Zabezpečení internetu věcí

Díky stolnímu počítači nebo chytrému mobilnímu zařízení je přidání bezpečnostní ochrany snadné. Stačí nainstalovat sadu zabezpečení nebo antivirovou aplikaci a máte hotovo. Je to snadné právě proto, že dotyčná zařízení provozují pokročilé operační systémy, které zpracovávají multitasking a meziprocesovou komunikaci. Celý tento model ochrany se rozpadá, pokud jde o mnoho připojených zařízení, která tvoří to, čemu říkáme Internet věcí (IoT).

Počítače a chytré telefony mají dostatek výpočetního výkonu; stojí také spoustu dolarů. Výrobce, který chce do panenky nebo do zásuvky přidat připojení k internetu, musí utratit co nejméně, jinak nebude produkt konkurenceschopný. Tato zařízení nemají ani operační systém jako takový. Celý kód je zabudován do firmwaru a do firmwaru nemůžete jen zavést antivirový program.

V případě problému s bezpečností nebo jiné chyby výrobce jednoduše přepíše firmware novou verzí. Bohužel, podvodníci mohou využít tuto vestavěnou možnost aktualizace firmwaru pro nebezpečné účely. Co takhle vyměnit firmware vašeho inteligentního zámku dveří za novou verzi, která dělá vše, co má, ale otevírá se také příkazem podvodníka? Tento druh útoku je běžný a výsledky jsou obvykle nepříjemné. Existuje nějaká naděje?

Arxan Uvnitř

Na nedávné konferenci RSA v San Franciscu jsem hovořil s Patrickem Kehoe, CMO společnosti Arxan Technologies a Jonathanem Carterem, vedoucím projektu pro projekt zpětného inženýrství a prevence změn kódu (docela sousto!). Zjednodušeně řečeno, co dělá tým Cartera, je pomoc vývojářům aplikací pečet zabezpečení přímo do firmwaru.

Carter vysvětlil, že některé útoky proti zařízením IoT se zaměřují na zachycení a manipulaci nebo duplikování síťového provozu mezi zařízením a serverem nebo smartphonem. Ale ochrana Arxana jde hlouběji. "Zaměřujeme se na aktivitu v mobilním zařízení, v zařízení IoT, " řekl Carter. "Co děláme v zákulisí, zabraňujeme tomu, aby zloděj zachytil provoz na prvním místě. To není na úrovni sítě, to je v samotných aplikacích. Za běhu můžeme zjistit, zda se někdo pokusil nakazit kód firmwaru. “

Když vývojář kompiluje kód pomocí technologie Arxan, je do firmwaru vestavěna ochrana. Jeho komponenty sledují aktivní kód (a navzájem), aby detekovaly a zabránily jakýmkoli změnám. V závislosti na útoku a možnostech vývojáře může ochranný kód vypnout ohroženou aplikaci, opravit poškození, odeslat upozornění nebo všechny tři.

Nelze kopírovat!

Samozřejmě, pokud se útočníkovi podaří firmware úplně vyměnit, zmizí veškerý tento strážní kód spolu se zbytkem původního firmwaru. To je místo, kde přichází technologie společnosti Arxan pro nejasnosti. Jednoduše řečeno, během vytváření kódu firmwaru používá technologie Arxan mnoho různých triků k tomu, aby byl rozebrání a zpětné inženýrství firmwaru velmi obtížné.

Proč je toto důležité? Při typickém útoku na nahrazení firmwaru musí podvodníci udržovat funkční funkce firmwaru funkční. Pokud hacknutá mluvící panenka přestane mluvit, pravděpodobně ji zahodíte dříve, než ji zlí chlapci použijí k zapletení do vaší sítě. Pokud se vám váš hacknutý inteligentní zámek dveří neotevře, budete cítit krysu.

Carter poukázal na to, že výrobci mají jiné důvody k ochraně firmwaru proti zpětnému inženýrství. „Bojí se klonování nebo padělání zařízení internetu věcí, “ vysvětlil. „Někteří výrobci se obávají, že v Číně prodají i jedno zařízení. Než to budou vědět, objeví se zlomek ceny za zlomek ceny.“

„Zbrojí jsme kód, “ pokračovala Carterová, „ale vývojáři by měli stále dodržovat pokyny pro bezpečné kódování. Musí čelit útokům přetečením vyrovnávací paměti a dalším klasickým zranitelnostem.

Ty jsi já

Carter poukázal na zařízení internetu věcí s potenciálem útoku, o kterém jsem ani neuvažoval. V těchto dnech dostávají návštěvníci zábavních parků Disney Magic Band, který jim umožňuje odemknout hotelový pokoj, vstoupit do parku a dokonce nakupovat. Rozhodně se kvalifikuje jako zařízení IoT. Pokud Beagle Boys proniknou do vaší Magic Band, mohli vyčistit váš hotelový pokoj a pak se vydat na fantastickou večeři v Blue Bayou… vaše léčba! „Samozřejmě, " přemýšlela Carterová, „Disney je blázen do bezpečnosti." Bohužel, nemohl jsem ho přimět, aby ho propracoval.

Musím říct, že jsem se obával, že nebudeme schopni zajistit internet věcí. Nejsem vývojář firmwaru, ale pro mě se Arxanův přístup, který dává ochranu do potřebného firmwaru každého zařízení, jeví jako nápaditě proveditelný přístup.