有关USB的安全疑虑不攻自破

最近有很多媒体都在关注SR实验室Karsten Nohl和Jakob Lel的一项研究，这项研究试图证明USB设备可能是把恶意软件引入到计算机和便携式电子平台的一种路径。

这项研究表示，目前还没有有效的方法能防止这种情况的发生。同时他们还强调，USB这种致命的缺陷让很多计算机用户使用USB存储器之后，信息安全就无法得到保障了。

两位在柏林的研究人员用一个已经完全格式化的USB存储器进行病毒扫描，却还是发现了藏在接口集成电路固件内的恶意代码。

SR实验室表示应该让USB驱动器和其他USB配件退出市场，"企业应该完全停止使用此类产品"。他们甚至建议结束USB作为数据传输介质的使用，尽管目前全球超过60亿设备在使用USB。

这是一个大胆而荒唐的声明。事实上，USB根本没有这么大的危险，目前的恶意代码都是通过数据传输的过程传播的，比如通过无线通信（蓝牙或者无线）以及internet连接的其他手段。

SR实验室的研究强调，在现代社会，网络攻击越来越危险，每种网络安全隐患都应该尽快消灭，但这并不意味着USB的时代结束了。

可以看到，通常都是带微控制器的产品才有固件被操控的风险，有些是重新编程让微控制器执行一些额外功能。只要设备制造商在制造外围设备时选择更优秀的人才，就能大大减轻这种被操控的风险。

SR实验室的研究人员表示"没有有效的方法防御来自USB的攻击"，这其实是不客观的。一些半导体制造商在USB工艺中已经有了成熟的技术来防范这些问题。这里说的是USB桥接芯片，不包括大容量存储器。

桥接芯片不能由用户自定义，这些IC是依赖于固定功能的ASIC实现，因此恶意代码无处放置，通信所有过程都在在硬件中完成。

一些集成电路组合芯片用的是小型EEPROM内存资源，仅仅能用于存储，没有恶意软件运行的空间。基于此USB桥接芯片无法重新编程，因此也没有被损坏的可能。供应商也需要一个特定的FTDI驱动程序或者API来进行访问芯片。

目前还有一些USB芯片是基于硬件架构而不是微处理器进行重组，理论上这是不可能的。上述研究很明显忽略了技术细节，比如如何采取措施通过制定的IC，因此整个事件只是一个自我炒作宣传，并不是真正从公众利益考虑。

我们应该重视这件事，对于那些IT安全领域的企业，一直以来都有这种夸大其词，哄骗消费者来买新的软件包的风气。问题是危言耸听的策略常常会让人们反应过度，甚至适得其反。