導讀:本文從物聯(lián)網(wǎng)設(shè)備安全漏洞的角度研究僵尸網(wǎng)絡(luò),指明安全設(shè)備防范僵尸網(wǎng)絡(luò)的關(guān)鍵。
物聯(lián)網(wǎng)(IoT)僵尸網(wǎng)絡(luò)(botnet)的興起已經(jīng)成為智能家庭,智慧城市和工業(yè)網(wǎng)絡(luò)化等新興產(chǎn)業(yè)的安全威脅。僵尸網(wǎng)絡(luò)的分布式拒絕服務(wù)(DDoS)攻擊已有時日,而且針對物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)亦非新事。但直至最近,人們才認識到物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)破壞的嚴重性,安全缺陷可能導致物聯(lián)網(wǎng)嵌入式系統(tǒng)在同時聯(lián)網(wǎng)時全盤崩潰。本文從物聯(lián)網(wǎng)設(shè)備安全漏洞的角度研究僵尸網(wǎng)絡(luò),指明安全設(shè)備防范僵尸網(wǎng)絡(luò)的關(guān)鍵。
僵尸網(wǎng)絡(luò)及其潛在威脅
僵尸網(wǎng)絡(luò)是指被特定惡意軟件感染的互聯(lián)設(shè)備所構(gòu)成的網(wǎng)絡(luò),它允許黑客獲取遠程控制權(quán)并協(xié)調(diào)進行DDoS攻擊僵尸網(wǎng)絡(luò)病毒,亦稱僵尸大軍(zombie armies),也可以用于垃圾郵件轟炸,盜取敏感密鑰,傳播勒索軟件等。
物聯(lián)網(wǎng)中的僵尸網(wǎng)絡(luò)病毒不同于Windows平臺上的普通僵尸網(wǎng)絡(luò)病毒,它產(chǎn)生于脆弱的物聯(lián)網(wǎng)設(shè)備,并且可以通過龐大的物聯(lián)網(wǎng)系統(tǒng)感染海量設(shè)備。此外,普通僵尸網(wǎng)絡(luò)病毒往往用于發(fā)送垃圾郵件,而物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒可以通過影響物聯(lián)網(wǎng)設(shè)備周圍的物理環(huán)境來造成更大的危害。
例如,一種物聯(lián)網(wǎng)病毒可以侵入交通燈系統(tǒng),破壞智慧城市的基礎(chǔ)設(shè)施,從而引發(fā)整座城市的混亂,。同樣,黑客也可以通過病毒提高智能家庭的溫度,或是增加油汽供給。
兩者的另一顯著區(qū)別在于,個人電腦與服務(wù)器的連接受到殺毒軟件和防火墻等的安全保護,而物聯(lián)網(wǎng)設(shè)備往往沒有這些安全機制,從而成為僵尸網(wǎng)絡(luò)病毒的理想目標。
2016年,業(yè)界預測物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)將成為網(wǎng)絡(luò)安全的第一威脅,但IT安全界則認定這些威脅非常有限,不必在意僵尸物聯(lián)網(wǎng)所帶來的安全威脅。然而不久后出現(xiàn)了一種工具箱,能使僵尸網(wǎng)絡(luò)病毒利用無安全措施的物聯(lián)網(wǎng)設(shè)備漏洞,進行攻擊。2016年十月的Mirai僵尸網(wǎng)絡(luò)攻擊事件成為了一個重要的轉(zhuǎn)折點。
Mirai和另一種僵尸網(wǎng)絡(luò)Bashlight,可以利用網(wǎng)絡(luò)攝像頭和數(shù)字視頻錄像機上安裝的精簡Linux系統(tǒng)中的漏洞,指揮設(shè)備在服務(wù)器中下載惡意軟件。
之后,它們通過不斷掃描缺省或硬編碼的用戶名和密碼,向周圍的其他“肉雞”設(shè)備散播這一惡意軟件。DDoS 攻擊便是通過這一方式感染大量互聯(lián)設(shè)備的。在Mirai僵尸網(wǎng)絡(luò)攻擊事件中,有超過15萬臺網(wǎng)絡(luò)攝像機被Mirai僵尸網(wǎng)絡(luò)感染。
僵尸網(wǎng)絡(luò)暴露嵌入式系統(tǒng)設(shè)計缺陷
當下,物聯(lián)網(wǎng)設(shè)備數(shù)量龐大且在持續(xù)增長,而Mirai為無防護物聯(lián)網(wǎng)設(shè)備的安全行敲響了警鐘。加德納公司預測,到2020年,將有超過208億的設(shè)備連接到物聯(lián)網(wǎng)中。Mirai揭示了黑客控制“肉雞”并將其并入僵尸網(wǎng)絡(luò)的機制。僵尸物聯(lián)網(wǎng)在強調(diào)了嵌入式安全重要性的同時,也暴露嵌入式系統(tǒng)設(shè)計中主要缺陷:
物聯(lián)網(wǎng)設(shè)備精簡化和低功耗的追求不可避免地降低了嵌入式安全等級
物聯(lián)網(wǎng)設(shè)備電池容量和存儲空間僅夠完成最基本的功能,安全性的考慮被排在兩者之后
緊迫的設(shè)計時間和上市壓力導致摒棄了安全模塊的設(shè)計
許多物聯(lián)網(wǎng)設(shè)備通過復用軟硬件模塊來簡化設(shè)計、降低成本,但這會導致不同類別的物聯(lián)網(wǎng)設(shè)備憑據(jù)被公開
物聯(lián)網(wǎng)設(shè)備上的操作系統(tǒng)缺乏透明性和便捷接口,這給病毒監(jiān)測帶來困難。物聯(lián)網(wǎng)設(shè)備的病毒監(jiān)控和監(jiān)測往往基于網(wǎng)頁瀏覽器或智能手機的APP等的復雜接口,而不能直接訪問操作系統(tǒng)本身
大多數(shù)嵌入式設(shè)備的操作系統(tǒng)采用各種版本的Linux系統(tǒng)。這些系統(tǒng)只有合理地打補丁、配置和加固才能保證安全。而黑客們已經(jīng)在著力破解路由器和機頂盒上的Linux系統(tǒng)漏洞
僵尸物聯(lián)網(wǎng)已經(jīng)波及到網(wǎng)絡(luò)攝像頭、Wi-fi路由器、網(wǎng)絡(luò)攝像機和機頂盒等設(shè)備并被用于散布DDoS攻擊網(wǎng)絡(luò)游戲的服務(wù)器。黑客還曾嘗試利用僵尸物聯(lián)網(wǎng)侵入德國電信公司的路由器,但最終未能成功。
接下來會是什么?智能冰箱,電燈,智能鎖,還是智能汽車?如果僵尸網(wǎng)絡(luò)被散布者釋放到銀行,醫(yī)院和智慧城市的基礎(chǔ)設(shè)施中,可能會造成更大規(guī)模的破壞。
健壯的多層次安全保護是關(guān)鍵
那么,我們該如何構(gòu)建健壯的安全系統(tǒng)來防范這一“萬能牌”呢?我們?nèi)绾未_保從傳感器到物聯(lián)網(wǎng)節(jié)點一直到云等各層次的安全性以確保多層次物聯(lián)網(wǎng)接入點的可靠性?嵌入式系統(tǒng)安全的根本在于:
開發(fā)嵌入式系統(tǒng)中多層次安全保護機制,涵蓋安全節(jié)點,存儲,網(wǎng)絡(luò)和整個物聯(lián)網(wǎng)生態(tài)
設(shè)計可靠的嵌入式硬件
多層次安全保護
如圖1所示,嵌入式系統(tǒng)設(shè)計中的多層次安全保護機制,涵蓋了安全節(jié)點,存儲,網(wǎng)絡(luò)和整個物聯(lián)網(wǎng)生態(tài)。
這些對抗僵尸物聯(lián)網(wǎng)病毒的最佳措施被納入產(chǎn)品開發(fā)周期中的安全框架中:
節(jié)點
在基于硬件的可信任框架下采用安全啟動以確保物聯(lián)網(wǎng)設(shè)備在確知的安全狀態(tài)下運行的同時,其內(nèi)容依然保密。安全啟動作為嵌入式設(shè)備安全的基石,是防范僵尸網(wǎng)絡(luò)病毒等安全缺口的第一道防線
更新固件。黑客能使用空中下載(OTA)升級來發(fā)布其惡意病毒。因此,應(yīng)采用身份認證來確保物聯(lián)網(wǎng)設(shè)備僅從授權(quán)系統(tǒng)中檢索升級代碼
網(wǎng)絡(luò)
僅在使用防火墻的環(huán)境下連接物聯(lián)網(wǎng)設(shè)備。防火墻會檢查輸入數(shù)據(jù)并通過數(shù)據(jù)的行為,簽名,IP歷史以及物聯(lián)網(wǎng)終端信息的一致性交叉詢問來識別威脅
使用DDoS攻擊防護服務(wù)以及采用健壯內(nèi)容發(fā)布網(wǎng)絡(luò)的工具做為最初的防御措施
確保物聯(lián)網(wǎng)設(shè)備間及其與云服務(wù)等系統(tǒng)的可靠連接,使用基于傳輸層安全(TLS)等安全協(xié)議的加密鏈路
固化開放安全套接字層(OpenSSL)等TLS實現(xiàn)棧,通過創(chuàng)建額外的硬件安全層來消除軟件的漏洞
安全存儲
物聯(lián)網(wǎng)系統(tǒng)需要牢靠的身份認證來確定和核實節(jié)點和設(shè)備的身份。人們往往將安全等同與加密,但在應(yīng)對諸如僵尸網(wǎng)絡(luò)病毒之類的網(wǎng)絡(luò)威脅方面,身份認證才是物聯(lián)網(wǎng)安全領(lǐng)域的中流砥柱
設(shè)計安全的嵌入式硬件
嵌入式安全應(yīng)用于互聯(lián)設(shè)備的前提從一開始就被忽略了。嵌入式安全應(yīng)該從設(shè)計具有完整安全解決方案的防篡改硬件開始,而不僅僅依靠一堆補丁和系統(tǒng)修復。
傳統(tǒng)的硬件安全包括多個方面:
一個硬件安全模塊(HSM),這需要一個數(shù)據(jù)庫來存儲,保護和管理密鑰。這需要對硬件基礎(chǔ)和硬件邏輯進行前期投資
一個可信任平臺模塊(TPM),它將加密密鑰整合進設(shè)備的硬件中,但這不符合低價物聯(lián)網(wǎng)應(yīng)用的定位
一個安全堆棧,建立在MPU或MCU的頂層。但這一設(shè)計需要花費大量的CPU運行周期來加速應(yīng)用和固件的身份認證。由于基于中央MPU或MCU的安全硬件帶來許多計算密集的操作(如身份認證),這會加重整個系統(tǒng)的負擔,降低系統(tǒng)性能,因此成果有限
基于以上原因,傳統(tǒng)的硬件安全解決方案不能有效的應(yīng)用于嵌入式系統(tǒng)中。取而代之的是使用專用安全處理器的嵌入式系統(tǒng)硬件設(shè)計,專用處理器中的硬件密鑰存儲和加密加速技術(shù)可以彌補軟件的漏洞。同時,專用處理器更容易固化一些知名的TLS實現(xiàn)棧(如OpenSSL等),使得物聯(lián)網(wǎng)節(jié)點能自動完成與云服務(wù)器通信的身份認證。
首先,通過I^2 C接口將低耗的安全協(xié)處理器與主機(MPU或MCU)連接,方便安全啟動系統(tǒng)防御流氓固件的攻擊。Maxim的MAXREFDES143 Reference Design 就是物聯(lián)網(wǎng)嵌入式安全設(shè)計的典范。其通過身份認證和告知網(wǎng)頁服務(wù)器來保護工業(yè)傳感器節(jié)點。其特別采用DeepCover 安全認證(帶單線 SHA-256 和 512-Bit 用戶 EEPROM),支持從傳感器到網(wǎng)頁服務(wù)器數(shù)據(jù)的所有身份認證。
這些加密元素(圖2)——更小的MCU,都配備了硬件加密加速器,以執(zhí)行強大的身份驗證,從而保護私鑰,證書和其他敏感的安全數(shù)據(jù),防止僵尸網(wǎng)絡(luò)入侵。 此外,傳統(tǒng)的TLS標準在軟件上實現(xiàn)身份認證和密鑰存儲,在軟件上實現(xiàn)并無必要,加密部件通過消除以軟件為中心的安全實現(xiàn)復雜性,簡化了與亞馬遜網(wǎng)頁服務(wù)(AWS)等云服務(wù)的相互認證。
結(jié)論
物聯(lián)網(wǎng)產(chǎn)業(yè)作為互聯(lián)網(wǎng)嵌入式電子產(chǎn)業(yè)的延伸,正處于關(guān)鍵的十字路口。目前,物聯(lián)網(wǎng)僵尸病毒主要針對網(wǎng)頁和應(yīng)用服務(wù)器,但他們遠比我們當前所見具有更強大的破壞力。例如,它們可能通過干擾智能監(jiān)視系統(tǒng)來影響建筑物的物理尺寸,或者通過擾亂交通系統(tǒng)引發(fā)混亂。
重新開發(fā)安全的物聯(lián)網(wǎng)嵌入式設(shè)備為時已晚,特別是已有數(shù)千萬個“肉雞”設(shè)備已經(jīng)投入市場,且數(shù)量日益增加。物聯(lián)網(wǎng)愛好者們剛剛瞥見網(wǎng)絡(luò)互聯(lián)的潛在威脅,物聯(lián)網(wǎng)便已成規(guī)模,采取行動,重新審視嵌入式安全刻不容緩。