在我們正常的思維邏輯中，我們插入到計(jì)算機(jī)的USB設(shè)備是完全可以信任的。但現(xiàn)實(shí)情況卻是：被黑客重新編程后的USB設(shè)備將變成可攻擊的武器。安全研究人員Karsten Nohl和Jakob Lell在黑帽大會(huì)上展示了他們所謂的“BadUSB”。他們?cè)诓坏絻蓚€(gè)月的時(shí)間內(nèi)，他們逆向工程和修補(bǔ)了USB固件，而一旦進(jìn)行重新編程，USB可以轉(zhuǎn)化為惡意工具來破壞網(wǎng)絡(luò)。

[[117957]]

這種攻擊可能帶來很嚴(yán)重的影響。例如，設(shè)備可以模擬鍵盤，并代表登錄用戶發(fā)送命令來竊取文件或安裝惡意軟件。它還可以在操作系統(tǒng)啟動(dòng)之前啟動(dòng)小病毒，或者欺騙網(wǎng)卡和更改計(jì)算機(jī)的DNS設(shè)置來重定向流量。

Nohl和Lell展示了多種攻擊，其中一個(gè)攻擊是一部谷歌Android手機(jī)插入到計(jì)算機(jī)，可以被用來攔截計(jì)算機(jī)的web流量。

并沒有太多防御方法來阻止這種攻擊，惡意軟件掃描程序不能訪問這些設(shè)備上運(yùn)行的固件，而我們還沒有可以阻止某些設(shè)備類別的USB防火墻。此外，根據(jù)行為檢測(cè)來檢測(cè)BadUSB很困難，因?yàn)楫?dāng)行為變化時(shí)，看起來像是用戶插入了新設(shè)備。

在攻擊后進(jìn)行清理很困難，因?yàn)橹匦掳惭b操作系統(tǒng)不能解決這個(gè)問題。連接到這個(gè)操作系統(tǒng)的USB可能已經(jīng)被感染，網(wǎng)絡(luò)攝像頭或者其他USB組件同樣如此。BadUSB設(shè)備還可以通過模擬鍵盤和阻止USB中的隱藏文件來取代計(jì)算機(jī)的BIOS。

尋找解決方法很困難，對(duì)USB設(shè)備進(jìn)行白名單化并不是最好的辦法，因?yàn)椴⒉皇撬蠻SB設(shè)備都有唯一的序列號(hào)，并且操作系統(tǒng)還沒有針對(duì)USB的有效的白名單機(jī)制。惡意軟件掃描也沒什么用，因?yàn)閻阂夤碳梢云垓_合法的固件，并且固件只能在這個(gè)固件的幫助下才能被讀回。

“使用USB閃存驅(qū)動(dòng)器的攻擊并不是什么新鮮事，Stuxnet就是USB傳送的病毒—它被用來攻擊伊朗核電站，BadUSB的不同之處在于復(fù)雜程度，”Imation Mobile Security公司工程和產(chǎn)品副總裁表示，“它修改設(shè)備硬件中的控制器固件，而不是存儲(chǔ)在設(shè)備上的數(shù)據(jù)。受感染的設(shè)備然后可以傳遞這種感染，無論USB上是否存儲(chǔ)了數(shù)據(jù)。”

他補(bǔ)充說，防止BadUSB感染設(shè)備要求控制器固件被鎖定，并且不能由未經(jīng)授權(quán)的代理而改變。

“為了阻止BadUSB，USB存儲(chǔ)設(shè)備需要阻止黑客讀取或者改變固件，并確保該固件進(jìn)行數(shù)字簽名，這樣如果它被修改，該安全設(shè)備不會(huì)與修改的固件操作，”他解釋說，“FIPS 140-2 Level 3證書能夠驗(yàn)證這些基準(zhǔn)機(jī)制的有效性。安全的USB驅(qū)動(dòng)器一直是保護(hù)企業(yè)數(shù)據(jù)的重要工具?，F(xiàn)在這些機(jī)制也同樣可以用于保護(hù)USB設(shè)備的完整性。”