Забезпечення Інтернету речей

За допомогою настільного комп’ютера чи смарт-мобільного пристрою додати захист легко. Просто встановіть пакет безпеки або антивірусний додаток, і ви закінчили. Це легко саме тому, що на розглянутих пристроях працюють передові операційні системи, які підтримують багатозадачність та міжпроцесорний зв’язок. Ціла модель захисту розпадається, коли мова йде про безліч підключених пристроїв, які складають те, що ми називаємо Інтернетом речей (IoT).

ПК та смартфони мають велику потужність обробки; вони також коштують багато доларів. Виробник, який хоче додати підключення до Інтернету до ляльки чи настінної розетки, повинен витратити якомога менше коштів, інакше продукт не буде конкурентоспроможним. На цих пристроях навіть немає операційної системи як такої. Весь код вбудований у прошивку, і ви не можете просто ввімкнути антивірус у прошивку.

У разі виникнення проблеми із безпекою чи іншої помилки, виробник просто перезаписує мікропрограму з новою версією. На жаль, шахраї можуть використовувати цю вбудовану можливість оновлення вбудованого програмного забезпечення для нечесних цілей. Що з заміною прошивки вашого розумного замка на дверну нову версію, яка виконує все, що потрібно, але також відкриває команду шахрая? Цей вид нападу поширений, а результати, як правило, неприємні. Чи є надія?

Арксан всередині

На недавній конференції RSA в Сан-Франциско я розмовляв з Патріком Кехо, CMO компанії Arxan Technologies, та Джонатаном Картером, керівником проекту для проекту зворотної інженерії та модифікації коду (досить приємно!). Найпростіше кажучи, те, що робить команда Carter, - це допомогти розробникам додатків забезпечити безпеку прямо на прошивці.

Картер пояснив, що деякі атаки на пристрої IoT зосереджені на перехопленні та маніпулюванні або дублюванні мережевого трафіку між пристроєм та сервером або смартфоном. Але захист Арксана йде глибше. "Ми зосереджені на діяльності в мобільному пристрої, в пристрої IoT", - сказав Картер. "Що ми робимо за лаштунками, ми в першу чергу зупиняємо поганого хлопця від перехоплення трафіку. Це не на рівні мережі, це в самих додатках. Під час роботи ми можемо виявити, чи хтось намагався заразити код прошивки. "

Коли розробник компілює код за допомогою технології Arxan, самозахист вбудовується прямо в прошивку. Його компоненти контролюють активний код (і один одного), щоб виявити та запобігти будь-яким змінам. Залежно від атаки та вибору розробника, захисний код може вимкнути компрометований додаток, відремонтувати пошкодження, надіслати сповіщення або всі три.

Неможливо скопіювати мене!

Звичайно, якщо зловмисникові вдасться повністю замінити прошивку, весь цей захисний код зникає разом із рештою оригінальної прошивки. Ось тут і застосовується технологія затухання Arxan. Простіше кажучи, під час створення коду вбудованого програмного забезпечення технологія Arxan використовує багато різних хитрощів, щоб зробити розбирання та реверс інженерії вбудованого програмного забезпечення надзвичайно важким.

Чому це важливо? У типовій атаці заміни прошивки шахраї повинні підтримувати існуючі функції вбудованого програмного забезпечення. Якщо зламана лялька, що розмовляє, перестає говорити, ви, швидше за все, відкинете її, перш ніж недоброзичливці зможуть її використати для того, щоб промайнути у вашій мережі. Якщо ваш зламаний розумний дверний замок вам не відкриється, ви відчуєте запах щура.

Картер зазначив, що у виробників є інші причини захисту прошивки від зворотної інженерії. "Вони турбуються про клонування або підробку пристроїв IoT", - пояснив він. "Деякі виробники стурбовані продажем навіть одного пристрою в Китаї. Перш ніж вони це знають, обробка з'являється за частку ціни".

"Ми озброюємо код", - продовжував Картер, - але розробники повинні все-таки дотримуватися вказівок щодо безпечного кодування. Їм потрібно відхилити атаки переповнення буфера та інші класичні вразливості. Будьмо турбуватися про порушення цілісності ".

Ти - це я

Картер вказав на пристрій IoT з потенціалом атаки, про який я навіть не думав. У ці дні відвідувачі тематичних парків Діснея отримують Magic Band, який дозволяє їм розблокувати готельний номер, зайти в парк і навіть зробити покупки. Це безумовно кваліфікується як пристрій IoT. Якщо хлопці Beagle зламують ваш Magic Band, вони можуть прибрати ваш готельний номер, а потім піти на вишукану вечерю у Blue Bayou … ваше частування! "Звичайно, - задумливо розважав Картер, -" Діснея "шалено велика щодо безпеки". На жаль, я не міг придушити його до розробки.

Треба сказати, я побоювався, що нам не вдасться забезпечити IoT. Я не розробник мікропрограмного забезпечення, але для мене підхід Arxan, який забезпечує захист всередині необхідної мікропрограми кожного пристрою, видається надзвичайно працездатним підходом.