嵌入式帶來的安全隱患

 

隨著嵌入式網絡設備成本的下降，現在它們已經無處不在了。但是，這種快速擴散的一個隱藏成本是：這些設備可能缺乏安全性，因此可能被攻擊。如果沒有做好安全措施
，設備可能會泄露視頻、圖像或音頻等私人信息，或者成為僵屍網絡的一部分，在全球範圍造成嚴重破壞。

 

01 邊緣計算概括

 

邊緣計算是一種將集中式計算資源轉移到更靠近數據源所在地的範式。它具有多個優勢，包括：

 

●   可斷網工作

●   響應速度更快

●   各級計算需求之間的平衡得到了改善

 

圖1：邊緣計算架構圖顯示了雲基礎設施與邊緣聯網設備之間的關係

（圖源：貿澤電子）

 

如圖1所示，雲基礎設施管理邊緣設備。物聯網（IoT）設備通過邊緣設備（如邊緣網關）連接到雲，以盡量縮小全局通信範圍。

 

說明性圖表顯示了一個框，左側的雲基礎設施連接到中間的雲內的互聯網。然後邊緣設備連接到右側的互聯網
，3個物聯網設備連接到邊緣設備。

 

根據總部位於德國的統計數據庫公司Statista估計
，2018年，全球共有230億台連接到物聯網的設備，專家預計

，到2025年，這一數字將增至750億台。針對物聯網設備的Mirai惡意軟件在2016年(nian)中(zhong)斷(duan)了(le)數(shu)百(bai)萬(wan)人(ren)的(de)互(hu)聯(lian)網(wang)訪(fang)問(wen)，說(shuo)明(ming)這(zhe)些(xie)設(she)備(bei)需(xu)要(yao)更(geng)好(hao)的(de)安(an)全(quan)性(xing)。事(shi)實(shi)上(shang)，當(dang)攻(gong)擊(ji)者(zhe)發(fa)現(xian)某(mou)個(ge)特(te)定(ding)設(she)備(bei)的(de)漏(lou)洞(dong)時(shi)


，就(jiu)可(ke)以(yi)將(jiang)該(gai)漏(lou)洞(dong)大(da)規(gui)模(mo)應(ying)用(yong)於(yu)其(qi)他(ta)相(xiang)同(tong)設(she)備(bei)。

 

suizheyuelaiyueduodeshebeikuosandaobianyuan，zhexieshebeidefengxianyesuizhizengjia。lianwangshebeishigongjizhedegongtongmubiao，tamenkeyiliyongzhexieshebeiyinqiguanzhu
，huozhegengchangjiandikuozhanjiangshiwangluo。xiamian，womenjiulaitantaoyixiebaohubianyuanjisuanshebeidefangfa。

 

02 保護設備

 

要(yao)探(tan)討(tao)設(she)備(bei)並(bing)理(li)解(jie)它(ta)的(de)漏(lou)洞(dong)是(shi)如(ru)何(he)被(bei)利(li)用(yong)的(de)，我(wo)們(men)先(xian)看(kan)一(yi)下(xia)什(shen)麼(me)叫(jiao)做(zuo)攻(gong)擊(ji)麵(mian)。設(she)備(bei)的(de)攻(gong)擊(ji)麵(mian)是(shi)指(zhi)攻(gong)擊(ji)者(zhe)可(ke)以(yi)嚐(chang)試(shi)利(li)用(yong)其(qi)攻(gong)擊(ji)設(she)備(bei)或(huo)從(cong)設(she)備(bei)中(zhong)提(ti)取(qu)數(shu)據(ju)的(de)所(suo)有(you)點(dian)。攻(gong)擊(ji)麵(mian)可(ke)包(bao)括(kuo)：

 

●   與設備對接的網絡端口

●   串行端口

●   用於升級設備的固件更新過程

●   物理設備本身

 

03 攻擊途徑（Attack Vector）

 

攻gong擊ji麵mian代dai表biao著zhe設she備bei存cun在zai的de風feng險xian
，是shi安an全quan防fang禦yu的de重zhong點dian。因yin此ci

，保bao護hu設she備bei就jiu是shi一yi個ge理li解jie設she備bei可ke能neng存cun在zai的de攻gong擊ji途tu徑jing並bing保bao護hu它ta們men以yi減jian少shao攻gong擊ji麵mian的de過guo程cheng。

 

常見的攻擊途徑通常包括：

 

●   接口

●   協議

●   服務

 

圖2：該圖顯示了一個簡單邊緣設備的潛在攻擊途徑。

（圖源：貿澤電子）

 

從圖2我們可以看到，一些攻擊途徑來自於網絡或本地接口

、設備上運行的固件周圍的各種麵，甚至物理包本身。下麵我們來探討一些攻擊途徑以及如何保護它們。

 

04 通信

 

攻擊接口或協議是一個多層次的問題。與雲端通信本身存在安全性問題，包括數據安全性以及通過一個或多個協議（如HTTP）訪問設備的安全性。

 

傳輸層安全性（TLS）應(ying)保(bao)護(hu)與(yu)設(she)備(bei)的(de)所(suo)有(you)來(lai)回(hui)通(tong)信(xin)。這(zhe)種(zhong)類(lei)型(xing)的(de)加(jia)密(mi)協(xie)議(yi)包(bao)括(kuo)身(shen)份(fen)驗(yan)證(zheng)
，以(yi)確(que)保(bao)雙(shuang)方(fang)都(dou)清(qing)楚(chu)他(ta)們(men)在(zai)與(yu)誰(shui)通(tong)信(xin)
，以(yi)及(ji)所(suo)有(you)數(shu)據(ju)的(de)加(jia)密(mi)，以(yi)避(bi)免(mian)竊(qie)聽(ting)攻(gong)擊(ji)。這(zhe)對(dui)於(yu)通(tong)過(guo)公(gong)共(gong)網(wang)絡(luo)（如互聯網）與遠程雲通信的邊緣設備而言是理想選擇。

 

考慮到數據在IP網wang絡luo上shang的de移yi動dong速su度du，為wei了le高gao效xiao管guan理li身shen份fen驗yan證zheng和he數shu據ju加jia密mi與yu解jie密mi，必bi須xu進jin行xing硬ying件jian加jia速su。具ju有you硬ying件jian加jia密mi加jia速su功gong能neng的de處chu理li器qi包bao含han為wei實shi現xian傳chuan輸shu層ceng安an全quan性xing（TLS）而進行的片上加密加速，可確保與遠程係統的安全通信。

 

使用Kerberos等協議進行身份驗證可以確保客戶機和服務器安全地標識自己。Kerberos依賴於對稱密鑰加密或公鑰加密
，這兩種加密都可以使用包含加密引擎的處理器來加速。

 

05 協議端口

 

與網絡接口一起使用的協議端口是聯網設備上最普遍的攻擊途徑之一。這些端口使對設備的協議訪問暴露於風險之中。例如，web接口通常通過端口80而暴露，因此向攻擊者提供有關可攻擊的漏洞類型的信息。

 

保bao護hu這zhe些xie端duan口kou的de最zui簡jian單dan方fang法fa之zhi一yi是shi使shi用yong防fang火huo牆qiang。防fang火huo牆qiang是shi設she備bei上shang的de應ying用yong程cheng序xu，您nin可ke以yi將jiang其qi配pei置zhi為wei限xian製zhi對dui端duan口kou的de訪fang問wen，從cong而er保bao護hu端duan口kou。例li如ru，防fang火huo牆qiang可ke以yi規gui定ding禁jin止zhi訪fang問wen指zhi定ding端duan口kou（預定義的受信任主機除外）。這樣可以限製對端口的訪問，有助於避免利用協議漏洞的常見攻擊，如緩衝區溢出攻擊。

 

06 固件更新

 

邊bian緣yuan設she備bei正zheng在zai變bian得de越yue來lai越yue複fu雜za
，執zhi行xing著zhe比bi前qian幾ji代dai更geng先xian進jin的de功gong能neng
，包bao括kuo機ji器qi學xue習xi應ying用yong程cheng序xu。伴ban隨sui著zhe這zhe種zhong複fu雜za性xing，需xu要yao修xiu複fu問wen題ti並bing發fa布bu設she備bei更geng新xin。但dan是shi
，固gu件jian更geng新xin過guo程cheng會hui產chan生sheng攻gong擊ji途tu徑jing。通tong過guo在zai邊bian緣yuan安an全quan計ji劃hua中zhong對dui固gu件jian更geng新xin實shi施shi安an全quan措cuo施shi
，可ke以yi減jian輕qing攻gong擊ji者zhe帶dai來lai的de風feng險xian。

 

daimaqianmingshiyizhongchangyongdeanquanfangfa，yongyubimianeyidaimajinrushebei。zhexuyaoshiyongjiamisanliehanshuduigujianyingxiangjinxingshuziqianming。jiamisanliehanshukezaigujiangengxinguochengzhiqianzaishebeishangshiyong，yiquebaodaimashizhenshide
，bingqiezaiqianminghouweibeigenggai。

 

已(yi)簽(qian)名(ming)的(de)代(dai)碼(ma)也(ye)可(ke)以(yi)在(zai)引(yin)導(dao)時(shi)使(shi)用(yong)，以(yi)確(que)保(bao)本(ben)地(di)存(cun)儲(chu)設(she)備(bei)中(zhong)的(de)固(gu)件(jian)沒(mei)有(you)被(bei)更(geng)改(gai)。這(zhe)包(bao)括(kuo)兩(liang)種(zhong)攻(gong)擊(ji)途(tu)徑(jing)，一(yi)是(shi)利(li)用(yong)設(she)備(bei)的(de)更(geng)新(xin)過(guo)程(cheng)，試(shi)圖(tu)使(shi)用(yong)存(cun)在(zai)漏(lou)洞(dong)的(de)圖(tu)像(xiang)更(geng)新(xin)設(she)備(bei)，二(er)是(shi)保(bao)護(hu)設(she)備(bei)，使(shi)其(qi)不(bu)受(shou)強(qiang)製(zhi)塞(sai)入(ru)本(ben)地(di)存(cun)儲(chu)設(she)備(bei)的(de)圖(tu)像(xiang)的(de)影(ying)響(xiang)。

 

使用可信平台模塊（TPM）也頗有好處。TPM是一個安全加密處理器，專門用於安全功能，通常包括哈希生成、密鑰存儲、哈希和加密加速以及其他多種功能。

 

07 物理安全措施

 

防fang篡cuan改gai設she計ji可ke以yi幫bang助zhu檢jian測ce設she備bei是shi否fou已yi被bei物wu理li打da開kai或huo以yi某mou種zhong方fang式shi受shou到dao損sun害hai。這zhe還hai包bao括kuo盡jin可ke能neng減jian少shao外wai部bu信xin號hao
，以yi限xian製zhi攻gong擊ji者zhe監jian視shi其qi控kong製zhi的de設she備bei和he發fa現xian漏lou洞dong的de方fang式shi。攻gong擊ji者zhe可ke能neng試shi圖tu監jian視shi總zong線xian信xin號hao以yi識shi別bie安an全quan信xin息xi，並bing且qie在zai極ji端duan情qing況kuang下xia，可ke能neng會hui對dui設she備bei施shi加jia溫wen度du變bian化hua、更改時鍾信號，甚至通過使用輻射來誘發錯誤。搞清楚潛在攻擊者用來了解您的設備的方法將有助於打造更安全的產品。

 

08 從何處了解更多信息

 

隨(sui)著(zhe)當(dang)今(jin)網(wang)絡(luo)戰(zhan)的(de)不(bu)斷(duan)發(fa)展(zhan)
，個(ge)人(ren)和(he)國(guo)家(jia)可(ke)以(yi)有(you)各(ge)種(zhong)動(dong)機(ji)來(lai)尋(xun)求(qiu)利(li)用(yong)設(she)備(bei)漏(lou)洞(dong)，邊(bian)緣(yuan)安(an)全(quan)是(shi)一(yi)場(chang)漫(man)長(chang)而(er)艱(jian)難(nan)的(de)戰(zhan)鬥(dou)。但(dan)是(shi)
，采(cai)取(qu)現(xian)代(dai)安(an)全(quan)措(cuo)施(shi)並(bing)在(zai)產(chan)品(pin)開(kai)發(fa)之(zhi)初(chu)就(jiu)考(kao)慮(lv)安(an)全(quan)問(wen)題(ti)，將(jiang)大(da)大(da)有(you)助(zhu)於(yu)確(que)保(bao)設(she)備(bei)的(de)安(an)全(quan)性(xing)。及(ji)早(zao)分(fen)析(xi)設(she)備(bei)的(de)攻(gong)擊(ji)麵(mian)將(jiang)有(you)助(zhu)於(yu)確(que)定(ding)把(ba)注(zhu)意(yi)力(li)集(ji)中(zhong)在(zai)何(he)處(chu)
，以(yi)便(bian)開(kai)發(fa)更(geng)安(an)全(quan)的(de)設(she)備(bei)。您(nin)可(ke)以(yi)在(zai)貿(mao)澤(ze)安(an)全(quan)博(bo)客(ke)了(le)解(jie)更(geng)多(duo)詳(xiang)情(qing)。

 

來源：貿澤電子，原創：M. Tim Jones  

 

 

免責聲明：本文為轉載文章，轉載此文目的在於傳遞更多信息，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問題，請聯係小編進行處理。

 

推薦閱讀：

 

矽晶體管創新還有可能嗎？意法半導體超結MDmesh案例研究