VGA permettait le transfert numérique via une communication DDC bidirectionnelle (comme l'a fait DVI), ce qui a un potentiel d'exploitation; mais il est beaucoup moins susceptible d'être utilisé. Il n'est pas rare de mettre à niveau le micrologiciel des moniteurs via le DDC sur VGA / DVI / etc.

Travaillez comme HDMI - Hacking Displays Made Interesting by Andy Davis, Blackhat-EU-2012 is à propos de l'utilisation de DDC pour pirater des moniteurs, mais le bus I2C qui forme le lien DDC est bidirectionnel et pourrait être utilisé de manière créative pour piquer la carte vidéo de l'hôte.

Vous ne pouvez pas éviter le lien DDC car il est nécessaire pour le réglage le mode vidéo correctement.

Vous voudriez une diode de données en ligne à côté du PC pour votre clavier et votre souris, de sorte qu'aucune donnée ne puisse être envoyée du PC vers la pièce quoi qu'il arrive (puisque vous avez dit que le câble numéro 3 ne pose aucun problème). Vous trouverez peut-être mieux utiliser une souris et un clavier série.

Tout cela est une chapellerie en feuille d'étain au fait. voici un protocole de communication nommé tin foil chat qui montre des diodes de données pour les périphériques série, qui sont enveloppés dans une feuille d'étain. https://www.cs.helsinki.fi/u/oottela/tfc.pdf

L'ajout d'une diode seule ne crée pas une diode de données, comme avec une diode vous pourriez envoyer contre la flèche avec une tension inverse, les diodes de données utilisées dans le projet ont un optocoupleur pour empêcher les informations de voyager contre la flèche (sans avoir accès au matériel).

Après avoir essayé de montrer pourquoi le câble HDMI n'est peut-être pas un problème, j'ai proposé cette disposition de la pièce, l'idée est que vous mettez votre tête vers le dispositif de visualisation au microscope et cela vous permet de voir l'écran à travers une optique câble en fibre qui traverse le mur. Le clavier et la souris que vous apportez ne peuvent envoyer que des données, pas recevoir, car il y a la diode de données de l'autre côté du mur. Bob le gars de la sécurité est là pour vous tenir compagnie dans cet enfer sans fenêtre d'un lieu de travail, et pour vous expulser si vous commencez à parler à votre appareil d'enregistrement, mettez autre chose que votre œil sur le viseur ou essayez de percer le mur. Remarquez qu'il ne peut pas surfer sur aucune information. Vous seriez déconnecté si vous déplaciez la tête hors du viseur, pour vous connecter, vous devrez taper un mot de passe comme d'habitude, mais aussi taper rapidement les caractères qui apparaissent en alternance sur les écrans gauche et droit (il y a maintenant deux moniteurs qui mènent à chaque œil séparément). Cela vous évite de percer un globe oculaire et de le remplacer par un appareil photo (les pirates borgnes n'ont pas besoin de s'appliquer). Désormais, vous ne pouvez copier aucun fichier à partir du PC, Bob n'a pas à vous fouiller à nu pour du matériel d'espionnage, et tout le monde est content.

Tout ce que vous pourriez mémoriser à partir du système et emporter chez vous perd une certaine crédibilité, vous auriez pu simplement l'inventer au lieu de le mémoriser.

Une solution universelle pour tout système d'exploitation est de supprimer tous les pilotes USB sauf ceux dont vous avez besoin (HID). Assurez-vous cependant d'empêcher l'utilisateur d'installer de nouveaux pilotes.

Vous pouvez fixer le clavier à un bureau (par exemple avec des vis anti-vandalisme à travers la base du clavier) afin que le câble USB ne soit pas accessible, par exemple dans un canal découpé dans le bureau et recouvert d'une plaque métallique.

Vous n'avez pas besoin d'une souris filaire ou sans fil: vous pouvez utiliser une tablette filaire (par exemple une Wacom) avec le câble USB rendu également inaccessible . Vous pouvez obtenir une souris pour la tablette si les utilisateurs ne peuvent pas faire face à l'utilisation d'un stylo.

Bien sûr, un utilisateur particulièrement malveillant peut essayer de déchirer le clavier pour accéder à la connexion USB à l'intérieur, alors choisissez l'un des vandales - construction résistante, éventuellement avec une alarme pour que s’ils parviennent toujours à pénétrer à l’intérieur, quelqu'un soit alerté.

De plus, des claviers à montage sur panneau en acier inoxydable avec une boule de commande sont disponibles.

Comme d'autres l'ont déjà dit, spécialement robbat2 et Serge Ballesta ... Une fois que les gens ont physiquement accès à la machine, vous êtes à toutes fins compromis.

Vous pouvez rendre votre configuration plus sécurisée électroniquement dans un nombre de façons. Beaucoup d'entre eux couvriront probablement pratiquement tous vos cas d'utilisation. À moins que vous ne travailliez avec le gouvernement ou les entreprises top secret et que l'attaquant apporte une technologie spéciale avec eux, vous devriez être pratiquement en sécurité.

Mais la seule façon d'être sûr à 100% en termes académiques ici est de aller physique aussi. Vous avez besoin d'une personne en qui vous pouvez avoir confiance pour garder la machine.

Si vous êtes vraiment paranoïaque à propos de l'épissure de câbles et que c'est vraiment votre seul souci, vous pouvez couvrir la longueur des câbles de la souris et du clavier dans un treillis de cuivre qui est connecté à un capteur. Faites passer un courant et ayez un relais qui peut mesurer la tension en le vérifiant 24/7. Faites connecter le relais à une autre machine, peut-être un Raspberry Pi ou un Arduino, afin qu'il puisse déclencher une alarme au cas où le maillage serait dépourvu de puissance.

Il ne vous reste plus qu'à régler la tension sur le maillage. Utilisez un petit potentiel - disons de 3 à 12 volts - si vous voulez simplement savoir si les câbles ont été coupés ou non. Ou allez jusqu'au 220V ou plus si vous voulez qu'il serve de piège (certaines personnes diraient que c'est une chose contraire à l'éthique).

Et si ...

... nous avons connecté le clavier à un Raspberry Pi ou Teensy ( https://www.pjrc.com/teensy), programmé pour lire les touches et les «taper» à nouveau dans l'ordinateur? Je suppose que ce serait assez rapide pour éviter toute latence perçue. Cela agirait comme un "pare-feu USB pour clavier", et un autre pareillement comme "pare-feu USB pour souris".

L'ordinateur identifierait le Teensy comme "FirewalledKeyboard" ou "FirewalledMoused". Il n'est pas nécessaire que l'ordinateur voie le clavier ou la souris d'origine.

Fait intéressant, l'utilisateur @ robbat2 a pointé du doigt un pare-feu USB qui empêche certaines attaques USB de bas niveau:

• https://github.com/robertfisk/USG/wiki
• https://github.com/robertfisk/USG/wiki/Hardware-(DIY-v0 .9)

Il me semble que cela pourrait également être modifié pour permettre la connexion uniquement des claviers et des souris.

Nous pouvons également ajouter Solution de câbles PS / 2 (voir réponse utilisateur @dandavis) entre le clavier et le "USB Firewall".

J'ai envoyé un e-mail à Robert Fisk, créateur de (open source) USG, et je lui ai demandé (condensé):

Bonjour M. Robert Fisk,

Votre USG peut-il être modifié pour qu'il n'autorise que les claviers et souris à se connecter, et empêche également que des informations soient envoyé de l'ordinateur au clavier? Si j'achète votre matériel USG prêt (au lieu de construire le mien), est-il possible de changer son firmware? Combien coûte chaque USG?

Il a répondu:

Salut Marcelo. Le micrologiciel peut facilement être transformé en un périphérique «clavier uniquement» ou «souris uniquement». Vous pouvez également désactiver la communication ordinateur-clavier qui met à jour les voyants de majuscules, de défilement et de verrouillage numérique. Cependant, vous serez toujours vulnérable à un utilisateur malveillant tapant un mauvais script VBScript, Powershell ou même binaire utilisant des codes ALT ascii qui effectueront des actions malveillantes. Oui, vous pouvez certainement programmer dans votre propre firmware, voir cette page: https://github.com/robertfisk/USG/wiki/DFU-Firmware-Upgrade

J'espère que cela vous aidera!

S'il vous plaît notez que je n'avais jamais parlé à M. Fisk avant cet e-mail, et je n'avais jamais entendu parler d'USG avant de poser cette question. Je ne suis en aucun cas connecté à USG ou à son créateur et je ne l'ai jamais utilisé, testé ou étudié. Personnellement, je ne sais pas si cela convient à l'emploi. Je publie juste cette information parce que je pense que c'est intéressant et peut-être utile.

Si à la fin je décide d'acheter un USG et de modifier son firmware, je vais probablement ouvrir le nouveau firmware dans GitHub et liez-le ici.

Et voilà. Epoxy, colle chaude, etc. Vous avez donné des exigences et des conditions très spécifiques sans donner beaucoup de base sauf "Données hautement sensibles".

Votre question suggère que l'utilisateur PEUT débrancher et insérer des périphériques USB dans l'ordinateur MALGRÉ le la nature que vous avez décrite à l'origine. Cela implique un accès physique à une partie du système. L'ancienne règle dit "l'accès physique l'emporte sur tous les autres contrôles".

C'est la meilleure réponse que je puisse trouver, étant donné vos conditions supposées. J'ai travaillé dans des environnements gouvernementaux à haute sécurité, avec des solutions interdomaines, et c'était plus facile. La réponse simple est généralement la réponse la plus sûre.

Vous pouvez utiliser une souris et un clavier sans fil si l'ordinateur avec les ports USB n'est pas trop loin de votre station d'entrée.

D'après votre commentaire sur l'une des réponses: Le concept de "toucher la machine" est ici le problème.

Donc, cette réponse suggère plutôt une approche différente que de vous concentrer sur les ports USB.

1. Pourquoi ne pas utiliser le sans fil? Le clavier et la souris sans fil vous empêchent d'utiliser des fils.

2. Accès à distance à un ordinateur , il existe des applications / logiciels qui vous permettent de contrôler un autre ordinateur à distance, localement. Cela a du sens, si vous effectuez une configuration de type serveur.

3. Contrôler le curseur et les touches du clavier via le périphérique du réseau local (routeur)? Je ne sais pas si c'est possible, mais si c'est le cas, les routeurs ont un filtrage d'adresse Mac, et ces périphériques d'entrée doivent avoir leurs propres adresses MAC. Jetez un œil à cette souris HP Wifi, mais d'après les avis en ligne, elle semble boguée.