压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　7月底德國(guó)柏林SR安全研究實(shí)驗(yàn)室的安全專家發(fā)現(xiàn)BadUSB漏洞，影響到數(shù)十億USB接口的設(shè)備，從鍵盤、打印機(jī)到U盤，無(wú)一幸免。出于問題的嚴(yán)重性，當(dāng)時(shí)漏洞的發(fā)現(xiàn)者并沒有公布漏洞的利用代碼，但國(guó)外兩名安全研究人員于我們國(guó)慶期間在網(wǎng)上公布了該段代碼（關(guān)注“信息安全知識(shí)”，回復(fù)“usb”獲得發(fā)布網(wǎng)址）。毫無(wú)疑問設(shè)備生產(chǎn)商面臨著巨大的壓力，因?yàn)檫@個(gè)漏洞太難補(bǔ)了。

　?。麭adUSB的原理大致如下：

　　所有的USB設(shè)備都有一個(gè)微控制器芯片，作為設(shè)備與計(jì)算機(jī)之間的接口。而這個(gè)芯片上的固件可以被重新編程來做非常邪惡的事，比如記錄鍵盤敲擊，用惡意程序感染計(jì)算機(jī)等等。而且，BadUSB最大危險(xiǎn)之處在于很難被查覺，哪怕是防病毒軟件。對(duì)于某些心懷叵測(cè)的黑客來說，該段漏洞代碼足以掀起一次次狂歡浪潮。要知道，第一次寫出記錄密碼或敏感數(shù)據(jù)的蠕蟲代碼的人，獲利數(shù)目駭人，達(dá)數(shù)十億美元！

　　公布這段代碼的安全人員Adam Caudill和Brandon Wilson為了擺脫置疑，在公布代碼的同時(shí)表示，他們這樣做是為了促進(jìn)廠商的動(dòng)作。畢竟許多漏洞在未公布前，已不知被黑帽子和情報(bào)機(jī)構(gòu)利用了多長(zhǎng)時(shí)間。

　　Caudill和Wilson已經(jīng)測(cè)試重編了群聯(lián)(Phison)的微控制器芯片，并成功記錄了主機(jī)的鍵盤敲擊。群聯(lián)是全球最大的微控制器芯片廠商之一，鼠標(biāo)、鍵盤、打印機(jī)、U盤……稍微令人放心一點(diǎn)的是，目前還沒有人公布其他廠商設(shè)備的漏洞代碼。

　　中間黑色的芯片就是微控制器，當(dāng)然骷髏頭是PS上去的

　　BadUSB 不僅難于檢測(cè)，堵上這個(gè)漏洞幾乎都是不可能的。除了主機(jī)要保證使用沒有問題的USB設(shè)備以外（需要在全球性的固件加密簽名數(shù)據(jù)庫(kù)中比對(duì)），沒有別的解決方 案。而未來生產(chǎn)的USB設(shè)備雖然可以避免使用可重新編程的微控制器芯片，但高成本問題是一個(gè)難以逾越的障礙。

　　怎么辦？

　　目前我們能做的就是保持良好的安全習(xí)慣，保持軟件更新，不要打開陌生的文件，不要使用你無(wú)法確保安全的USB設(shè)備。這，可能嗎？