專(zhuān)家觀(guān)點(diǎn)：對USB安全性的質(zhì)疑毫無(wú)根據

最近SRLabs的兩位研究人員 Karsten Nohl 和 Jakob Lell 所發(fā)布的研究報告受到了許多媒體的關(guān)注。這份研究報告試圖證明 USB 裝置如何成為惡意軟體進(jìn)入電腦和可攜式電子平臺的一種潛在手段。該研究報告并暗示，目前還沒(méi)有防止這種特定漏洞的任何有效方法。

雖然這份報告并未造成恐慌，但其語(yǔ)帶挑釁地評論指稱(chēng) USB 具有「致命性缺陷」，因此使用者只要在電腦和可攜式電子設備插入一個(gè) USB 隨身碟后，這些設備和內容將不再可靠。這些評論顯然是不切實(shí)際的，業(yè)界需要更理性地全面看待這個(gè)問(wèn)題。

在柏林的這兩位研究人員曾經(jīng)展示證明， USB 隨身碟即使經(jīng)過(guò)格式化和病毒掃描，使其從表面上看起來(lái)內容是完全空白的，但事實(shí)上仍然具有未能檢測出的惡意程式碼，這些惡意程式碼可能隱藏在介面晶片的韌體內。

根據兩位研究人員的研究暗示， USB 隨身碟和許多其他 USB 配件即將走向盡頭，而且預計未來(lái)的所有商務(wù)活動(dòng)應停止使用 USB 。他們甚至認為，盡管 USB 的使用非常廣泛(全世界有超過(guò)60億 USB 埠正進(jìn)行作業(yè)中)，但根據這項研究結果， USB 作為一種資料傳輸介質(zhì)的時(shí)代基本上已經(jīng)結束了。這是一種大膽以及完全沒(méi)有根據的陳述。事實(shí)上，相較于其他任何資料傳輸方式，如無(wú)線(xiàn)通訊(藍牙/ Wi-Fi )或網(wǎng)際網(wǎng)路連接， USB 并未曝露于更大的惡意攻擊風(fēng)險之下。

盡管SRLabs所進(jìn)行的研究強調，現代社會(huì )中的每一個(gè)元素其實(shí)都遭受到越來(lái)越危險的網(wǎng)路攻擊，但這當然不表示 USB 的時(shí)日已經(jīng)屈指可數。值得注意的是，關(guān)于韌體易于遭受這種惡意操縱的顧慮通常集中在基于微控制器(MCU)的產(chǎn)品上——為了執行一些不必要的額外功能，經(jīng)?？赡軐ρb置的 MCU 單元進(jìn)行重新編程設計。雖然這種惡意操縱經(jīng)常套用在市面上的一些 USB 介面IC，但只要生產(chǎn)USB周邊設備的OEM在產(chǎn)品設計中選擇整合品質(zhì)更好的USB介面IC，就能大幅地減輕這種威脅。

SRLabs的研究人員甚至公開(kāi)表示，目前還沒(méi)有有效防范 USB 攻擊的辦法，但這個(gè)說(shuō)一點(diǎn)都不正確。某些服務(wù)于 USB 市場(chǎng)的現有半導體制造商已經(jīng)找到經(jīng)驗證可行的技術(shù)，能夠有效克服這些問(wèn)題。這些技術(shù)包括供應商級的 USB 接器晶片，而不只是以往的消費級隨身碟。

FTDI Chip公司提供的 USB 橋接晶片正屬于供應商級，而非隨身碟級的記憶體(大量?jì)Υ鎱^)。該元件級產(chǎn)品無(wú)法客制化作為一種可替代的元件類(lèi)型。由于這些晶片設計采用硬線(xiàn)連接(取決于固定功能的 ASIC 建置)，其中并未采用任何韌體，因此不可能會(huì )有惡意程式碼被植入，所有的通訊控制也完全透過(guò)硬體完成。

在FTDI Chip產(chǎn)品組合中的一些晶片利用少量的 EEPROM 記憶體資源，但這僅僅針對儲存設定，缺乏足夠的空間容納任何形式的惡意軟體。鑒于所有這些特性，FTDI Chip的USB橋接晶片除了完成最初設計時(shí)的功能以外，不可能被重新程式設計，因此避免了它被惡意操作的可能性。因為這些晶片屬于供應商級，如果需要存取這些晶片時(shí)，需要特定的FTDI驅動(dòng)程式/應用程式介面(API)。

因此，除了那些基于 MCU 的架構以外，目前市場(chǎng)上還有基于硬體狀態(tài)機架構且無(wú)法重編程的現成可用 USB 晶片。上述研究忽略了業(yè)界如何采取措施克服這類(lèi)問(wèn)題的細節，使其得以證實(shí)這一整件事只考慮到自我宣傳，而并未顧及公共利益。

對于IT安全領(lǐng)域的人來(lái)說(shuō)，這種透過(guò)宣傳噱頭來(lái)吸引公眾的關(guān)注再尋常不過(guò)了，其目的往往是僅服務(wù)于他們自己的目的。業(yè)界一直有一種傾向——透過(guò)夸大其詞(通常很難知道真相)來(lái)哄騙人們投資于其新的套裝軟體等。但問(wèn)題是，在許多情況下，訴諸危言聳聽(tīng)的策略可能導致反應過(guò)度。

Fred Dart是FTDI Chip公司創(chuàng )辦人兼執行長(cháng)，該公司主要生產(chǎn)電腦連接器晶片，特別是 USB 晶片，Fred Dart最近并推動(dòng)該公司進(jìn)軍繪圖控制器與微控制器市場(chǎng)。Fred Dart擁有英國斯特拉斯克萊德大學(xué)(University of Strathclyde)電子與電氣工程學(xué)理學(xué)士學(xué)位。畢業(yè)后，他曾任職于摩托羅拉(Motorola)和STC公司。在成立FTDI以前，Fred Dart曾在Computer Design Concepts Limited設計公司從事諮詢(xún)業(yè)務(wù)。