Usbrip: una eina per al seguiment de dispositius USB

Darkcrizt

4 minuts

usbrip

Quan s'és un administrador de sistemes generalment dins les tasques més quotidianes que solen realitzar (A més de la creació i recuperació de contrasenyes de correu electrònic), hi ha el manteniment i supervisió dels equips.

En on generalment per evitar-se tants problemes se solen limitar les funcionalitats de l'equip pel que fa a instal·lació d'aplicacions i més de realitzar algunes restriccions dins de la xarxa empresarial. En aquestes tasques comunes molts solen subestimar el personal que utilitza els equips, a el sol realitzar limitacions simples.

Són pocs els administradors de sistemes que tenen sota el seu càrrec equips amb Linux realitzar la compilació de el nucli pel seu compte per poder realitzar les restriccions, on generalment passen per alt els ports USB.

Aquí és on entra una excel·lent eina que em vaig trobar a la xarxa navegant. El seu nom és Usbrip, El qual al paraules del seu creador

"És una eina forense de codi obert amb interfície CLI que li permet realitzar un seguiment dels artefactes de el llapis (és a dir, l'historial d'esdeveniments USB) en màquines Linux"

USBRip permet poder veure amb més claredat ràpidament mitjançant l'anàlisi dels registres de Linux. Aquest petit programari escrit en Python 3 pur (utilitzant alguns mòduls externs) que analitza els arxius de registre de Linux ( / Var / log / syslog * i / var / log / messages * depenent de la distribució) per construir taules d'historial d'esdeveniments USB.

Dins de la informació que proporciona, Se'ns desplega el següent: Data i hora d'inici de sessió, usuari, ID de l'proveïdor, ID del producte, fabricant, número de sèrie, port i data i hora de tancament de sessió.

A més, també pot:

  • Exportar informació recopilada com un bolcat JSON (i obrir aquests bolcats, és clar);
  • generar una llista de dispositius USB autoritzats (de confiança) com JSON (anomeneu-auth.json).
  • Cercar esdeveniments «violació» basant-se el auth.json: mostrar (o generar un altre amb JSON) dispositius USB que apareixen a la història i no apareixen en el auth.json.
  • Quan s'instal·la amb -s * crea emmagatzematges encriptats (arxius 7zip) per fer còpies de seguretat i acumular esdeveniments USB automàticament amb l'ajuda de l'crontab. A més de poder buscar els detalls addicionals sobre un dispositiu USB específic en funció de la seva VID i / o PID.

usbrip1

Com instal.lar Usbrip en Linux?

Per als que estiguin interessats en poder instal·lar aquesta eina, han de comptar amb Python 3 instal·lat en el seu sistema així com també pip (el sistema de gestió de paquets de Python)

Per realitzar la instal·lació de Usbrip només cal obrir una terminal i en ella teclejar la següent comanda:

pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm

Ara de la mateixa manera poden descarregar el codi de el projecte i utilitzar l'eina des d'aquest. Per a això només han de teclejar des d'una terminal:

git clone https://github.com/snovvcrash/usbrip.git usbrip

I després entren a directori amb:

cd usbrip

I solucionem les dependències amb:

python3 -m venv venv && source venv/bin/activate

Ús de Usbrip

L'ús d'aquesta eina és relativament senzill. Pel que per veure l'historial d'esdeveniments només executem la següent comanda:

usbrip events history

O

python3 usbrip.py events history

On es mostraran els esdeveniments. De la mateixa manera es poden filtrar per dies o un rang d'especial.

Per exemple

usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"

O

python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"

Amb aquesta acció, es mostrés la informació de tots els dispositius USB externs connectats a l'equip durant el període Oct 10 a l'15.

Per treballar amb filtres. Hi ha 4 tipus de filtrat disponibles: només esdeveniments USB externs (dispositius que es poden extreure fàcilment -i); per data (-d); per camps (-user, -vid, -PID, -product, -manufact, -serial, -Port) i pel nombre d'entrades que s'obté com la sortida (-n).

Per generar un arxiu JSON amb els esdeveniments:

usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'

O

python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'

El qual contindrà informació dels primers 10 dispositius connectats al 30 d'octubre de l'2019.

Si vols conèixer més a l'respecte sobre l'ús d'aquesta eina pots consultar el següent enllaç.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.