USB接口爆安全漏洞,影响全球数十亿设备

当前位置:关于我们 >  应用之道

USB接口爆安全漏洞,影响全球数十亿设备

位于柏林的SR安全研究实验室专家近日发现了一个代号“BadUSB”的重大USB安全漏洞——USB接口控制器芯片固件可以被重新编程,用于恶意用途,而最糟糕的是,这种重新编程行为几乎无法被察觉和侦测。

过去安全专家们一再强调的是对U盘使用的管理,而代号“BadUSB”的安全漏洞曝光后,USB成了世界上最危险的数据接口,除非仅仅用于充电,原 则上讲,你甚至不能在电脑和手机上插入任何USB设备(包括USB键盘,安全专家们赶紧快去找带PS2接口的老款键盘吧),而不仅仅是U盘。

USB遗留如此严重的安全漏洞的主要原因是负责USB标准组织——USB部署论坛长期以来重点发展USB的接口性能和功能性,而牺牲了安全性。

如今的USB接口功能出奇的丰富,几乎无所不能,例如你可以将任何USB周边设备连入主机,这些都是通过USB类库和分类驱动实现的。所有USB 备都有一个类库,常见的如HID人机设备(例如键盘鼠标),无线控制(如蓝牙),以及大规模存储(例如U盘数码相机等)。在主机端(你的电脑或手机)的 USB控制器的分类驱动负责管理不同类型的USB设备,这也就是为什么你随便插一个USB键盘到有USB host功能的设备上,都能直接使用而无需再安装驱动的原因。

但问题也恰恰处在USB的控制器上,控制器的固件可以被重新编程,因此可以假冒其他类库。例如你可以将一个U盘伪装成网卡,你所有的网络通讯数据包括网络账户密码等都会被不知不觉地存入这个设备。

更糟糕的是,你可以把U盘刷成键盘鼠标的类库,从而把预先存储的指令直接输入主机,这些指令可以用于安装恶意软件,重写其他USB设备的固件等。一夜之间,我们发现全世界的电子设备都面临类似飞客蠕虫的袭击。

最可怕的是,此次发现的USB安全漏洞短期内无法修复,恶意软件扫描工具以及杀毒软件等根本查不到USB设备的固件。目前全球已经有数十亿个USB设备,其中任何一个设备都有可能被改写了固件,而除非你实现知晓问题设备所在,否则根本无从查起。

据悉SR实验室将在今年的黑帽大会上发布一个概念验证工具,让我们拭目以待。根据安全牛之前的报道揭秘NSA黑客部队的超级间谍工具包一文中,NSA的水蝮蛇一号COTTONMOUTH-I工具貌似就利用了USB设备的漏洞,由于供应链植入是NSA监听全球的重要手段,而USB设备又无所不在,如果NSA很早就知道并利用这个漏洞,理论上任何企业和个人都难以防范。
 

【中数云观点】

有了这个漏洞,一切变得简单起来,黑掉一个IT公司,只需赠送一个经过改造的鼠标、键盘、充电宝、USB加湿器、键盘灯、按摩棒(普通款不防水)......所有想要的资料立刻搞到手:源代码、财务报表、标书底价、战略计划、员工的网络访问记录、女员工的照片电话、老板喜好......

        其实以上一切并非防不胜防,IT届早就预料到会有这种事发生,所以身边很早就有了对这个问题的解决方案。

        比如一些对安全比较重视的上(tu)市(hao)公司管理者,会选用商用级加密解决方案,花费重金使用加密设备管理公司内部的移动存储、打印机及输入输出设备,所有设备须先统一接入到一个专用的USB-HUB中,经过一系列的加密处理后,才可接入到后端的电脑中,这还不算完,后端电脑的USB等输入输出接口,也会被监控起来,一旦插入了未经注册的设备,立刻拦截报警,安全程度之高,堪比用在博物馆的安防系统。

        虽然安全对于一个IT公司来说,是重中之重,但并不是所有的公司都能承担得起高昂的建设费用,一些对安全比较重视,但趋于理性的软(xiao)件(qi)公司,会选择性价比较高的解决方案:采用云桌面系统。云桌面系统分为两部分,数据中心端和桌面端,即把服务器托管到机房,上锁,谁也不能接近这台设备,在服务器上安装云计算管理平台,利用虚拟化技术,把服务器虚拟成一个一个的云主机,通过网络分发到员工的办公电脑上或者员工的瘦终端上,由于是虚拟云主机,数据全在远端机房里,员工只能使用远程桌面查看工具(VNCspice)来操作云主机的桌面,所以无论员工在本地的电脑中插入什么样的USB设备,也不会对其有任何影响,对于员工来说,云主机里的资料是不能拷贝到本地电脑里的,只能看,不能动。

        我们中数云就是做这套系统的软件公司,我们的产品叫中数云桌面系统,我们是一家趋于理性的软(xiao)件(qi)公司,所以,我们自己也用我们自己开发的产品,所有代码开发和重要的文案工作,都在云主机里完成,云主机是完全和互联网隔离的。

    联系我们

  • 电话: 400-6727-845
  • 售前客服:点击这里给我发消息
  • 售后客服:点击这里给我发消息
  • 技术支持:点击这里给我发消息
  • 邮箱:service@zsyun.com

    免费试用