物理安全基础 - 从肩窥到 USB 攻击

本文约需 12 分钟阅读

网络安全讨论往往集中在软件漏洞和网络攻击上，但物理安全漏洞仍然是最有效且最被低估的攻击向量之一。Verizon 2023 年数据泄露调查报告发现，9% 的数据泄露涉及物理行为，美国国土安全部的红队测试显示，基于社会工程学的物理入侵成功率高达 90%。从咖啡店里的肩窥到停车场散落的武器化 USB 驱动器，攻击者利用数字防御与物理现实之间的差距。本文分析物理安全威胁的机制，并为个人和组织提供可操作的对策。

肩窥的实态

视觉窃听的手法与统计

肩窥是通过从背后或旁边窥视他人的屏幕或键盘操作来窃取认证信息的手法。虽然看起来是低技术手段，但其效果不容小觑。慕尼黑大学 2022 年的研究报告显示，73% 的受试者在公共场所输入智能手机 PIN 时没有确认周围环境，经过训练的观察者仅通过一次观察就能准确读取 64% 的 6 位 PIN。虽然 ATM 密码窥视是经典手法，但现代的主要目标是咖啡店和共享办公空间的密码输入以及电车内的智能手机操作。

日益高级的视觉攻击

现代肩窥不仅仅依靠肉眼。已确认的手法包括使用长焦镜头从数十米外拍摄屏幕，以及利用反射面（窗玻璃、太阳镜、智能手机屏幕）间接窥视。2023 年，以色列研究团队发表了通过 Wi-Fi 信号反射模式推测按键的技术。虽然精度有限，但作为不需要物理视线的新威胁而受到关注。作为对策，安装隐私滤镜最为立竿见影。3M 的调查报告显示，使用隐私滤镜可将视觉窃听风险降低 96%。

USB 投放攻击与恶意设备

为什么人们会插入捡到的 USB

USB 投放攻击是将装有恶意软件的 USB 存储器故意丢在停车场或办公室大厅，期待捡到的人将其插入电脑的攻击方式。伊利诺伊大学 2016 年的实验在校园散布了 297 个 USB 存储器，其中 48% 实际被连接到了电脑上。第一个 USB 被连接的时间仅为 6 分钟。人类的好奇心和"想归还给失主"的善意是使这种攻击成功的心理因素。

BadUSB 与 Rubber Ducky

比简单的恶意软件 USB 更危险的是被称为 BadUSB 的固件级攻击。通过重写 USB 设备固件，使其被识别为键盘或网络适配器，从而绕过操作系统的安全机制。Hak5 公司的 USB Rubber Ducky 是利用这一原理的渗透测试工具，插入后数秒内即可自动执行脚本。截至 2024 年价格约 80 美元，对攻击者来说成本极低。作为对策，通过 Windows 组策略或 macOS 配置文件限制 USB 设备类别，阻止未授权设备连接是有效的。

尾随与物理入侵

尾随入侵的心理学

尾随（共同进入）是紧跟在合法入馆者身后通过门禁非法进入建筑物的手法。"帮忙扶门"这种日常礼仪成为了安全漏洞。Ponemon Institute 的调查显示，71% 的员工表示曾为陌生人扶过门。攻击者通过双手抱着物品或假装在打电话，制造让人自然为其开门的情境。现实是，抱着大纸箱说"快递"，大多数人都会毫不怀疑地开门。

物理入侵后的损害场景

入侵建筑物的攻击者可以执行多种行为：从无人看管的电脑窃取信息、在网络端口安装窃听设备、物理访问服务器机房、拍摄文件和白板等。2019 年 Equifax 数据泄露调查指出，物理访问控制的不足是泄露扩大的因素之一。特别危险的是安装直接连接网络的小型设备（约 Raspberry Pi 大小）。这使攻击者能够维持对内部网络的持续远程访问，在被发现之前可能持续数月窃取数据。

屏幕锁定与清洁桌面策略

离席时的 5 秒规则

屏幕锁定是最基本且最有效的物理安全对策。Windows 上按 Win+L，macOS 上按 Ctrl+Command+Q 即可立即锁定。SANS Institute 建议将自动锁定超时设置在 5 分钟以内，但理想情况是养成离席时手动锁定的习惯。"只是去个洗手间""只是去拿杯咖啡"的大意，就是信息泄露的入口。实际上，从未锁定的电脑中带走机密信息的案例在内部不正行为调查报告中反复出现。

清洁桌面防止的信息泄露

清洁桌面策略是离席或下班时将机密文件和存储介质从桌面清理的规则。虽然是 ISO 27001 推荐的基本安全管理措施，但实践率很低。PwC 的调查显示，58% 的员工表示曾将机密文件放在桌上。便签上写的密码、打印的邮件、会议资料、写有访客 Wi-Fi 密码的白板等，物理信息源无处不在。请始终意识到清洁人员和访客等进出办公室的第三方看到这些信息的风险。

移动设备的物理安全

智能手机和笔记本电脑的盗窃和丢失是物理安全中最频繁的事件。根据 Kensington 2023 年报告，仅在美国每年就有约 70 万台笔记本电脑在机场丢失或被盗。启用设备加密（BitLocker、FileVault）即使被盗也难以访问数据。务必设置远程擦除功能（Find My iPhone、Find My Device）。笔记本电脑使用 Kensington 锁，养成在咖啡店和会议室临时离席时也物理固定的习惯。

关于旅行安全，请参阅旅行网络安全。要系统地学习物理安全对策，物理安全指南 (Amazon)可供参考。

组织的物理安全战略

多层防御设计

物理安全也应遵循纵深防御原则。从建筑外围（围栏、监控摄像头）、入口（前台、入馆证）、楼层（IC 卡认证）到服务器机房（生物认证、双人规则），逐步提高安全级别。即使一层被突破，下一层也能阻止入侵的设计很重要。Google 的数据中心实施了 6 层物理安全，到达服务器机房需要通过包括虹膜扫描在内的多重认证。

现在就能做的事

1. 将自动锁定设置在 5 分钟以内，养成离席时手动锁定（Win+L / Ctrl+Cmd+Q）的习惯
2. 启用智能手机和笔记本电脑的设备加密和远程擦除
3. 绝对不要将来源不明的 USB 存储器插入电脑。如果捡到，交给 IT 部门
4. 使用 Passtsuku.com 为每个服务设置唯一的强密码，即使设备被盗也能防止因密码重用导致的损害扩大

常见问题

防止肩窥最有效的方法是什么？

安装隐私滤镜最为立竿见影。3M 的调查报告显示可将视觉窃听风险降低 96%。此外，在公共场所输入密码时确认周围环境，优先使用生物认证或通行密钥等即使被看到也安全的认证方式。

捡到的 USB 存储器该怎么办？

绝对不要插入自己的电脑。可能是 USB 投放攻击。在工作场所捡到的话交给 IT 部门或安全负责人。在公共场所捡到的话交给设施管理者或直接放着。

物理安全和网络安全哪个更重要？

两者都不可或缺。无论设置多么强大的防火墙或密码，如果攻击者能物理访问服务器就毫无意义。反之，物理安全的环境对网络攻击也无能为力。重要的是用纵深防御的思维从物理和网络两方面构建安全。