色婷婷AⅤ一区二区三区|亚洲精品第一国产综合亚AV|久久精品官方网视频|日本28视频香蕉

          新聞中心

          EEPW首頁 > 嵌入式系統(tǒng) > 設(shè)計(jì)應(yīng)用 > 專家觀點(diǎn):對USB安全性的質(zhì)疑毫無根據(jù)

          專家觀點(diǎn):對USB安全性的質(zhì)疑毫無根據(jù)

          作者: 時(shí)間:2016-09-12 來源:網(wǎng)絡(luò) 收藏

          最近SRLabs的兩位研究人員 Karsten Nohl 和 Jakob Lell 所發(fā)布的研究報(bào)告受到了許多媒體的關(guān)注。這份研究報(bào)告試圖證明 裝置如何成為惡意軟體進(jìn)入電腦和可攜式電子平臺的一種潛在手段。該研究報(bào)告并暗示,目前還沒有防止這種特定漏洞的任何有效方法。

          本文引用地址:http://cafeforensic.com/article/201609/303847.htm

          雖然這份報(bào)告并未造成恐慌,但其語帶挑釁地評論指稱 具有「致命性缺陷」,因此使用者只要在電腦和可攜式電子設(shè)備插入一個(gè) 隨身碟后,這些設(shè)備和內(nèi)容將不再可靠。這些評論顯然是不切實(shí)際的,業(yè)界需要更理性地全面看待這個(gè)問題。

          在柏林的這兩位研究人員曾經(jīng)展示證明, USB 隨身碟即使經(jīng)過格式化和病毒掃描,使其從表面上看起來內(nèi)容是完全空白的,但事實(shí)上仍然具有未能檢測出的惡意程式碼,這些惡意程式碼可能隱藏在介面晶片的韌體內(nèi)。

          根據(jù)兩位研究人員的研究暗示, USB 隨身碟和許多其他 USB 配件即將走向盡頭,而且預(yù)計(jì)未來的所有商務(wù)活動應(yīng)停止使用 USB 。他們甚至認(rèn)為,盡管 USB 的使用非常廣泛(全世界有超過60億 USB 埠正進(jìn)行作業(yè)中),但根據(jù)這項(xiàng)研究結(jié)果, USB 作為一種資料傳輸介質(zhì)的時(shí)代基本上已經(jīng)結(jié)束了。這是一種大膽以及完全沒有根據(jù)的陳述。事實(shí)上,相較于其他任何資料傳輸方式,如無線通訊(藍(lán)牙/ Wi-Fi )或網(wǎng)際網(wǎng)路連接, USB 并未曝露于更大的惡意攻擊風(fēng)險(xiǎn)之下。

          盡管SRLabs所進(jìn)行的研究強(qiáng)調(diào),現(xiàn)代社會中的每一個(gè)元素其實(shí)都遭受到越來越危險(xiǎn)的網(wǎng)路攻擊,但這當(dāng)然不表示 USB 的時(shí)日已經(jīng)屈指可數(shù)。值得注意的是,關(guān)于韌體易于遭受這種惡意操縱的顧慮通常集中在基于微控制器(MCU)的產(chǎn)品上——為了執(zhí)行一些不必要的額外功能,經(jīng)??赡軐ρb置的 MCU 單元進(jìn)行重新編程設(shè)計(jì)。雖然這種惡意操縱經(jīng)常套用在市面上的一些 USB 介面IC,但只要生產(chǎn)USB周邊設(shè)備的OEM在產(chǎn)品設(shè)計(jì)中選擇整合品質(zhì)更好的USB介面IC,就能大幅地減輕這種威脅。

          SRLabs的研究人員甚至公開表示,目前還沒有有效防范 USB 攻擊的辦法,但這個(gè)說一點(diǎn)都不正確。某些服務(wù)于 USB 市場的現(xiàn)有半導(dǎo)體制造商已經(jīng)找到經(jīng)驗(yàn)證可行的技術(shù),能夠有效克服這些問題。這些技術(shù)包括供應(yīng)商級的 USB 接器晶片,而不只是以往的消費(fèi)級隨身碟。

          FTDI Chip公司提供的 USB 橋接晶片正屬于供應(yīng)商級,而非隨身碟級的記憶體(大量儲存區(qū))。該元件級產(chǎn)品無法客制化作為一種可替代的元件類型。由于這些晶片設(shè)計(jì)采用硬線連接(取決于固定功能的 ASIC 建置),其中并未采用任何韌體,因此不可能會有惡意程式碼被植入,所有的通訊控制也完全透過硬體完成。

          在FTDI Chip產(chǎn)品組合中的一些晶片利用少量的 EEPROM 記憶體資源,但這僅僅針對儲存設(shè)定,缺乏足夠的空間容納任何形式的惡意軟體。鑒于所有這些特性,F(xiàn)TDI Chip的USB橋接晶片除了完成最初設(shè)計(jì)時(shí)的功能以外,不可能被重新程式設(shè)計(jì),因此避免了它被惡意操作的可能性。因?yàn)檫@些晶片屬于供應(yīng)商級,如果需要存取這些晶片時(shí),需要特定的FTDI驅(qū)動程式/應(yīng)用程式介面(API)。

          因此,除了那些基于 MCU 的架構(gòu)以外,目前市場上還有基于硬體狀態(tài)機(jī)架構(gòu)且無法重編程的現(xiàn)成可用 USB 晶片。上述研究忽略了業(yè)界如何采取措施克服這類問題的細(xì)節(jié),使其得以證實(shí)這一整件事只考慮到自我宣傳,而并未顧及公共利益。

          對于IT安全領(lǐng)域的人來說,這種透過宣傳噱頭來吸引公眾的關(guān)注再尋常不過了,其目的往往是僅服務(wù)于他們自己的目的。業(yè)界一直有一種傾向——透過夸大其詞(通常很難知道真相)來哄騙人們投資于其新的套裝軟體等。但問題是,在許多情況下,訴諸危言聳聽的策略可能導(dǎo)致反應(yīng)過度。

          Fred Dart是FTDI Chip公司創(chuàng)辦人兼執(zhí)行長,該公司主要生產(chǎn)電腦連接器晶片,特別是 USB 晶片,F(xiàn)red Dart最近并推動該公司進(jìn)軍繪圖控制器與微控制器市場。Fred Dart擁有英國斯特拉斯克萊德大學(xué)(University of Strathclyde)電子與電氣工程學(xué)理學(xué)士學(xué)位。畢業(yè)后,他曾任職于摩托羅拉(Motorola)和STC公司。在成立FTDI以前,F(xiàn)red Dart曾在Computer Design Concepts Limited設(shè)計(jì)公司從事諮詢業(yè)務(wù)。



          關(guān)鍵詞: USB 安全性

          評論


          相關(guān)推薦

          技術(shù)專區(qū)

          關(guān)閉