Обеспечение безопасности интернета вещей

С настольным компьютером или умным мобильным устройством добавить защиту легко. Просто установите пакет безопасности или антивирусное приложение, и все готово. Это легко, потому что рассматриваемые устройства работают на современных операционных системах, которые поддерживают многозадачность и межпроцессное взаимодействие. Эта целая модель защиты разрушается, когда речь идет о многих подключенных устройствах, которые составляют то, что мы называем Интернетом вещей (IoT).

ПК и смартфоны обладают достаточной вычислительной мощностью; они также стоят много долларов. Производитель, который хочет добавить подключение к Интернету для куклы или настенной розетки, должен тратить как можно меньше, иначе продукт не будет конкурентоспособным. Эти устройства даже не имеют операционной системы как таковой. Весь код встроен в прошивку, и вы не можете просто включить антивирус в прошивку.

В случае проблем с безопасностью или других ошибок производитель просто перезаписывает прошивку новой версией. К сожалению, мошенники могут использовать эту встроенную возможность обновления прошивки для гнусных целей. А как насчет замены прошивки вашего умного дверного замка новой версией, которая делает все, что должно, но также открывается по команде мошенника? Этот тип атаки является обычным явлением, и результаты обычно неприятны. Есть ли надежда?

Арксан внутри

На недавней конференции RSA в Сан-Франциско я разговаривал с Патриком Кехо, директором по маркетингу Arxan Technologies, и Джонатаном Картером, руководителем проекта по проекту обратного инжиниринга и предотвращения модификации кода (довольно много!). Проще говоря, команда Картера помогает разработчикам приложений внедрить средства защиты прямо в прошивку.

Картер объяснил, что некоторые атаки на устройства IoT направлены на перехват и манипулирование или дублирование сетевого трафика между устройством и сервером или смартфоном. Но защита Арксана идет глубже. «Мы концентрируемся на активности внутри мобильного устройства, внутри устройства IoT», - сказал Картер. «То, что мы делаем за кулисами, мы в первую очередь не дадим злоумышленнику перехватить трафик. Это не на уровне сети, а в самих приложениях. Во время выполнения мы можем обнаружить, пытался ли кто-то заразить код прошивки."

Когда разработчик компилирует код с использованием технологии Arxan, самозащита встроена прямо в прошивку. Его компоненты контролируют активный код (и друг друга), чтобы обнаружить и предотвратить любые изменения. В зависимости от атаки и выбора разработчика, защитный код может завершить работу скомпрометированного приложения, исправить повреждение, отправить предупреждение или все три.

Не можете скопировать меня!

Конечно, если злоумышленнику удастся полностью заменить прошивку, весь этот защитный код исчезнет вместе с остальной частью оригинальной прошивки. Вот где появляется технология запутывания в Arxan. Проще говоря, при создании кода прошивки технология Arxan использует много разных приемов, чтобы сделать разборку и обратную разработку прошивки чрезвычайно сложной.

Почему это важно? В типичной атаке с заменой прошивки мошенникам необходимо поддерживать работоспособность существующих функций прошивки. Если взломанная говорящая кукла перестанет говорить, вы, скорее всего, выбросите ее, прежде чем злоумышленники смогут использовать ее в своей сети. Если ваш взломанный умный дверной замок не откроется вам , вы почувствуете запах крысы.

Картер отметил, что у производителей есть и другие причины для защиты прошивок от обратного инжиниринга. «Они беспокоятся о клонировании или подделке IoT-устройств», - пояснил он. «Некоторые производители обеспокоены продажей хотя бы одного устройства в Китае. Прежде чем они узнают об этом, подделка появляется на долю цены».

«Мы защищаем код, - продолжил Картер, - но разработчики все равно должны следовать рекомендациям по безопасному кодированию. Им необходимо предотвратить атаки переполнения буфера и другие классические уязвимости. Давайте будем беспокоиться о нарушениях целостности».

Вы меня

Картер указал на IoT-устройство с потенциалом атаки, о котором я даже не думал. В эти дни посетители тематических парков Диснея получают Волшебную группу, которая позволяет им разблокировать номер в отеле, войти в парк и даже сделать покупки. Это определенно квалифицируется как IoT-устройство. Если Бигл Бойз взломают ваш Волшебный оркестр, они могут очистить ваш гостиничный номер, а затем пойти на шикарный ужин в Голубой Байу… ваше удовольствие! «Конечно, - размышлял Картер, - Дисней без ума от безопасности». Увы, я не мог уговорить его уточнить.

Должен сказать, я беспокоился, что мы не сможем обеспечить безопасность Интернета вещей. Я не разработчик прошивки, но для меня подход Арксана, предусматривающий защиту внутри необходимой прошивки каждого устройства, кажется чрезвычайно работоспособным подходом.