“安德里亚在哪里?”这就是本周没有这样的裁判安全会议上与会者的嘴唇上的问题。
他们正在寻找意大利安全咨询逆向道路的首席安全工程师Andrea Barisani,更确切地说是他所携带的原型USB安全设备。
“http://inversepath.com/usbarmory.html“> USB Armory”看起来像是一个胖USB存储棒,但它包含安全功能,使其可以充当自加密的数据存储,TOR路由器,密码储物储存器和许多其他内容。
巴里萨尼(Barisani)带着五个拇指大小的电路板到达巴黎,但他说他希望回家回家,因为对USB军械库的兴趣在这里很高。每个板都包含一个MicroSD卡的插座,来自Freescale半导体的I.MX53处理器,一半的内存千兆字节以及以USB连接器形式的一排镀金触点。
他说,这台微型计算机与现在无聊的覆盆子Pi一样强大。但是,它没有针对屏幕,键盘或电源的连接:只是最小的处理器,内存和存储。它依靠主机PC通过USB连接器提供电源和通信,并通过microSD卡加载其操作系统。“我们默认情况下使用Debian或Ubuntu,” Barisani说。
设备功率的关键(以及将其与其他许多USB棒计算机区分开来)的关键是处理器的选择:I.MX53包括ARM的Trustzone Trustzone Trust tublecution执行环境。
Barisani说:“它有许多安全属性,包括安全启动。”
该处理器还设有一个可信赖的加密密钥商店,使USB Armory变成一个自加密的USB棒,如果插入未经授权的计算机,可以擦除加密键。加密内存不必作为本地磁盘驱动器出现:“我们可以通过USB连接模仿网络设备,以便我们可以像任何网络驱动器一样与之通信,”他说。
该网络仿真也具有其他安全应用程序,包括通过SSH或VPN(即使是从不受信任的计算机)提供安全访问的安全访问权限,或者允许匿名浏览TOR,而无需在PC上安装TOR客户端。
“如果我使用的是我不信任的互联网售货亭,我将无法在家中进入系统,因为我不信任密码,而且我没有任何钥匙。但是我可以将其插入并使用一次性密码连接到它,然后使用存储的密钥从中从中进行SSH回家。” Barisani解释说。
使用USB军械库作为TOR或VPN客户端,涉及将流量路由到设备。他说:“在Linux或Windows上非常容易。”
可以通过交换它们之间的加密键来配对两个这样的设备。然后,他们的两个所有者将能够加密和交换文件。他说:“我们可以用拖放方式安全地进行沟通。”
他说:“这个想法是为个人安全应用程序提供一个安全的平台。”他说:“希望人们希望以与Arduino,Raspberry Pi等相同的方式构建应用程序。”
虽然五个幸运的参与者没有这样的骗局将带着一个原型USB军械库回家,但我们其余的人将不得不等待。Barisani预计将在两到三周内收到发布候选人的样本,并且反路很快将进行预订对于一千或更多的最初生产运行,计划在今年年底左右。
鉴于7月的Blackhat 2014会议的启示,安全的USB设备的概念似乎不协调。在那里,SR实验室的Karsten Nohl证明了“ badusb,”一种用于重编程某些USB控制器芯片的技术,以便他们可以使用恶意软件感染PC。十月初研究人员发布了可以复制BADUSB攻击的代码。从那时起,许多USB设备就成为可疑的,因为在主机PC上运行的传统安全软件无法检测到攻击,并且没有简单的方法来识别哪些设备可能是脆弱的或不可信的。
Barisani说,尽管可以对USB Armory进行编程以模仿软件中的各种USB外围设备,但它对Badusb攻击是无敌的。这是因为一旦其操作系统和应用程序已被密码签名,处理器的安全引导功能可以拒绝修改或无符号代码。但是,强大的责任是:USB Armory的灵活性意味着它可以编程以进行BADUSB攻击,或者对白帽笔测试仪和黑帽黑客攻击有用的任何其他邪恶功能。
USB军械库与脆弱的USB设备不同的另一个关键方法是将其带给最终用户。使Badusb如此威胁的原因是,很难告诉USB设备包含什么控制器或组件来自何处,因此您永远不知道是否信任给定的USB设备。Barisani, though, intends to be transparent about USB Armory’s components: Inverse Path is offering the design as “open hardware,” so if you don’t trust the company’s manufacturer, you can build a one for yourself using components from sources you do trust. The prototypeUSB Armory设计文件在GitHub上,并且逆路径计划在准备制造后立即发布生产版本的文件。