Осигуряване на интернет на нещата

С настолен компютър или смарт мобилно устройство добавянето на защита за сигурност е лесно. Просто инсталирайте пакет за сигурност или антивирусно приложение и сте готови. Това е лесно именно защото въпросните устройства работят с модерни операционни системи, които се справят с многозадачност и междупроцесова комуникация. Целият модел на защита се разпада, когато става дума за много свързани устройства, които съставляват това, което наричаме Интернет на нещата (IoT).

Компютрите и смартфоните разполагат с достатъчно мощност на обработка; те също струват много долари. Производител, който иска да добави интернет връзка към кукла или стенен контакт, трябва да харчи възможно най-малко, в противен случай продуктът няма да е конкурентен. Тези устройства дори нямат операционна система като такава. Целият код е вграден във фърмуера и не можете просто да включите антивирус във фърмуера.

В случай на проблем със сигурността или друга грешка, производителят просто презаписва фърмуера с нова версия. За съжаление, мошениците могат да използват тази вградена способност за актуализиране на фърмуер за коварни цели. Какво ще кажете да замените фърмуера на вашата интелигентна брава с нова версия, която прави всичко, което трябва, но също така се отваря към командата на мошеника? Този вид атака е често срещан и резултатите обикновено са неприятни. Има ли надежда?

Арксан отвътре

По време на неотдавнашната конференция на RSA в Сан Франциско, разговарях с Патрик Кехо, CMO на Arxan Technologies, и Джонатан Картър, ръководител на проекта за обратния инженеринг и превенция на модификацията на кода (доста гладко!). Най-просто казано, това, което екипът на Carter прави, е да помогне на разработчиците на приложения да осигурят сигурност направо във фърмуера.

Картър обясни, че някои атаки срещу IoT устройства се фокусират върху прихващане и манипулиране или дублиране на мрежовия трафик между устройството и сървър или смартфон. Но защитата на Арксан отива по-дълбоко. „Ние се фокусираме върху дейността в рамките на мобилното устройство, в IoT устройството“, каза Картър. „Това, което правим зад кулисите, спираме на първо място лошия човек да прехване трафика. Това не е на ниво мрежа, това е в самите приложения. По време на работа можем да открием дали някой се е опитал да зарази кодът на фърмуера."

Когато разработчик компилира код по технологията на Arxan, самозащитата е вградена веднага във фърмуера. Компонентите му следят активния код (и един друг), за да открият и предотвратят всякакви промени. В зависимост от атаката и избора на програмиста, защитният код може да изключи компрометирано приложение, да поправи щетите, да изпрати сигнал или и трите.

Не мога да ме копирам!

Разбира се, ако един атакуващ успее напълно да замени фърмуера, целият защитен код изчезва, заедно с останалата част от оригиналния фърмуер. Оттам идва технологията на затъмняване на Arxan. По-просто казано, по време на създаването на кода на фърмуера, технологията на Arxan използва много различни трикове, за да направи демонтажа и обратното инженерство на фърмуера изключително труден.

Защо това е важно? При типична атака за подмяна на фърмуер, мошениците трябва да поддържат съществуващите функции на фърмуера. Ако хакнатата кукла за говорене престане да говори, има вероятност да я изхвърлите, преди лошите да я използват за пренасяне във вашата мрежа. Ако хакерската ви заключена умна врата не се отвори за вас , ще помиришете плъх.

Картър посочи, че производителите имат други причини за защита на фърмуера срещу обратното инженерство. "Те се притесняват от клониране или фалшифициране на IoT устройства", обясни той. "Някои производители се притесняват да продадат дори едно устройство в Китай. Преди да го знаят, нокафът се появява на малка част от цената."

"Ние въоръжаваме кода", продължи Картър, "но разработчиците все още трябва да спазват указанията за сигурно кодиране. Те трябва да отклонят атаките за преливане на буфера и други класически уязвимости. Нека се тревожим за нарушенията на целостта."

Ти си аз

Картър посочи IoT устройство с потенциал за атака, за който дори не съм мислил. Тези дни посетителите на тематични паркове на Дисни получават Magic Band, който им позволява да отключат хотелската стая, да влязат в парка и дори да правят покупки. Определено се класифицира като IoT устройство. Ако Beagle Boys хакнат вашата Magic Band, те биха могли да почистят вашата хотелска стая и след това да отидат на фантастична вечеря в Blue Bayou… вашето лакомство! "Разбира се", размишлява Картър, "Дисни е луд по сигурността." Уви, не можах да го накажа да разработи.

Трябва да кажа, притеснявам се, че няма да можем да осигурим IoT. Не съм разработчик на фърмуер, но за мен подходът на Arxan, поставянето на защита във вътрешния софтуер на всяко устройство изглежда като изключително работещ подход.