嵌入式帶來的安全隱患

 

隨著嵌入式網絡設備成本的下降，現在它們已經無處不在了。但是，這種快速擴散的一個隱藏成本是：這些設備可能缺乏安全性，因此可能被攻擊。如果沒有做好安全措施
，設備可能會泄露視頻、圖像或音頻等私人信息，或者成為僵屍網絡的一部分，在全球範圍造成嚴重破壞。

 

01 邊緣計算概括

 

邊緣計算是一種將集中式計算資源轉移到更靠近數據源所在地的範式。它具有多個優勢
，包括：

 

●   可斷網工作

●   響應速度更快

●   各級計算需求之間的平衡得到了改善

 

圖1：邊緣計算架構圖顯示了雲基礎設施與邊緣聯網設備之間的關係

（圖源：貿澤電子）

 

如圖1所示，雲基礎設施管理邊緣設備。物聯網（IoT）設備通過邊緣設備（如邊緣網關）連接到雲，以盡量縮小全局通信範圍。

 

說明性圖表顯示了一個框
，左側的雲基礎設施連接到中間的雲內的互聯網。然後邊緣設備連接到右側的互聯網，3個物聯網設備連接到邊緣設備。

 

根據總部位於德國的統計數據庫公司Statista估計，2018年，全球共有230億台連接到物聯網的設備，專家預計
，到2025年，這一數字將增至750億台。針對物聯網設備的Mirai惡意軟件在2016年nian中zhong斷duan了le數shu百bai萬wan人ren的de互hu聯lian網wang訪fang問wen，說shuo明ming這zhe些xie設she備bei需xu要yao更geng好hao的de安an全quan性xing。事shi實shi上shang，當dang攻gong擊ji者zhe發fa現xian某mou個ge特te定ding設she備bei的de漏lou洞dong時shi，就jiu可ke以yi將jiang該gai漏lou洞dong大da規gui模mo應ying用yong於yu其qi他ta相xiang同tong設she備bei。

 

隨(sui)著(zhe)越(yue)來(lai)越(yue)多(duo)的(de)設(she)備(bei)擴(kuo)散(san)到(dao)邊(bian)緣(yuan)，這(zhe)些(xie)設(she)備(bei)的(de)風(feng)險(xian)也(ye)隨(sui)之(zhi)增(zeng)加(jia)。聯(lian)網(wang)設(she)備(bei)是(shi)攻(gong)擊(ji)者(zhe)的(de)共(gong)同(tong)目(mu)標(biao)
，他(ta)們(men)可(ke)以(yi)利(li)用(yong)這(zhe)些(xie)設(she)備(bei)引(yin)起(qi)關(guan)注(zhu)，或(huo)者(zhe)更(geng)常(chang)見(jian)地(di)擴(kuo)展(zhan)僵(jiang)屍(shi)網(wang)絡(luo)。下(xia)麵(mian)，我(wo)們(men)就(jiu)來(lai)探(tan)討(tao)一(yi)些(xie)保(bao)護(hu)邊(bian)緣(yuan)計(ji)算(suan)設(she)備(bei)的(de)方(fang)法(fa)。

 

02 保護設備

 

要yao探tan討tao設she備bei並bing理li解jie它ta的de漏lou洞dong是shi如ru何he被bei利li用yong的de，我wo們men先xian看kan一yi下xia什shen麼me叫jiao做zuo攻gong擊ji麵mian。設she備bei的de攻gong擊ji麵mian是shi指zhi攻gong擊ji者zhe可ke以yi嚐chang試shi利li用yong其qi攻gong擊ji設she備bei或huo從cong設she備bei中zhong提ti取qu數shu據ju的de所suo有you點dian。攻gong擊ji麵mian可ke包bao括kuo：

 

●   與設備對接的網絡端口

●   串行端口

●   用於升級設備的固件更新過程

●   物理設備本身

 

03 攻擊途徑（Attack Vector）

 

攻(gong)擊(ji)麵(mian)代(dai)表(biao)著(zhe)設(she)備(bei)存(cun)在(zai)的(de)風(feng)險(xian)
，是(shi)安(an)全(quan)防(fang)禦(yu)的(de)重(zhong)點(dian)。因(yin)此(ci)，保(bao)護(hu)設(she)備(bei)就(jiu)是(shi)一(yi)個(ge)理(li)解(jie)設(she)備(bei)可(ke)能(neng)存(cun)在(zai)的(de)攻(gong)擊(ji)途(tu)徑(jing)並(bing)保(bao)護(hu)它(ta)們(men)以(yi)減(jian)少(shao)攻(gong)擊(ji)麵(mian)的(de)過(guo)程(cheng)。

 

常見的攻擊途徑通常包括：

 

●   接口

●   協議

●   服務

 

圖2：該圖顯示了一個簡單邊緣設備的潛在攻擊途徑。

（圖源：貿澤電子）

 

從圖2我們可以看到，一些攻擊途徑來自於網絡或本地接口
、設備上運行的固件周圍的各種麵，甚至物理包本身。下麵我們來探討一些攻擊途徑以及如何保護它們。

 

04 通信

 

攻擊接口或協議是一個多層次的問題。與雲端通信本身存在安全性問題，包括數據安全性以及通過一個或多個協議（如HTTP）訪問設備的安全性。

 

傳輸層安全性（TLS）yingbaohuyushebeidesuoyoulaihuitongxin。zhezhongleixingdejiamixieyibaokuoshenfenyanzheng，yiquebaoshuangfangdouqingchutamenzaiyushuitongxin，yijisuoyoushujudejiami，yibimianqietinggongji。zheduiyutongguogonggongwangluo（如互聯網）與遠程雲通信的邊緣設備而言是理想選擇。

 

考慮到數據在IPwangluoshangdeyidongsudu，weilegaoxiaoguanlishenfenyanzhengheshujujiamiyujiemi，bixujinxingyingjianjiasu。juyouyingjianjiamijiasugongnengdechuliqibaohanweishixianchuanshucenganquanxing（TLS）而進行的片上加密加速
，可確保與遠程係統的安全通信。

 

使用Kerberos等協議進行身份驗證可以確保客戶機和服務器安全地標識自己。Kerberos依賴於對稱密鑰加密或公鑰加密
，這兩種加密都可以使用包含加密引擎的處理器來加速。

 

05 協議端口

 

與網絡接口一起使用的協議端口是聯網設備上最普遍的攻擊途徑之一。這些端口使對設備的協議訪問暴露於風險之中。例如

，web接口通常通過端口80而暴露

，因此向攻擊者提供有關可攻擊的漏洞類型的信息。

 

baohuzhexieduankoudezuijiandanfangfazhiyishishiyongfanghuoqiang。fanghuoqiangshishebeishangdeyingyongchengxu，ninkeyijiangqipeizhiweixianzhiduiduankoudefangwen
，congerbaohuduankou。liru，fanghuoqiangkeyiguidingjinzhifangwenzhidingduankou（預定義的受信任主機除外）。這樣可以限製對端口的訪問
，有助於避免利用協議漏洞的常見攻擊，如緩衝區溢出攻擊。

 

06 固件更新

 

邊bian緣yuan設she備bei正zheng在zai變bian得de越yue來lai越yue複fu雜za，執zhi行xing著zhe比bi前qian幾ji代dai更geng先xian進jin的de功gong能neng
，包bao括kuo機ji器qi學xue習xi應ying用yong程cheng序xu。伴ban隨sui著zhe這zhe種zhong複fu雜za性xing，需xu要yao修xiu複fu問wen題ti並bing發fa布bu設she備bei更geng新xin。但dan是shi，固gu件jian更geng新xin過guo程cheng會hui產chan生sheng攻gong擊ji途tu徑jing。通tong過guo在zai邊bian緣yuan安an全quan計ji劃hua中zhong對dui固gu件jian更geng新xin實shi施shi安an全quan措cuo施shi，可ke以yi減jian輕qing攻gong擊ji者zhe帶dai來lai的de風feng險xian。

 

代dai碼ma簽qian名ming是shi一yi種zhong常chang用yong的de安an全quan方fang法fa，用yong於yu避bi免mian惡e意yi代dai碼ma進jin入ru設she備bei。這zhe需xu要yao使shi用yong加jia密mi散san列lie函han數shu對dui固gu件jian映ying像xiang進jin行xing數shu字zi簽qian名ming。加jia密mi散san列lie函han數shu可ke在zai固gu件jian更geng新xin過guo程cheng之zhi前qian在zai設she備bei上shang使shi用yong，以yi確que保bao代dai碼ma是shi真zhen實shi的de，並bing且qie在zai簽qian名ming後hou未wei被bei更geng改gai。

 

yiqianmingdedaimayekeyizaiyindaoshishiyong，yiquebaobendicunchushebeizhongdegujianmeiyoubeigenggai。zhebaokuoliangzhonggongjitujing，yishiliyongshebeidegengxinguocheng

，shitushiyongcunzailoudongdetuxianggengxinshebei，ershibaohushebei，shiqibushouqiangzhisairubendicunchushebeidetuxiangdeyingxiang。

 

使用可信平台模塊（TPM）也頗有好處。TPM是一個安全加密處理器
，專門用於安全功能
，通常包括哈希生成、密鑰存儲、哈希和加密加速以及其他多種功能。

 

07 物理安全措施

 

防(fang)篡(cuan)改(gai)設(she)計(ji)可(ke)以(yi)幫(bang)助(zhu)檢(jian)測(ce)設(she)備(bei)是(shi)否(fou)已(yi)被(bei)物(wu)理(li)打(da)開(kai)或(huo)以(yi)某(mou)種(zhong)方(fang)式(shi)受(shou)到(dao)損(sun)害(hai)。這(zhe)還(hai)包(bao)括(kuo)盡(jin)可(ke)能(neng)減(jian)少(shao)外(wai)部(bu)信(xin)號(hao)，以(yi)限(xian)製(zhi)攻(gong)擊(ji)者(zhe)監(jian)視(shi)其(qi)控(kong)製(zhi)的(de)設(she)備(bei)和(he)發(fa)現(xian)漏(lou)洞(dong)的(de)方(fang)式(shi)。攻(gong)擊(ji)者(zhe)可(ke)能(neng)試(shi)圖(tu)監(jian)視(shi)總(zong)線(xian)信(xin)號(hao)以(yi)識(shi)別(bie)安(an)全(quan)信(xin)息(xi)，並(bing)且(qie)在(zai)極(ji)端(duan)情(qing)況(kuang)下(xia)，可(ke)能(neng)會(hui)對(dui)設(she)備(bei)施(shi)加(jia)溫(wen)度(du)變(bian)化(hua)、更改時鍾信號，甚至通過使用輻射來誘發錯誤。搞清楚潛在攻擊者用來了解您的設備的方法將有助於打造更安全的產品。

 

08 從何處了解更多信息

 

suizhedangjinwangluozhandebuduanfazhan，gerenheguojiakeyiyougezhongdongjilaixunqiuliyongshebeiloudong，bianyuananquanshiyichangmanchangerjiannandezhandou。danshi，caiquxiandaianquancuoshibingzaichanpinkaifazhichujiukaolvanquanwenti
，jiangdadayouzhuyuquebaoshebeideanquanxing。jizaofenxishebeidegongjimianjiangyouzhuyuquedingbazhuyilijizhongzaihechu，yibiankaifagenganquandeshebei。ninkeyizaimaozeanquanbokelejiegengduoxiangqing。

 

來源：貿澤電子
，原創：M. Tim Jones  

 

 

免責聲明：本文為轉載文章，轉載此文目的在於傳遞更多信息，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問題，請聯係小編進行處理。

 

推薦閱讀：

 

矽晶體管創新還有可能嗎？意法半導體超結MDmesh案例研究