雖然說,工業網絡或物聯網(IoT)電腦,一般都配備嚴密防火牆和保護設備,甚至完全不連接上網。但並不代不受病毒攻擊。不少病毒感染,就是源自USB快閃記憶。
最著名可數Stuxnet病毒,2010年攻擊伊朗的核電設施,據說就是透過感染USB快閃記憶體散播。USB快閃記憶固然可通過應用散播,即使是完全沒有寫進任何數據的USB,亦可通過USB快閃記憶,從廠商嵌入韌體(firmware)感染主機。
2014年,美國賭城舉行的Black Hat網絡安全會議上,研究人員Karsten Nohl當場示範BadUSB病毒概念,證明韌體帶病毒的USB,即使好像完全空白,亦可無聲無息感染電腦,甚至防毒軟件都無法偵察。即使刪除了USB快閃記憶所有數據,BadUSB仍然可靠韌體存在。
自此不少有關BadUSB研究陸續出現。據研究機構Ponemon Institute報告顯示,USB快閃記憶仍是威脅網路安全第二大隱患,風險極高。七成員工曾在企業內,曾連接公司外用過的USB至公司電腦,68%員工使用上述USB之前,竟未採取防範措施。
USB禁之不絕
BadUSB寄存在USB快閃記憶韌體內,韌體又是廠商專屬軟件,防毒軟件亦無法偵查。後來,BadUSB源碼公開,提供予USB快閃記憶廠商,防止韌體受感染,但黑客仍可能出廠後改變設定。
但各行各業廣泛使用USB,尤其工業、教育和醫療行業,用於分享文件及更新電腦設定。美國國防部曾明文禁止使用USB,亦無法完全禁絕,不少人員仍利用USB作不同用途,可謂禁之不絕。
雖然說,市場上有專門工具,用於清除USB惡意程式,不過多為笨重裝置或軟件,部署麻煩。Orange(法國電信集團)旗下Orange Business Services研發一種新型流動終端,有助清除USB惡意程式,亦更易部署。
Orange Business Services屬下Orange Cyberdefense專家,開發了清除usb惡意程式專用設備;集合五種防毒引擎,專門偵測USB威脅,使用更方便輕鬆,只需插入USB到專用設備,即可查明是否受感染。假若檢查USB已受感染,則可選擇刪除檔案或隔離。亦列印詳細報告,了解USB受感染情況,包括受感染檔詳情、有機會攻擊方式、偵測感染檔防毒搜索引擎名稱。
「迷你終端」掃毒
新型「迷你終端」惡意程式清除工具面世,可透過價格較相宜流動終端,專門用於掃描USB,並清除感染。這種專門「迷你終端」,可置於辦公室、會議室,甚至是工業設備附近。
「迷你終端」搜索引擎連接至上網,甚至4G流動網絡,每天按時自動更新病毒訊息。針對部分能控制電腦的惡意攻擊,配有嵌入引擎,專用於偵測傳統防毒軟件無法檢測出BadUSB攻擊。
「迷你終端」亦支援控制平台,從遠端系統管理,包括檢查終端是否仍運作正常,及按時更新、實時接收使用統計,顯示受感染和攻擊類型。 上述「迷你終端」,特別針對工業用和IoT電腦。工業用電腦一般很少升級作業系統和更新,更易中招。基於安全考慮,工業用來控制生產線的電腦,甚至是鐵路運輸和電廠等關鍵基建,多數不會連接上網,甚至沒安裝防毒。
而工業用電腦又幾乎一定用USB埠,作定期維護診斷、如恢復SCADA日誌或更新,所以特別容易受USB攻擊。上述「迷你終端」可安裝在生產區的入口,確保USB裝置先強制檢測,防止生產線受USB攻擊。Orange Cyberdefense產品經理Alexis Richard說:「USB 仍是IT的安全隱憂,可傳播惡意程式癱瘓設備,損毀敏感資料,甚至植入勒索程式。用戶不需做任何動作,只要一插入USB,勒索軟件就自動安裝進工業系統。」USB先經「迷你終端」掃毒,就可大大減低感染的風險。