Video: Šta su sve tehnologije uradile za nas: Internet stvari i osiguranje (Studeni 2024)
Uz stolno računalo ili pametni mobilni uređaj dodavanje sigurnosne zaštite je jednostavno. Jednostavno instalirajte sigurnosni paket ili antivirusnu aplikaciju i gotovi ste. Lako je upravo zbog toga što dotični uređaji pokreću napredne operativne sustave koji upravljaju multitaskingom i međuprocesnom komunikacijom. Taj se cijeli model zaštite raspada kada je riječ o mnogim povezanim uređajima koji čine ono što nazivamo Internetom stvari (IoT).
Računala i pametni telefoni imaju veliku moć obrade; oni također koštaju puno dolara. Proizvođač koji želi dodati internetsku povezanost na lutku ili zidnu utičnicu mora trošiti što je manje moguće, inače proizvod neće biti konkurentan. Ti uređaji nemaju ni operativni sustav kao takav. Čitav je kôd ugrađen u upravljački softver, a ne možete samo uključiti antivirus u softver.
U slučaju sigurnosnih problema ili drugih pogrešaka, proizvođač jednostavno prebriše firmver s novom verzijom. Nažalost, prevaranti mogu tu ugrađenu mogućnost ažuriranja upravljačkog softvera koristiti u gadne svrhe. Što je zamijeniti firmver vašeg pametnog zaključavanja vrata novom verzijom koja radi sve što je potrebno, ali i otvara zapovjedništvo Crooka? Ova vrsta napada je česta, a rezultati su obično neugodni. Ima li nade?
Arxan iznutra
Na nedavnoj RSA konferenciji u San Franciscu razgovarao sam s Patrickom Kehoeom, CMO-om tvrtke Arxan Technologies, i Jonathanom Carterom, voditeljem projekta za tvrtkin projekt obrnutog inženjeringa i modifikaciju koda (prilično gusto!). Najjednostavnije rečeno, Carterov tim pomaže programerima aplikacija da osiguraju sigurnost izravno u firmveru.
Carter je objasnio da se neki napadi na IoT uređaje usredotočuju na presretanje i manipuliranje ili umnožavanje mrežnog prometa između uređaja i poslužitelja ili pametnog telefona. Ali Arxanova zaštita ide sve dublje. "Fokusiramo se na aktivnost unutar mobilnog uređaja, unutar IoT uređaja", rekao je Carter. "Ono što radimo iza scene sprečavamo negativca da prije svega presiječe promet. To nije na razini mreže, ovo je u okviru samih aplikacija. U vrijeme izvođenja možemo otkriti je li netko pokušao zaraziti kod firmware-a."
Kada programer sastavi kod pomoću Arxanove tehnologije, samozaštita je ugrađena pravo u firmver. Njegove komponente nadziru aktivni kod (i svaki drugi) kako bi otkrile i spriječile bilo kakve promjene. Ovisno o napadu i izborima programera, zaštitni kôd može isključiti kompromitiranu aplikaciju, popraviti štetu, poslati upozorenje ili sva tri.
Ne možete me kopirati!
Naravno, ako napadač uspije u potpunosti zamijeniti firmver, sav taj zaštitni kôd nestaje, zajedno s ostatkom originalnog softvera. Tu dolazi Arxanova tehnologija zagušivanja. Jednostavno rečeno, tijekom stvaranja kôda firmware-a, Arxan-ova tehnologija koristi mnogo različitih trikova kako bi rastavljanje i obrnuti inženjering firmware-a bilo izuzetno teško.
Zašto je to važno? U tipičnom napadu zamjene upravljačkog softvera, radnici moraju zadržati postojeće funkcije firmvera. Ako hakirana lutka prestane razgovarati, vjerovatno je da ćete je baciti prije nego što ga negativci iskoriste za umiljavanje u vašu mrežu. Ako vam se sjeckana pametna brava ne otvori, pomirisati ćete štakor.
Carter je istaknuo da proizvođači imaju i druge razloge za zaštitu firmvera od obrnutog inženjeringa. "Brine ih zbog kloniranja ili krivotvorenja IoT uređaja", objasnio je. "Neki proizvođači su zabrinuti zbog prodaje čak jednog uređaja u Kini. Prije nego što to saznaju, povlačenje se pojavljuje u djeliću cijene."
"Oklopimo šifru", nastavio je Carter, "ali programeri bi se trebali pridržavati smjernica za sigurno kodiranje. Moraju spriječiti napade prepunjenog međuspremnika i druge klasične ranjivosti. Brinemo se o kršenju integriteta."
Ti si ja
Carter je istaknuo IoT uređaj s potencijalima napada o kojem nisam ni pomislio. Ovih dana posjetitelji Disney tematskih parkova dobivaju Magic Band koji im omogućuje otključavanje hotelske sobe, ulazak u park, pa čak i kupovinu. Definitivno se kvalificira kao IoT uređaj. Ako Beagle Boys hakiraju vaš Magic Band, mogli bi očistiti vašu hotelsku sobu, a zatim otići na maštovitu večeru u Blue Bayou… vašu poslasticu! "Naravno", razmišljao je Carter, "Disney je ludo velik po pitanju sigurnosti." Jao, nisam ga mogao nagovoriti da govori.
Moram reći da sam se brinuo da nećemo uspjeti osigurati IoT. Nisam programer firmware-a, ali meni se čini da Arxan-ov pristup postavljanju zaštite unutar potrebnog firmvera svakog uređaja izgleda kao izrazito izvediv pristup.
