据livescience网站2006年8月7日报道,美国研究人员近日提醒人们,连接在电脑上的键盘和其他设备很容易遭“窃听”,密码或其他敏感数据很容易被泄漏。宾夕法尼亚大学的马修-布雷兹副教授打算将这种“窃听器”称为吉特巴格(JitterBug),它们通过在键盘敲击之后,进行几乎无法觉察的延迟处理过程将偷到的数据以“短短续续”数据包的形式向外传输。由于这种键盘的“抖动”,使得任何安全数据和安全措施的都可能受到影响。
这种装置产生的威胁在现实世界中并没有得到真正的认识,宾夕法尼亚大学研究生格拉夫-夏就这一威胁发表的论文最近在加拿大温哥华举行的USENIX安全会议上进行了陈述,该论文被会议的组织者评为“最佳学生论文”。
在对这一问题进行的证明中,夏和他的同事们毫不费力的建立了一个装有Jitterbugs装置的功能键盘。他们的工作得到了国家科学基金会计算机安全项目的资助。夏说:“这是间谍的最爱,某人需要通过对你的键盘进行物理接入才能置入一个JitterBug小装置,但如果将这种装置隐藏在很平常的电线中或将原有的键盘换成置有这种装置的键盘,这都是十分容易的事。虽然我们目前还没有任何证据证明有人实际上已经在使用JitterBugs了,但我们知道,如果我们能这么干,肯定还有其他人可以。”
JitterBugs装置类似于键盘敲击信息“搬运工”。此前FBI曾经在Nicodemo Scarfo Jr.案中,在个人电脑中安装了秘密监视系统,利用监视系统中的“关键记录器”设备记录下了Scarfo电脑上的每一个操作,其中包括密码。
但键盘敲击信息收集器需要被安装到使用者的电脑中并通过物理方式取回。而键盘JitterBug只需要安装进去就行了。这种装置将搜集到的信息通过任何交互式的软件应用就可以传输出去,前提是键盘操作同网络活动有连接,这些活动包括即时通讯、SSH(加密数据传输)或远程桌面控制等。夏和他的同事解释说,这一装置通过每次在键盘敲击瞬间进行的短暂的、几乎无法察觉的延迟将偷到的数据传输出去。由于自身储存容量的限制,JitterBug不可能记录并传输每次的按键信息,但它可以通过某个特殊的触动,对某些按键信息进行记录。夏解释说:“例如,可以对JitterBug进行预先编程,如将目标用户的姓名作为触发信息,接下来键入的信息可能是用户的密码,这些密码就会被记录下来。触发信息的编程可以根据所要探测的信息类型进行随机编辑,主要是考虑后面可能跟着的重要信息。”
布雷兹教授对于这一问题十分担忧,他担心如果大量的JitterBug键盘流入市场,将造成“供应链攻击”。夏说:“大多数人通常不会想到自己的键盘和其他输入设备需要进行安全防护,但我们的研究显示,如果人们真正需要一套安全的系统,他们需要保证所有的设备,包括输入设备都是安全可靠的。除了某些有妄想倾向的人,普通人是不需要担心间谍会秘密闯入自己的家中并对自己的电脑键盘装入JitterBug的。”
|