日前,安全研究人員 Adam Caudill 和 Brandon Wilson 發表的文章在安全界引起不小的轟動。程式碼它利用了 BadUSB 缺陷。兩位專家解釋說,他們沒有做錯任何事,因為這不是惡意程式碼。他們也認為,開發 BadUSB 攻擊仍然很困難。01網安全研究實驗室的卡斯滕·諾爾 (Karsten Nohl) 問道,他是最先揭露該缺陷的兩名安全研究人員之一。
01網:亞當·考迪爾和布蘭登·威爾遜的出版有必要嗎?
卡斯滕·諾爾:全面揭露策略(即揭露所有技術細節中的安全漏洞)對於增加供應商壓力非常有用。安全研究人員需要這種槓桿作用來激勵他們解決安全問題。但在BadUSB故障的情況下,這是值得商榷的,因為情況比較複雜。目前沒有人知道誰應該解決問題,因此誰應該承受壓力。這就是為什麼我們不願意進行全面披露。
網路上發布的程式碼危險嗎?
知識數:這兩位安全研究人員發布的程序本身並不危險,因為它們不構成攻擊。但它們代表了實現這一目標的重要中間步驟。感謝這段程式碼,現在已經完成了很多工作。發動攻擊的過程並不複雜。數以百萬計的計算機科學家將有能力做到這一點。
我們應該擔心很快就會出現一波網路攻擊嗎?
知識數:很難說。對於網路犯罪分子來說,BadUSB 缺陷並不是那麼有趣。為了達到目的,他們目前可以使用更簡單的手段。另一方面,BadUSB 可能對網路間諜活動特別有用,因為即使系統未連接到互聯網,它也可以攻擊系統,例如在軍事領域的情況。這與 Stuxnet 的情況類似。
Adam Caudill 和 Brandon Wilson 重點介紹的台灣供應商群聯電子 (Phison) 為什麼不對其 USB 控制器的韌體進行簽名以提高安全性?
知識數:事實上,對韌體進行簽名是解決 BadUSB 缺陷的第一步。而群聯長期以來一直提供簽名固件。問題是它們並不經常被 USB 產品製造商選擇,例如 Kingston 或 SanDisk。為了什麼 ?因為這會使控制器的成本增加一倍,並增加最終價格。因此,這些產品的銷售量不會很好。此外,我很少在商店裡看到它們。
另請閱讀:
黑帽:USB 安全漏洞的受害者,無法修復,於 01/08/2014
Android智慧型手機,利用USB漏洞的終極武器,於 08/08/2014
![Roccat Kova[+] 與羅技 MX518](https://webbedxp.com/tech/misha/app/uploads/2011/01/roccat-kova-1.jpg)
