日前川金会盛大举行也顺利落幕了,然而双赢的背后却发生了一段小插曲──记者收到大会提供的新闻资料袋的礼物,是金正恩大头纸扇与来源不明的 USB 迷你电扇,这引起资安专家警告,绝对不要把它插到笔电上!
13/ Handig. In de persmap voor de #KimTrumpSummit zit een mini usb fan. Handig om koel te blijven tijdens het schrijven. Het is hier in Singapore idd vrij heet. 33°C of zo. Maar haalt het niet bij Dubai, koning van de oven. pic.twitter.com/6tQd5d7gCW
— Harald Doornbos (@HaraldDoornbos) 2018年6月10日
这个故事始于荷兰记者哈拉尔‧当布斯(Harald Doornbos)在 Twitter 推文与照片引发的疑虑。新加坡是个很热的地方,室外动不动就 33 度,送个纸扇跟 USB 小电风扇看来也很合理,小小的 USB 风扇会有危害,是不是太杞人忧天了?其实这被怀疑有没有可能暗藏“物理攻击”。长年来资安问题的研究焦点主要落在网络攻击,然而近几年,非常早期的实体物理攻击可说重新“热门”起来,比方笔者曾分享的 Intel CPU 的 AMT 漏洞,苹果电脑(Apple)的 MacOS 系统也被发现数项低级实体漏洞,例如任何人都可轻易取得最高 root 权限控制电脑生杀大权,只要让攻击者小组支开被害人后,就能直接操作被害人的电脑得逞,就跟电影演的一样。
北朝鲜过去人权纪录恶名昭彰,去年国际人权基金会发起一个“用随身碟插金正恩嘴”的活动。USB 随身碟是北朝鲜境内私下流传资讯的重要媒介,许多脱北者组织努力用 USB 随身碟存放外界的资讯偷运进北朝鲜,因此他们需要大量随身碟,这个活动就是要募集大家不用的随身碟来帮助各脱北者组织,而今天这个 USB 迷你风扇难道是金正恩的反击吗?
▲ Flash Drives for Freedom 向大众募集不要的 USB 随身碟,再改造 USB 随身碟变成渗透入北朝鲜的资讯武器。(Source:Flash Drives for Freedom)
▲ 异议份子用不同方法将资讯偷渡进北朝鲜,图为倡议团体在 MozFest 2016 摆摊介绍如何突破北朝鲜资讯封锁。(Source:科技新报)
英国萨里大学(Surrey University)资讯安全专家艾伦‧伍德沃德(Alan Woodward)教授对这个疑似北朝鲜致赠的“小礼物”表示:“资讯安全领域有一句格言:如果你给某人得以物理操作你电脑的机会,那它将不再是你的电脑;使用一个不明来源的 USB 时,你其实也犯了一样的错误。”是的,这个来路不明的 USB 装置里会不会藏了一个小小随身碟,插上电脑以后就自动执行了恶意程式呢?你也可能会说,没关系,我电脑有设定关闭随身碟自动执行功能,这种恶意程式就拿我没辄了吧?事情当然没那么简单,有一种叫 USB 杀手的装置会钻 USB 标准缺乏电路保护机制的漏洞,使得 USB 一插上去,瞬间就造成电脑、手机电路板实体破坏。
说回来,究竟这个神秘小礼物是谁提供的呢?这个赠品包其实是新加坡通讯及新闻部(缩写 MCI)提供的,而 USB 迷你风扇则是圣淘沙发展局(缩写 SDC,隶属新加坡贸易与工业部,是推动知名景点圣淘沙观光活动的法人机构)提供,逻辑是认为赠送迷你风扇很好,因为可以帮助记者在新加坡炎炎夏日也能好好工作,而 MCI 和 SDC 也双双证实,USB 迷你风扇只是简单的装置,没有储存或运算能力。
虽是虚惊一场,平常还是要小心来源可疑的 USB 装置,保护好自己的电脑喔(想破坏自己的手机或电脑吗?这有贩售 USB 杀手棒还有护盾喔(护盾可让你安全检测一支 USB 碟是不是 USB 杀手)。
- Trump and Kim USB fan raises cyber-security alert
(首图来源:达志影像)