当笔者将朋友给他的USB记忆棒插入电脑时,它并没有作为可移动硬盘被读取,而是直接启动了视频播放器来播放视频。由于电脑没有将其识别为可移动硬盘,所以无法将其重新格式化作为其他用途。
从这可以看出,USB可以在用户不知情的情况下,很简单地执行好的或者恶意的软件。如果USB记忆棒包含Stuxnet病毒的话,电脑就会立即被感染。这正是几年前以色列对伊朗用的伎俩,以色列国防军悄悄地将某种USB记忆棒放在伊朗核工程师经常出没的地方,像其他人一样,他们将这个设备插入他们的计算机,然后就发生了大家都知道的故事:伊朗核生产系统受到感染和破坏。
将USB设备接入到计算机时,设备检测到被接入电脑,然后它直接就开始运行,而不需要等待任何批准或者鼠标点击操作。与播放视频不同,这种病毒不会有任何迹象表明它已经开始启动和运行。相反地,该软件会悄悄地进行自我安装,然后掌控伊朗的铀浓缩离心机控制系统,这导致离心机的超速运行,直到最终被破坏,同时报告运行者一切正常。
虽然所有被Stuxnet感染的计算机都是在伊朗,或者在位于伊朗的公司,这并不意味着你不会受到任何影响。现在Stuxnet已经出现有一段时间了,恶意软件制造者使用这种传送机制来攻击其他目标只是时间问题。
企业应该对USB的使用进行限制
虽然大部分反恶意软件供应商表示他们已经准备好了,但大部分人都认为新型类似Stuxnet的恶意软件将通过互联网传播。但是也不排除攻击者将受感染的USB记忆棒混在贸易展会中发放出去。
例如很多公司将印有公司logo的USB存储设备像发糖果一样派发出去,然后大家把USB拿回办公室试图接入电脑,他们希望删除公司的资料然后可以继续使用这个存储设备。但是如果碰上以色列那种USB设备的话,他们在没有任何迹象的情况下就将被感染。如果被感染的电脑是重要电脑的话,甚至可能摧毁一个公司。
这是这种可移动大容量存储设备面临的问题。大家太容易获得USB存储设备或者CD-ROM,他们必然会想在自己电脑中尝试打开,看看里面的信息或者使用存储设备。而同时,这些设备又很容易被感染,和作为大规模感染的载体。
为了避免这种情况,你有几个选择。首先是购买没有USB端口的计算机,但是这样又面临着很多问题。第二种选择就是管理你的可移动存储设备,限制可移动存储设备只能做某些事情,例如,设置USB端口为只能运行键盘或者鼠标,而不能使用大容量存储。或者你可以设置CD光盘驱动器,这样它就不能执行程序。
这两种选择都可能会造成用户社区的投诉,但是这并无大碍。在很多情况下,大多数用户查看这些设备或者使用这种媒体并不是因为业务相关的原因,你可以随时启用按具体情况来允许可移动存储设备的使用。
但是这些都只是解决方案的一部分,你还需要教育用户,必须让他们意识到他们不应该将不知来路的USB记忆棒或者CD接入电脑。