嵌入式帶來的安全隱患

 

隨著嵌入式網絡設備成本的下降，現在它們已經無處不在了。但是，這種快速擴散的一個隱藏成本是：這些設備可能缺乏安全性，因此可能被攻擊。如果沒有做好安全措施，設備可能會泄露視頻、圖像或音頻等私人信息，或者成為僵屍網絡的一部分，在全球範圍造成嚴重破壞。

 

01 邊緣計算概括

 

邊緣計算是一種將集中式計算資源轉移到更靠近數據源所在地的範式。它具有多個優勢，包括：

 

●   可斷網工作

●   響應速度更快

●   各級計算需求之間的平衡得到了改善

 

圖1：邊緣計算架構圖顯示了雲基礎設施與邊緣聯網設備之間的關係

（圖源：貿澤電子）

 

如圖1所示，雲基礎設施管理邊緣設備。物聯網（IoT）設備通過邊緣設備（如邊緣網關）連接到雲，以盡量縮小全局通信範圍。

 

說明性圖表顯示了一個框，左側的雲基礎設施連接到中間的雲內的互聯網。然後邊緣設備連接到右側的互聯網，3個物聯網設備連接到邊緣設備。

 

根據總部位於德國的統計數據庫公司Statista估計，2018年，全球共有230億台連接到物聯網的設備，專家預計
，到2025年，這一數字將增至750億台。針對物聯網設備的Mirai惡意軟件在2016年(nian)中(zhong)斷(duan)了(le)數(shu)百(bai)萬(wan)人(ren)的(de)互(hu)聯(lian)網(wang)訪(fang)問(wen)，說(shuo)明(ming)這(zhe)些(xie)設(she)備(bei)需(xu)要(yao)更(geng)好(hao)的(de)安(an)全(quan)性(xing)。事(shi)實(shi)上(shang)，當(dang)攻(gong)擊(ji)者(zhe)發(fa)現(xian)某(mou)個(ge)特(te)定(ding)設(she)備(bei)的(de)漏(lou)洞(dong)時(shi)
，就(jiu)可(ke)以(yi)將(jiang)該(gai)漏(lou)洞(dong)大(da)規(gui)模(mo)應(ying)用(yong)於(yu)其(qi)他(ta)相(xiang)同(tong)設(she)備(bei)。

 

suizheyuelaiyueduodeshebeikuosandaobianyuan，zhexieshebeidefengxianyesuizhizengjia。lianwangshebeishigongjizhedegongtongmubiao
，tamenkeyiliyongzhexieshebeiyinqiguanzhu，huozhegengchangjiandikuozhanjiangshiwangluo。xiamian，womenjiulaitantaoyixiebaohubianyuanjisuanshebeidefangfa。

 

02 保護設備

 

yaotantaoshebeibinglijietadeloudongshiruhebeiliyongde，womenxiankanyixiashenmejiaozuogongjimian。shebeidegongjimianshizhigongjizhekeyichangshiliyongqigongjishebeihuocongshebeizhongtiqushujudesuoyoudian。gongjimiankebaokuo：

 

●   與設備對接的網絡端口

●   串行端口

●   用於升級設備的固件更新過程

●   物理設備本身

 

03 攻擊途徑（Attack Vector）

 

攻(gong)擊(ji)麵(mian)代(dai)表(biao)著(zhe)設(she)備(bei)存(cun)在(zai)的(de)風(feng)險(xian)，是(shi)安(an)全(quan)防(fang)禦(yu)的(de)重(zhong)點(dian)。因(yin)此(ci)，保(bao)護(hu)設(she)備(bei)就(jiu)是(shi)一(yi)個(ge)理(li)解(jie)設(she)備(bei)可(ke)能(neng)存(cun)在(zai)的(de)攻(gong)擊(ji)途(tu)徑(jing)並(bing)保(bao)護(hu)它(ta)們(men)以(yi)減(jian)少(shao)攻(gong)擊(ji)麵(mian)的(de)過(guo)程(cheng)。

 

常見的攻擊途徑通常包括：

 

●   接口

●   協議

●   服務

 

圖2：該圖顯示了一個簡單邊緣設備的潛在攻擊途徑。

（圖源：貿澤電子）

 

從圖2我們可以看到，一些攻擊途徑來自於網絡或本地接口、設備上運行的固件周圍的各種麵

，甚至物理包本身。下麵我們來探討一些攻擊途徑以及如何保護它們。

 

04 通信

 

攻擊接口或協議是一個多層次的問題。與雲端通信本身存在安全性問題，包括數據安全性以及通過一個或多個協議（如HTTP）訪問設備的安全性。

 

傳輸層安全性（TLS）yingbaohuyushebeidesuoyoulaihuitongxin。zhezhongleixingdejiamixieyibaokuoshenfenyanzheng，yiquebaoshuangfangdouqingchutamenzaiyushuitongxin
，yijisuoyoushujudejiami，yibimianqietinggongji。zheduiyutongguogonggongwangluo（如互聯網）與遠程雲通信的邊緣設備而言是理想選擇。

 

考慮到數據在IPwangluoshangdeyidongsudu，weilegaoxiaoguanlishenfenyanzhengheshujujiamiyujiemi，bixujinxingyingjianjiasu。juyouyingjianjiamijiasugongnengdechuliqibaohanweishixianchuanshucenganquanxing（TLS）而進行的片上加密加速
，可確保與遠程係統的安全通信。

 

使用Kerberos等協議進行身份驗證可以確保客戶機和服務器安全地標識自己。Kerberos依賴於對稱密鑰加密或公鑰加密，這兩種加密都可以使用包含加密引擎的處理器來加速。

 

05 協議端口

 

與網絡接口一起使用的協議端口是聯網設備上最普遍的攻擊途徑之一。這些端口使對設備的協議訪問暴露於風險之中。例如，web接口通常通過端口80而暴露，因此向攻擊者提供有關可攻擊的漏洞類型的信息。

 

baohuzhexieduankoudezuijiandanfangfazhiyishishiyongfanghuoqiang。fanghuoqiangshishebeishangdeyingyongchengxu，ninkeyijiangqipeizhiweixianzhiduiduankoudefangwen
，congerbaohuduankou。liru，fanghuoqiangkeyiguidingjinzhifangwenzhidingduankou（預定義的受信任主機除外）。這樣可以限製對端口的訪問，有助於避免利用協議漏洞的常見攻擊，如緩衝區溢出攻擊。

 

06 固件更新

 

邊bian緣yuan設she備bei正zheng在zai變bian得de越yue來lai越yue複fu雜za，執zhi行xing著zhe比bi前qian幾ji代dai更geng先xian進jin的de功gong能neng
，包bao括kuo機ji器qi學xue習xi應ying用yong程cheng序xu。伴ban隨sui著zhe這zhe種zhong複fu雜za性xing，需xu要yao修xiu複fu問wen題ti並bing發fa布bu設she備bei更geng新xin。但dan是shi，固gu件jian更geng新xin過guo程cheng會hui產chan生sheng攻gong擊ji途tu徑jing。通tong過guo在zai邊bian緣yuan安an全quan計ji劃hua中zhong對dui固gu件jian更geng新xin實shi施shi安an全quan措cuo施shi

，可ke以yi減jian輕qing攻gong擊ji者zhe帶dai來lai的de風feng險xian。

 

代(dai)碼(ma)簽(qian)名(ming)是(shi)一(yi)種(zhong)常(chang)用(yong)的(de)安(an)全(quan)方(fang)法(fa)，用(yong)於(yu)避(bi)免(mian)惡(e)意(yi)代(dai)碼(ma)進(jin)入(ru)設(she)備(bei)。這(zhe)需(xu)要(yao)使(shi)用(yong)加(jia)密(mi)散(san)列(lie)函(han)數(shu)對(dui)固(gu)件(jian)映(ying)像(xiang)進(jin)行(xing)數(shu)字(zi)簽(qian)名(ming)。加(jia)密(mi)散(san)列(lie)函(han)數(shu)可(ke)在(zai)固(gu)件(jian)更(geng)新(xin)過(guo)程(cheng)之(zhi)前(qian)在(zai)設(she)備(bei)上(shang)使(shi)用(yong)，以(yi)確(que)保(bao)代(dai)碼(ma)是(shi)真(zhen)實(shi)的(de)，並(bing)且(qie)在(zai)簽(qian)名(ming)後(hou)未(wei)被(bei)更(geng)改(gai)。

 

yiqianmingdedaimayekeyizaiyindaoshishiyong，yiquebaobendicunchushebeizhongdegujianmeiyoubeigenggai。zhebaokuoliangzhonggongjitujing
，yishiliyongshebeidegengxinguocheng，shitushiyongcunzailoudongdetuxianggengxinshebei，ershibaohushebei，shiqibushouqiangzhisairubendicunchushebeidetuxiangdeyingxiang。

 

使用可信平台模塊（TPM）也頗有好處。TPM是一個安全加密處理器，專門用於安全功能，通常包括哈希生成、密鑰存儲、哈希和加密加速以及其他多種功能。

 

07 物理安全措施

 

防(fang)篡(cuan)改(gai)設(she)計(ji)可(ke)以(yi)幫(bang)助(zhu)檢(jian)測(ce)設(she)備(bei)是(shi)否(fou)已(yi)被(bei)物(wu)理(li)打(da)開(kai)或(huo)以(yi)某(mou)種(zhong)方(fang)式(shi)受(shou)到(dao)損(sun)害(hai)。這(zhe)還(hai)包(bao)括(kuo)盡(jin)可(ke)能(neng)減(jian)少(shao)外(wai)部(bu)信(xin)號(hao)，以(yi)限(xian)製(zhi)攻(gong)擊(ji)者(zhe)監(jian)視(shi)其(qi)控(kong)製(zhi)的(de)設(she)備(bei)和(he)發(fa)現(xian)漏(lou)洞(dong)的(de)方(fang)式(shi)。攻(gong)擊(ji)者(zhe)可(ke)能(neng)試(shi)圖(tu)監(jian)視(shi)總(zong)線(xian)信(xin)號(hao)以(yi)識(shi)別(bie)安(an)全(quan)信(xin)息(xi)
，並(bing)且(qie)在(zai)極(ji)端(duan)情(qing)況(kuang)下(xia)，可(ke)能(neng)會(hui)對(dui)設(she)備(bei)施(shi)加(jia)溫(wen)度(du)變(bian)化(hua)
、更改時鍾信號
，甚至通過使用輻射來誘發錯誤。搞清楚潛在攻擊者用來了解您的設備的方法將有助於打造更安全的產品。

 

08 從何處了解更多信息

 

隨sui著zhe當dang今jin網wang絡luo戰zhan的de不bu斷duan發fa展zhan，個ge人ren和he國guo家jia可ke以yi有you各ge種zhong動dong機ji來lai尋xun求qiu利li用yong設she備bei漏lou洞dong，邊bian緣yuan安an全quan是shi一yi場chang漫man長chang而er艱jian難nan的de戰zhan鬥dou。但dan是shi，采cai取qu現xian代dai安an全quan措cuo施shi並bing在zai產chan品pin開kai發fa之zhi初chu就jiu考kao慮lv安an全quan問wen題ti，將jiang大da大da有you助zhu於yu確que保bao設she備bei的de安an全quan性xing。及ji早zao分fen析xi設she備bei的de攻gong擊ji麵mian將jiang有you助zhu於yu確que定ding把ba注zhu意yi力li集ji中zhong在zai何he處chu，以yi便bian開kai發fa更geng安an全quan的de設she備bei。您nin可ke以yi在zai貿mao澤ze安an全quan博bo客ke了le解jie更geng多duo詳xiang情qing。

 

來源：貿澤電子，原創：M. Tim Jones  

 

 

免責聲明：本文為轉載文章，轉載此文目的在於傳遞更多信息，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問題
，請聯係小編進行處理。

 

推薦閱讀：

 

矽晶體管創新還有可能嗎？意法半導體超結MDmesh案例研究