信息安全案例教程:技术与应用(第2版)
上QQ阅读APP看书,第一时间看更新

2.3 案例拓展:移动存储设备安全问题分析与对策

1.移动存储设备安全问题分析

移动存储介质主要是指通过USB端口与计算机相连的U盘、移动硬盘、存储卡等,也包括无线移动硬盘、手机等。它们具有体积小、容量大、价格低廉、方便携带、即插即用等特点,不仅在信息交换的过程中得到了广泛应用,也可以作为启动盘创建计算环境。因此,移动存储介质有着广泛的应用。

移动存储介质在给人们共享数据带来极大便利的同时,还存在以下一些典型的安全威胁:

● 设备质量低劣,设备损坏,造成数据丢失。

● 感染和传播病毒等恶意代码,造成数据丢失、系统瘫痪,甚至硬件毁坏。

● 设备丢失、被盗以及滥用,造成敏感数据泄露、操作痕迹泄露。

通过移动存储介质泄露敏感信息是当前一个非常突出的问题。内、外网物理隔离等安全技术从理论上来说构筑了一个相对封闭的网络环境,使攻击者企图通过网络攻击来获取重要信息的途径被阻断了。而移动存储介质在内、外网计算机间频繁地进行数据交换,使内、外网“隔而不离、藕断丝连”,很容易造成内网敏感信息的泄露。

【案例2-11】

2010年 4月起,“维基解密”网站相继公开了近十万份关于伊拉克和阿富汗战争的军事文件,给美国和英国等政府造成了极大的政治影响。经美国军方调查,这些文件的泄露是由美军前驻伊情报分析员通过移动存储介质非法复制所致。

2016年的影片《斯诺登》(Snowden)描绘了斯诺登通过存储卡携带敏感文件外出的过程。斯诺登还曾向人们演示过美国国家安全局(NSA)开发的USB数据提取器“CottonMouth”,间谍可以使用这种改装过的USB设备来悄无声息地偷取目标计算机中的数据。不过,该软件需要事先对USB载体进行硬件改装。这也意味着必须有人将经过改装的USB设备带入目标计算机所在的区域。

以色列本·古里安大学的Mordechai Guri教授设计了一种恶意软件,命名为“USBee(USB蜜蜂)”,因为其功能就像是在不同的花朵之间往返采集蜂蜜的蜜蜂一样,在不同的计算机之间往返采集数据。这种恶意软件不需要改装USB设备就可以用于从任何未联网的计算机中偷取数据。这样就不再需要有人把改装后的USB设备带入目标建筑,只需将软件安装在其员工已有的USB上即可。USB蜜蜂的工作原理是使USB适配器发出频率为240~480MHz的电磁信号,通过精心控制这些频率,电磁辐射可以被调制成信号传输器,并由附近的接收器读取并解调。

传统的数据窃取都是使用移动存储设备从计算机上窃取数据,但是Bruce Schneier于 2006年 8月 25日在他的博客(Blog)中介绍了一种新的数据盗取技术—USBDumper,它寄生在计算机中,运行于后台,一旦有连接到计算机上的USB设备,即可悄悄窃取USB设备中的数据。这对于现如今普遍使用的移动办公设备来说,的确是个不小的挑战。USBDumper这类工具的出现,提出了对USB设备的数据进行加密的要求,特别是需要在一个陌生的环境中使用移动设备的时候。

请读者完成本章思考与实践第 20 题,了解USBDumper等恶意软件原理并思考如何对其改造利用。

2.移动存储设备安全防护

微课视频2-6

移动设备安全防护技术

如何有效保护移动存储设备中的敏感信息,已经成为一项重要的课题。下面介绍一些常用的防护方法,包括:针对设备质量低劣的威胁,进行设备的检测;针对感染和传播恶意代码,可以安装病毒防护软件;针对信息泄露和痕迹泄露,进行认证与加密、访问控制、强力擦除等防护。

(1)设备检测

通过一些软件对移动存储设备进行检测,检测内容通常包括:设备的主控芯片型号、品牌、设备的生产商编码/产品识别码(VID/PID)、设备名称、序列号、设备版本、性能、是否扩容等。

● MyDiskTest。

● U盘之家工具包。

● ChipGenius。

(2)安装病毒防护软件

杀毒软件对于移动存储设备的实时查杀可以起到很好的防护效果,例如:

● 360安全卫士,http://www.360.cn。

● 火绒安全软件,https://www.huorong.cn。

(3)认证和加密

许多移动存储设备安全产品中都采用了基于移动存储设备唯一性标识的认证机制,即通过识别移动存储设备的VID、PID以及硬件序列号(HSN)等能唯一标识移动存储设备身份的属性,完成对移动存储设备的接入认证。

移动存储设备通过接入认证后,对其中敏感信息的保护目前主要采用对称加密的方法。加密后的敏感信息只有通过接入认证的用户才能打开。

1)使用系统自带工具或第三方工具对移动存储设备加密。

● Veracrypt(开源工具),https://www.veracrypt.fr/en/Home.html。

● BitLocker(Windows系统部分版本自带)。

● FileVault(Mac OS系统自带)。

请读者完成本章思考与实践第17题,了解BitLocker加解密功能。

2)使用移动存储设备厂商提供的口令认证、加密功能。

● 闪迪(Sandisk)闪存提供的SecureAccess软件。

● 金士顿(Kingston)加密闪存盘提供的自动接入认证和加密功能。如图2-14所示,当该加密闪存盘插入USB口,系统会自动弹出登录对话框,用户输入正确的口令后,即可读写盘中的文件,同时对存入的文件进行加密。

● 汉王U盘提供的指纹认证和加密功能,如图2-15所示。

图2-14 Kingston加密闪存盘及提供的登录功能

图2-15 汉王U盘提供的指纹认证和加密功能

● 海盗船(Corsair)U盘提供的U盘上的密码键及加密功能,如图2-16所示。

图2-16 海盗船U盘提供的密码键和加密功能

(4)设备USB口的访问控制

Windows系统中可以通过组策略设置禁用USB端口。具体步骤是:同时按下键盘上的〈Win+R〉键,打开“运行”对话框,输入“gpedit.msc”,打开后进入“本地组策略编辑器”,接着在“计算机配置→管理模板→系统→可移动存储访问”中可以找到包括设置移动存储的读写权限的相关命令,如图2-17所示。

还可以在“计算机配置→管理模板→系统→设备安装→设备安装限制”中可以找到包括是否允许在本地计算机安装移动存储的相关命令,如图2-18所示。

图2-17 可移动存储设备读写控制的设置

图2-18 禁止使用可移动存储设备的设置

(5)强力擦除

可以使用强力擦除工具擦除存储介质上的信息。

● Privacy Eraser Pro,http://www.privacyeraser.com。

● Tracks Eraser Pro,http://www.acesoft.net。

国际上有一些文件删除标准,其中包括美国国防部 1995年制定的清除和处理的安全标准DoD 5220.22-M,需要进行7次随机擦写。还有一种1996年提出的Peter Gutmann(古特曼)算法,需要完成35次随机覆盖。

还可以使用工具彻底销毁存储设备及其中的介质芯片。

(6)备份和恢复

及时备份移动存储设备上的数据是很有必要的。可以使用西部数据公司的NAS(网络附加存储)设备(见图2-19),或是利用云存储将本地的文件自动同步到云端服务器保存。实际上将文档存放在电子邮箱中也是一种类似于云存储的方式。

图2-19 西部数据公司的NAS设备

● 百度网盘,http://yun.baidu.com。

云存储的安全性是另一个重要的话题,本书将在第4章中讨论。

(7)综合安全管理系统

对于移动存储设备的安全使用,必须全面考虑其接入主机前、中、后不同阶段可能面临的安全问题,采取系统化的一整套安全管理措施,如图2-20所示。

微课视频2-7

移动设备综合安全防护

图2-20 移动存储设备的综合安全管理

● 接入认证,即对移动存储设备的唯一性认证。由于移动存储设备即插即用、使用方便的特性,任何一个使用者不经认证即可随时将移动存储设备接入内网的任意一台计算机中。没有进行对移动存储设备的唯一性认证,导致事后出现问题时,也无从追查问题的起因及相关责任人。其关键是要实现“用户-移动存储设备”的绑定注册及身份授权。

● 健康检测,即对移动存储设备接入内网过程中系统的健康状态进行检测。在使用过程中,使用者往往忽视对移动设备的病毒查杀工作,由于移动存储设备使用范围较广,不可避免地会出现在外网使用时感染计算机病毒的情况。如果不能及时有效地查杀病毒,在内网计算机中打开感染病毒的文件时,很容易将病毒传播到内网中。例如,“摆渡”木马程序不需要连接网络就能轻易窃取内网计算机的重要数据。同时,当注册介质和注册用户身份变更或发生异常操作时,也会对内网数据信息造成破坏。

● 权限分配,即移动存储设备接入内网后,对其访问策略的分配及实施。不同身份的用户、不同健康状态的介质对内网计算机的使用权限是不一样的。然而,通常的计算机并没有对介质使用者的身份以及操作权限进行限制,导致一些未授权用户不经限制就能够轻松获取内网加密信息,或者低密级用户非法访问高密级数据。其关键是要根据用户身份等级、介质健康状态进行相应的权限分配。

● 访问控制,例如通过对介质中的数据进行加密进行访问控制。通过介质唯一性标识的密钥分发对介质中的数据进行加密,这样即使移动存储设备不慎丢失,也不会发生信息泄露问题;其次,信息数据在移动存储设备和内网间进行传输时,对传输通道采取加密保护,防止数据被不法分子所窃取。

● 日志记录与行为审计,即对移动存储设备进行细粒度的行为审计及日志记录。尽管移动存储设备需要经过多重认证才能顺利接入终端,但其顺利接入终端并不代表它具有完全的安全性。通过对其接入的时刻,对文件的读、写、修改及删除操作等进行严格的审计与记录,即使出现安全问题,也能第一时间找出问题起因及相关责任人。

一些安全厂商提供了类似功能的产品:

● 北信源的终端安全管理系统,http://www.vrv.com.cn。

● 深信服科技公司的企业移动管理,http://www.sangfor.com.cn。

● 火绒科技的火绒终端安全管理系统,https://www.huorong.cn。

● Endpointprotector,http://www.endpointprotector.com。

● GFI EndpointSecurity,http://www.gfi.com。

拓展阅读

读者要了解更多硬件与环境安全威胁与防护技术,可以阅读以下书籍资料:

[1] 简云定,杨卿. 硬件安全攻防大揭秘 [M]. 北京:电子工业出版社,2017.

[2] 陈根. 智能设备防黑客与信息安全 [M]. 北京:化学工业出版社,2017.

[3] 汉加尼. 物联网设备安全 [M]. 林林,陈煜,龚娅君,译. 北京:机械工业出版社,2017.

[4] 陈根. 硬黑客:智能硬件生死之战 [M]. 北京:机械工业出版社,2015.