欧美色图 亚洲|野外口爆视频国产|久久精品视频观看|97精品人人抽插

僵尸網(wǎng)絡(luò)帶來物聯(lián)網(wǎng)戰(zhàn)役:重訪嵌入式安全

2018-06-20 09:18:03 來源: 物聯(lián)網(wǎng)在線 熱度:
針對物聯(lián)網(wǎng)(IoT)的僵尸網(wǎng)絡(luò)的崛起已成為快速發(fā)展的新興行業(yè)(如家庭自動化,智能城市和工業(yè)網(wǎng)絡(luò))的明顯和現(xiàn)實危險。雖然僵尸網(wǎng)絡(luò)釋放分布式拒絕服務(wù)(DDoS)攻擊已經(jīng)有相當(dāng)長的一段時間了,但針對物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)并不一定是新的。
 
然而,物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的新發(fā)現(xiàn)是實現(xiàn)了它們的破壞性,以及在嵌入式系統(tǒng)被大量連接到互聯(lián)網(wǎng)時,安全不足可能會炸毀物聯(lián)網(wǎng)方。本文將探討物聯(lián)網(wǎng)設(shè)備安全漏洞方面的僵尸網(wǎng)絡(luò),以及確定抵御設(shè)備攻擊的關(guān)鍵方法。
 
僵尸網(wǎng)絡(luò)及其潛在的利用
 
一個僵尸網(wǎng)絡(luò)是已經(jīng)感染了惡意軟件,允許攻擊者獲得遠程控制和協(xié)調(diào)就像發(fā)動DDoS攻擊的動作連接的設(shè)備的集合。僵尸網(wǎng)絡(luò),也被稱為僵尸軍隊,也可用于發(fā)送垃圾郵件,嗅探敏感密碼并傳播勒索軟件。
 
物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)與基于Windows的同類僵尸網(wǎng)絡(luò)不同之處在于它們是從受損的物聯(lián)網(wǎng)設(shè)備構(gòu)建而成的,并且可以使用龐大的物聯(lián)網(wǎng)網(wǎng)絡(luò)傳播到大量設(shè)備。此外,與通常用于垃圾郵件的常見僵尸網(wǎng)絡(luò)不同,物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)可能會通過影響物聯(lián)網(wǎng)設(shè)備周圍的物理環(huán)境而造成更大的損害。
 
例如,物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)對交通燈的攻擊可能會在整個城鎮(zhèn)造成混亂,并摧毀智能城市基礎(chǔ)設(shè)施。同樣,黑客可以增加智能家庭的熱量水平,并人為地增加對石油或天然氣的需求。
 
另一個明顯的區(qū)別是,與受惡意軟件檢測和防火墻過濾等安全功能保護的個人計算機和服務(wù)器不同,物聯(lián)網(wǎng)設(shè)備正在成為僵尸網(wǎng)絡(luò)的有吸引力的目標(biāo),因為它們通常不使用此類高級安全功能。
 
預(yù)計物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的崛起將在2016年成為一個威脅性的網(wǎng)絡(luò)安全趨勢,但IT安全社區(qū)駁斥了這些物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)構(gòu)成的威脅。當(dāng)時,這種威脅通常被認(rèn)為是相當(dāng)有限的,盡管不久之后,可用的工具包使僵尸網(wǎng)絡(luò)能夠利用不安全的物聯(lián)網(wǎng)設(shè)備中的漏洞。2016年10月的未來襲擊事件是一個關(guān)鍵的轉(zhuǎn)折點。
 
Mirai和另一個稱為Bashlight的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)利用了IP攝像機和數(shù)字錄像機(DVR)等嵌入式設(shè)備中使用的Linux操作系統(tǒng)的縮減版本中的漏洞。通過這樣做,這些物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)利用了網(wǎng)絡(luò)攝像頭等設(shè)備中的已知漏洞,然后從命令與控制(C&C)服務(wù)器下載惡意軟件。
 
接下來,他們開始通過不斷掃描默認(rèn)或硬編碼的用戶名和密碼,將此惡意軟件傳播給其他易受攻擊的設(shè)備。這就是他們通過感染大量連接的設(shè)備來發(fā)起DDoS攻擊的方式。Mirai bot惡意軟件使用了超過150,000臺IP攝像機。
 
僵尸網(wǎng)絡(luò)突出嵌入式系統(tǒng)設(shè)計中的缺陷
 
未來,未來互聯(lián)網(wǎng)連接設(shè)備處于歷史新高且仍在增長的時候,未來安全聯(lián)網(wǎng)設(shè)備的危險性喚醒了呼喚。市場研究公司Gartner預(yù)測到2020年將有208億連接對象加入物聯(lián)網(wǎng)潮流.Mirai還展示了黑客如何控制任何易受攻擊的物聯(lián)網(wǎng)設(shè)備并將其套入僵尸網(wǎng)絡(luò)。未來和其他物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)提高了嵌入式安全的概況,并強調(diào)了嵌入式系統(tǒng)設(shè)計中的主要缺陷:

1.尋求簡單的物聯(lián)網(wǎng)設(shè)計和低成本組件的選擇不可避免地使嵌入式安全成為事后考慮。

2.物聯(lián)網(wǎng)設(shè)備具有足夠的處理能力和存儲空間以實現(xiàn)最低限度的功能,從而將安全考慮推向后座。

3.嚴(yán)格的期限和上市時間壓力有時會導(dǎo)致物聯(lián)網(wǎng)開發(fā)人員完全繞過安全設(shè)計組件。
 
4.許多物聯(lián)網(wǎng)設(shè)計基于軟件和硬件組件的重用,以簡化設(shè)計并降低成本。但是,它還會在完全不同的物聯(lián)網(wǎng)設(shè)備類中顯示默認(rèn)憑據(jù)。
 
5.檢測嵌入式設(shè)備的感染本質(zhì)上很困難,因為它們?nèi)狈Σ僮飨到y(tǒng)透明度和易于訪問; 而不是訪問操作系統(tǒng)本身,監(jiān)視和檢測是通過繁瑣的訪問點完成的,如Web瀏覽器或智能手機應(yīng)用程序。
 
6.大多數(shù)嵌入式系統(tǒng)運行在Linux的一些變體上,除非它被正確地打補丁,配置和硬化,否則它是不安全的。黑客主要利用路由器和機頂盒的Linux漏洞。
 
物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)已經(jīng)影響了IP攝像機,Wi-Fi路由器,網(wǎng)絡(luò)攝像機和機頂盒,并且已經(jīng)被用于對在線游戲服務(wù)發(fā)起DDoS攻擊。黑客也未嘗試將Deutsche Telekom的路由器用作僵尸網(wǎng)絡(luò)的設(shè)備。
 
下一步是什么?智能冰箱,燈泡,門鎖和連接汽車?當(dāng)這些僵尸網(wǎng)絡(luò)及其創(chuàng)建者在銀行,醫(yī)院和智能城市基礎(chǔ)設(shè)施上釋放時,可能會造成更大規(guī)模的破壞。
 
強大的多層安全保護是關(guān)鍵
 
那么,我們?nèi)绾瓮ㄟ^這張通配符在連接產(chǎn)品中構(gòu)建強大的安全級別?我們?nèi)绾卧诙鄠€層面實現(xiàn)安全 - 從傳感器到物聯(lián)網(wǎng)節(jié)點到云端 - 以確保物聯(lián)網(wǎng)網(wǎng)絡(luò)中的多個入口點的安全?安全嵌入式系統(tǒng)的基石包括:
 
1.在嵌入式系統(tǒng)設(shè)計中開發(fā)多層安全保護,包括保護節(jié)點,存儲,網(wǎng)絡(luò)和整個生態(tài)系統(tǒng)。
 
2.設(shè)計安全的嵌入式硬件。
 
實施多層安全保護
 
正如圖1所示,顯影在嵌入式系統(tǒng)設(shè)計多層安全保護包括固定節(jié)點,存儲,網(wǎng)絡(luò),和生態(tài)系統(tǒng)作為一個整體。
 
 
圖1: IoT僵尸網(wǎng)絡(luò)等威脅需要以網(wǎng)絡(luò)為中心的嵌入式系統(tǒng)的多層安全。(來源:Microchip)
 
這些防范物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的最佳實踐與嵌入產(chǎn)品開發(fā)生命周期中的安全框架有著內(nèi)在聯(lián)系:
 
節(jié)點
 
1.使用基于硬件的“信任根”進行安全啟動過程,以確保物聯(lián)網(wǎng)設(shè)備以已知且安全的狀態(tài)運行,并確保其內(nèi)容保密。安全啟動 - 嵌入式設(shè)備安全的基石 - 是防止僵尸網(wǎng)絡(luò)等安全漏洞的第一道防線。
 
2.更新固件; 但是,請記住,黑客可以使用無線(OTA)更新來推送自己的惡意機器人。因此,應(yīng)使用身份驗證來確保物聯(lián)網(wǎng)設(shè)備僅從經(jīng)批準(zhǔn)的系統(tǒng)檢索代碼。
 
網(wǎng)絡(luò)

1.僅在使用防火墻的環(huán)境中連接IoT設(shè)備。它們通過行為,簽名,知識產(chǎn)權(quán)歷史記錄以及對物聯(lián)網(wǎng)終端整合的信息進行交叉審查來檢查傳入流量并識別威脅。
 
2.使用DDoS緩解服務(wù)和采用強大的內(nèi)容交付網(wǎng)絡(luò)的工具來承擔(dān)初始主力。
 
3.使用基于傳輸層安全性(TLS)等協(xié)議的加密鏈接,實現(xiàn)物聯(lián)網(wǎng)設(shè)備與其他系統(tǒng)(如云服務(wù))之間的安全連接。這通過捕獲和分析在途數(shù)據(jù)來禁止“中間人”攻擊。
 
4.強化TLS實施堆棧,如OpenSSL。強化通過創(chuàng)建額外的硬件安全層來消除軟件漏洞。
 
安全存儲
 
物聯(lián)網(wǎng)系統(tǒng)需要強大的身份驗證才能確定并驗證節(jié)點和設(shè)備身份。人們通常將加密與安全等同起來,但是當(dāng)涉及防止僵尸網(wǎng)絡(luò)等網(wǎng)絡(luò)威脅時,身份認(rèn)證是物聯(lián)網(wǎng)安全領(lǐng)域的主要支柱。
 
設(shè)計安全嵌入式硬件
 
從頭開始將嵌入式安全技術(shù)發(fā)展成連接設(shè)備的前提是姍姍來遲,并且從設(shè)計提供完整安全解決方案的防篡改硬件開始,而不僅僅是補丁和修復(fù)的集合。
 
傳統(tǒng)的硬件安全可以包含多個安全點:
 
1.硬件安全模塊(HSM),需要數(shù)據(jù)庫來存儲,保護和管理密鑰。這反過來又要求對基礎(chǔ)設(shè)施和物流進行前期投資。
 
2.可信平臺模塊(TPM),將密鑰集成到設(shè)備硬件中; 然而,這些對于價格較低的物聯(lián)網(wǎng)應(yīng)用來說定位不佳。
 
3.構(gòu)建在微處理器或微控制器頂部的安全堆棧 ; 然而,這種設(shè)計需要很多CPU周期來加速應(yīng)用程序和固件的認(rèn)證。因此,圍繞中央MPU或MCU構(gòu)建的安全硬件在物聯(lián)網(wǎng)設(shè)計中取得了有限的成功,因為像認(rèn)證這樣的計算密集型操作會影響整個系統(tǒng)并降低芯片組性能。
 
由于這些原因,傳統(tǒng)的硬件安全解決方案不能很好地傳輸?shù)角度胧较到y(tǒng)。相反,在嵌入式硬件設(shè)計中使用專用安全處理器通過硬件密鑰存儲和物聯(lián)網(wǎng)設(shè)計中的加密加速來縮小軟件漏洞差距。它們還促進了著名的傳輸層安全性(TLS)實施堆棧(如OpenSSL)的強化,并允許IoT節(jié)點自動驗證與云的通信。
 
首先,這些低成本安全協(xié)處理器通過I 2 C鏈路連接到主機MPU或MCU ,有助于實現(xiàn)安全引導(dǎo)功能,以防止惡意固件。Maxim的MAXREFDES143參考設(shè)計是嵌入式物聯(lián)網(wǎng)安全性的一個很好的例子。它通過身份驗證和通知Web服務(wù)器來保護工業(yè)傳感節(jié)點。它具有帶1-Wire SHA-256和512位用戶EEPROM的DeepCover安全認(rèn)證器,可實現(xiàn)從傳感器節(jié)點到Web服務(wù)器的各個層面的數(shù)據(jù)認(rèn)證。
 
這些加密單元(圖2) - 較小的MCU--配備了硬件加密加速功能,可以執(zhí)行強大的身份驗證,以便保護私鑰,證書和其他敏感安全數(shù)據(jù),從而確保防御僵尸網(wǎng)絡(luò)入侵。此外,它們通過消除與以軟件為中心的安全實施相關(guān)的復(fù)雜性,簡化了與Amazon Web Services(AWS)等云服務(wù)的相互認(rèn)證。值得注意的是,TLS標(biāo)準(zhǔn)傳統(tǒng)上是通過軟件進行認(rèn)證和存儲私鑰。
 
 
圖2: Microchip的ATECC508A等安全MCU 為IoT節(jié)點提供身份驗證,從而限制僵尸網(wǎng)絡(luò)進入系統(tǒng)。(來源:Microchip)
 
結(jié)論
 
物聯(lián)網(wǎng)產(chǎn)業(yè),互聯(lián)網(wǎng)連接的嵌入式電子產(chǎn)品的激增,正處于一個十字路口。目前,物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)主要針對網(wǎng)絡(luò)和應(yīng)用服務(wù)器。但是他們可能會被用來進行比我們已經(jīng)看到的破壞性更強的攻擊。例如,他們可能通過干擾監(jiān)視操作來影響智能建筑的實際尺寸?;蛘?,他們可能通過破壞交通燈系統(tǒng)在街道上造成混亂。
 
從頭開始在連接的設(shè)備中開發(fā)嵌入式安全性已經(jīng)姍姍來遲,特別是當(dāng)數(shù)以千萬計的易受攻擊的物聯(lián)網(wǎng)設(shè)備出現(xiàn)在這些設(shè)備中時,這些數(shù)字日益增長。物聯(lián)網(wǎng)愛好者只是發(fā)現(xiàn)互聯(lián)網(wǎng)連接的陰暗面。物聯(lián)網(wǎng)已經(jīng)在向龐大的規(guī)模邁進?,F(xiàn)在采取行動并重新審視嵌入式安全的時機已經(jīng)到來。

責(zé)任編輯:胡輝

相關(guān)推薦

物聯(lián)網(wǎng)標(biāo)準(zhǔn)聯(lián)合工作組將成立 11部委參與其中

張琪表示,目前中國有11個部委共19個標(biāo)準(zhǔn)工作組的工作到物聯(lián)網(wǎng)的標(biāo)準(zhǔn)。物聯(lián)網(wǎng)標(biāo)準(zhǔn)工作也涉及到方方面面,還需要在原有工作的基礎(chǔ)上建立協(xié)調(diào)統(tǒng)一的認(rèn)識。但讓10多個部委共同成立標(biāo)準(zhǔn)工作組難度比較大。張琪用2000年國務(wù)院頒布的《鼓勵軟件產(chǎn)業(yè)和集成電路產(chǎn)業(yè)發(fā)展的若干政策》俗稱18號文件的出臺舉例,18號文件曾經(jīng)用了2年時間蓋46個章才得以出臺,而物聯(lián)網(wǎng)的難度和范圍比18號文件涉及的軟件行業(yè)的范圍要大很多,如果10多個部委共同成立標(biāo)準(zhǔn)工作組,她預(yù)計審批的時間可能不止是2年時間。張琪還表示,物聯(lián)網(wǎng)不可能用一個標(biāo)準(zhǔn)把所有的事情都覆蓋了,關(guān)于物聯(lián)網(wǎng)的標(biāo)準(zhǔn),沒有必要成立新的標(biāo)準(zhǔn)工作組,而是在原有標(biāo)準(zhǔn)工作組的基礎(chǔ)

工信部專題規(guī)劃十二五物聯(lián)網(wǎng)

工信部通信發(fā)展司司長:“十二五”物聯(lián)網(wǎng)應(yīng)初步形成完整產(chǎn)業(yè)體系昨日“2010年中國國際物聯(lián)網(wǎng)大會”現(xiàn)場。IC圖有觀點認(rèn)為,發(fā)展物聯(lián)網(wǎng),將會對現(xiàn)有的一些法律法規(guī)政策形成挑戰(zhàn),例如信息采集的合法性問題、公民隱私權(quán)問題等等。工業(yè)和信息化部通信發(fā)展司司長張峰昨天在上海表示,工信部已將物聯(lián)網(wǎng)

中國物聯(lián)網(wǎng)標(biāo)準(zhǔn)聯(lián)合工作組在北京成立

目前在物聯(lián)網(wǎng)技術(shù)領(lǐng)域,國內(nèi)已成立或正在籌備成立的相關(guān)標(biāo)準(zhǔn)工作組僅專注于各自的技術(shù)領(lǐng)域,但標(biāo)準(zhǔn)制訂過程各自獨立進行,相互之間缺乏溝通和協(xié)調(diào)。倡議書明確指出,我國物聯(lián)網(wǎng)發(fā)展尚處初創(chuàng)階段,無論國標(biāo)的自主制訂,還是核心技術(shù)產(chǎn)品的研發(fā)和產(chǎn)業(yè)化以及規(guī)模化應(yīng)用示范都還處于起步階段。標(biāo)準(zhǔn)的缺失與核心技術(shù)產(chǎn)品的產(chǎn)業(yè)配套能力仍是制約我國物聯(lián)網(wǎng)大規(guī)模應(yīng)用的一個問題。