那些传统外部设备的保密安全认知误区——从键盘、鼠标和显示器说起

一直以来,人们普遍将计算机保密防护的重点聚焦于内外网之间网路信息传递导致的泄密。目前的通用做法是采取物理隔离,防止黑客通过互联网和U盘摆渡这两种途径发起攻击。但事实上,随着技术的拓展,并不只有U盘能实现摆渡攻击,以往被认为安全的键盘、鼠标、显示器等外部设备也越来越多地和失泄密关联在一起。这使我们不得不重新认识它们,以走出传统防护的误区。

外部设备如何泄密

1

瞄准键盘、鼠标的HID攻击

近一段时间以来,人机交互设备(HumanInterface Device,HID)攻击屡屡成为热词。顾名思义,这种攻击的对象是直接与人交互的设备,例如键盘、鼠标、游戏杆、USB传输线等,一般主要集中在前两者,因为一旦控制了用户的键盘、鼠标,基本上就控制了电脑。

任何人机交互设备接入电脑后,会第一时间读取其标识符,进行识别。如果是键盘,就接受设备进行信息输入;如果是U盘,则在系统中挂载为一个盘符;如果是鼠标,就接受它的位移信息。这也形成了HID攻击的基础,黑客通过定义设备的标识符,让电脑按设想的方式接受操作,以达到攻击目的。

HID的攻击方式通常有两种,一种是在人机交互设备中放置一枚芯片,当用户将设备插入电脑,恶意代码就会加载并执行,但电脑只会将其识别为普通的键盘或鼠标。

例如,USB RubberDucky和Teensy,它们是定制的HID攻击设备,外形与键盘等普通外部设备并无差别,当插入涉密计算机后,由于满足键盘的通讯协议,就被系统识别为键盘。此时,设备中的木马程序则模拟正常的键盘操作,向主机发送指令,从而完全控制电脑。当设备中预存的攻击代码植入电脑后,就会通过关键字查找等手段,将相关数据信息传回设备中。而一旦设备有机会插入连接非涉密网的计算机,就会伺机读取数据信息,造成泄密。

HID的另一种攻击方式是使用通用的USB设备,利用USB协议漏洞达到目的。当下,USB设备五花八门,比如音频设备、摄像头等,这就要求电脑系统提供最大的兼容性,所以在设计USB标准时,并没有要求每个USB设备像网络设备那样占有一个唯一可识别的名字(MAC地址),供系统进行验证,而是允许一个USB设备具有多个输入输出设备的特征,这就为攻击留下了可乘之机。

众所周知,所有USB设备都由芯片控制器和闪存两部分组成,而后者有一块用来存放设备固件的区域,作用类似于操作系统。当黑客发动BadUSB攻击时,就可以重写固件中的代码,相当于改写了USB设备的操作系统,从而把它伪装成一个可信任的USB键盘,并通过虚拟键盘输入隐藏在固件中的指令和代码,发动攻击。

由于BadUSB攻击直接在正常的USB设备中运行,无须额外增加攻击芯片等硬件设备,这使得其更具普及性和杀伤力。而最可怕的一点是,它的恶意代码存在USB设备的固件中,杀毒软件无法访问,即使格式化等操作也于事无补。

2

控制显示器的显示控制器、EDID模块

而对于电脑显示器的攻击,除了捕获其电磁辐射还原显示内容外,还可以通过显示器的显示控制器来监视和修改屏幕内容。有研究人员尝试了相关试验,通过显示器的USB或者HDMI(高清晰度多媒体)端口访问到与显示有关的固件,并在其中加入攻击代码,从而篡改显示内容,监视和欺骗使用者。

有的显示器还具有EDID(扩展显示标识数据)模块,存储着显示器的性能及多项参数指标,比如支持的分辨率、声道或者格式等信息。该模块有一处致命的缺陷——其中的代码可以被重写。一旦EDID模块感染病毒致使代码被改写,涉密计算机就有机会将涉密信息输入其中,当显示器在非涉密网中使用时,再通过简单的系统自带程序读出数据,不知不觉间摆渡泄密。

面对攻击如何防范

其实,只要符合HID驱动规范,能够与电脑连接的设备都是人机交互设备,均有可能成为攻击目标。由于电脑对人机交互设备固有的信任,传统的安全对策几乎均能被HID攻击轻易绕过。键盘、鼠标、显示器等这些我们过去通常认为是安全的设备,恰恰成了今天安全防御的一处死角。

目前,HID和EDID攻击尚属于冷门,很多涉密单位并不知悉,相关防护手段也正处于开发和试验阶段。

一是采用设置USB设备白名单的方式,只有满足登记的供应商标识、产品标识和唯一序列号的USB设备才能被计算机识别并使用。但实际情况是,一般的USB设备并没有唯一序列号,计算机操作系统中也没有相应的白名单机制,可行性和效果大打折扣。

二是采用部分屏蔽或者完全屏蔽USB设备的策略,可以极大降低USB设备侵入电脑的风险,但由于USB协议的通用性,又会导致屏蔽的覆盖面太广,很大程度上降低了设备的易用性。

三是对接入电脑的外部设备固件中的恶意代码进行扫描排查,但该方法的前提是固件自身并没有被动过手脚,如果固件在厂商开发时就留有后门,故意隐藏恶意代码,最终也只会导致排查无效。

四是禁用固件更新或者对固件更新采用签名机制,这样可以避免随意对固件进行升级或加入恶意代码,但签名机制需要密码系统的支持,像智能手环、传感器等微型控制器由于内存太小,难以承载相关的密码系统。

不少国内研究人员也在借鉴国外安全厂商的思路,推出基于单向传输的高安全性鼠标、键盘和显示器切换器或隔离器,简称安全KVM。这样一来,数据只能由键盘、鼠标一侧流向主机,可以通过一部键盘、鼠标、显示器控制两台乃至多台计算机,既提高了办公效率、节省了设备成本,又弥补了传统键盘、鼠标和显示器隔离防护的盲区,能够实现在不同计算机间的自由切换。

目前,这一防护方式正在深入研究与开发中,不久的将来,具备数据单向传输、电子屏蔽、内外网物理隔离功能,同时处理器不可编程,又能够实时监控键盘、鼠标、显示器等外部设备的新型国产安全防护手段将有可能照进现实。

——转自《保密工作》

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20171221G0FFJD00?refer=cp_1026

扫码关注云+社区