首頁

模組物聯連接管理

僵尸網絡帶來物聯網戰役：重訪嵌入式安全

2018-06-20 09:18:03 來源：物聯網在線熱度:

針對物聯網（IoT）的僵尸網絡的崛起已成為快速發展的新興行業（如家庭自動化，智能城市和工業網絡）的明顯和現實危險。雖然僵尸網絡釋放分布式拒絕服務（DDoS）攻擊已經有相當長的一段時間了，但針對物聯網的僵尸網絡并不一定是新的。

然而，物聯網僵尸網絡的新發現是實現了它們的破壞性，以及在嵌入式系統被大量連接到互聯網時，安全不足可能會炸毀物聯網方。本文將探討物聯網設備安全漏洞方面的僵尸網絡，以及確定抵御設備攻擊的關鍵方法。

僵尸網絡及其潛在的利用

一個僵尸網絡是已經感染了惡意軟件，允許攻擊者獲得遠程控制和協調就像發動DDoS攻擊的動作連接的設備的集合。僵尸網絡，也被稱為僵尸軍隊，也可用于發送垃圾郵件，嗅探敏感密碼并傳播勒索軟件。

物聯網僵尸網絡與基于Windows的同類僵尸網絡不同之處在于它們是從受損的物聯網設備構建而成的，并且可以使用龐大的物聯網網絡傳播到大量設備。此外，與通常用于垃圾郵件的常見僵尸網絡不同，物聯網僵尸網絡可能會通過影響物聯網設備周圍的物理環境而造成更大的損害。

例如，物聯網僵尸網絡對交通燈的攻擊可能會在整個城鎮造成混亂，并摧毀智能城市基礎設施。同樣，黑客可以增加智能家庭的熱量水平，并人為地增加對石油或天然氣的需求。

另一個明顯的區別是，與受惡意軟件檢測和防火墻過濾等安全功能保護的個人計算機和服務器不同，物聯網設備正在成為僵尸網絡的有吸引力的目標，因為它們通常不使用此類高級安全功能。

預計物聯網僵尸網絡的崛起將在2016年成為一個威脅性的網絡安全趨勢，但IT安全社區駁斥了這些物聯網僵尸網絡構成的威脅。當時，這種威脅通常被認為是相當有限的，盡管不久之后，可用的工具包使僵尸網絡能夠利用不安全的物聯網設備中的漏洞。2016年10月的未來襲擊事件是一個關鍵的轉折點。

Mirai和另一個稱為Bashlight的物聯網僵尸網絡利用了IP攝像機和數字錄像機（DVR）等嵌入式設備中使用的Linux操作系統的縮減版本中的漏洞。通過這樣做，這些物聯網僵尸網絡利用了網絡攝像頭等設備中的已知漏洞，然后從命令與控制（C＆C）服務器下載惡意軟件。

接下來，他們開始通過不斷掃描默認或硬編碼的用戶名和密碼，將此惡意軟件傳播給其他易受攻擊的設備。這就是他們通過感染大量連接的設備來發起DDoS攻擊的方式。Mirai bot惡意軟件使用了超過150,000臺IP攝像機。

僵尸網絡突出嵌入式系統設計中的缺陷

未來，未來互聯網連接設備處于歷史新高且仍在增長的時候，未來安全聯網設備的危險性喚醒了呼喚。市場研究公司Gartner預測到2020年將有208億連接對象加入物聯網潮流.Mirai還展示了黑客如何控制任何易受攻擊的物聯網設備并將其套入僵尸網絡。未來和其他物聯網僵尸網絡提高了嵌入式安全的概況，并強調了嵌入式系統設計中的主要缺陷：

1.尋求簡單的物聯網設計和低成本組件的選擇不可避免地使嵌入式安全成為事后考慮。

2.物聯網設備具有足夠的處理能力和存儲空間以實現最低限度的功能，從而將安全考慮推向后座。

3.嚴格的期限和上市時間壓力有時會導致物聯網開發人員完全繞過安全設計組件。

4.許多物聯網設計基于軟件和硬件組件的重用，以簡化設計并降低成本。但是，它還會在完全不同的物聯網設備類中顯示默認憑據。

5.檢測嵌入式設備的感染本質上很困難，因為它們缺乏操作系統透明度和易于訪問; 而不是訪問操作系統本身，監視和檢測是通過繁瑣的訪問點完成的，如Web瀏覽器或智能手機應用程序。

6.大多數嵌入式系統運行在Linux的一些變體上，除非它被正確地打補丁，配置和硬化，否則它是不安全的。黑客主要利用路由器和機頂盒的Linux漏洞。

物聯網僵尸網絡已經影響了IP攝像機，Wi-Fi路由器，網絡攝像機和機頂盒，并且已經被用于對在線游戲服務發起DDoS攻擊。黑客也未嘗試將Deutsche Telekom的路由器用作僵尸網絡的設備。

下一步是什么？智能冰箱，燈泡，門鎖和連接汽車？當這些僵尸網絡及其創建者在銀行，醫院和智能城市基礎設施上釋放時，可能會造成更大規模的破壞。

強大的多層安全保護是關鍵

那么，我們如何通過這張通配符在連接產品中構建強大的安全級別？我們如何在多個層面實現安全 - 從傳感器到物聯網節點到云端 - 以確保物聯網網絡中的多個入口點的安全？安全嵌入式系統的基石包括：

1.在嵌入式系統設計中開發多層安全保護，包括保護節點，存儲，網絡和整個生態系統。

2.設計安全的嵌入式硬件。

實施多層安全保護

正如圖1所示，顯影在嵌入式系統設計多層安全保護包括固定節點，存儲，網絡，和生態系統作為一個整體。

圖1： IoT僵尸網絡等威脅需要以網絡為中心的嵌入式系統的多層安全。（來源：Microchip）

這些防范物聯網僵尸網絡的最佳實踐與嵌入產品開發生命周期中的安全框架有著內在聯系：

節點

1.使用基于硬件的“信任根”進行安全啟動過程，以確保物聯網設備以已知且安全的狀態運行，并確保其內容保密。安全啟動 - 嵌入式設備安全的基石 - 是防止僵尸網絡等安全漏洞的第一道防線。

2.更新固件; 但是，請記住，黑客可以使用無線（OTA）更新來推送自己的惡意機器人。因此，應使用身份驗證來確保物聯網設備僅從經批準的系統檢索代碼。

網絡

1.僅在使用防火墻的環境中連接IoT設備。它們通過行為，簽名，知識產權歷史記錄以及對物聯網終端整合的信息進行交叉審查來檢查傳入流量并識別威脅。

2.使用DDoS緩解服務和采用強大的內容交付網絡的工具來承擔初始主力。

3.使用基于傳輸層安全性（TLS）等協議的加密鏈接，實現物聯網設備與其他系統（如云服務）之間的安全連接。這通過捕獲和分析在途數據來禁止“中間人”攻擊。

4.強化TLS實施堆棧，如OpenSSL。強化通過創建額外的硬件安全層來消除軟件漏洞。

安全存儲

物聯網系統需要強大的身份驗證才能確定并驗證節點和設備身份。人們通常將加密與安全等同起來，但是當涉及防止僵尸網絡等網絡威脅時，身份認證是物聯網安全領域的主要支柱。

設計安全嵌入式硬件

從頭開始將嵌入式安全技術發展成連接設備的前提是姍姍來遲，并且從設計提供完整安全解決方案的防篡改硬件開始，而不僅僅是補丁和修復的集合。

傳統的硬件安全可以包含多個安全點：

1.硬件安全模塊（HSM），需要數據庫來存儲，保護和管理密鑰。這反過來又要求對基礎設施和物流進行前期投資。

2.可信平臺模塊（TPM），將密鑰集成到設備硬件中; 然而，這些對于價格較低的物聯網應用來說定位不佳。

3.構建在微處理器或微控制器頂部的安全堆棧 ; 然而，這種設計需要很多CPU周期來加速應用程序和固件的認證。因此，圍繞中央MPU或MCU構建的安全硬件在物聯網設計中取得了有限的成功，因為像認證這樣的計算密集型操作會影響整個系統并降低芯片組性能。

由于這些原因，傳統的硬件安全解決方案不能很好地傳輸到嵌入式系統。相反，在嵌入式硬件設計中使用專用安全處理器通過硬件密鑰存儲和物聯網設計中的加密加速來縮小軟件漏洞差距。它們還促進了著名的傳輸層安全性（TLS）實施堆棧（如OpenSSL）的強化，并允許IoT節點自動驗證與云的通信。

首先，這些低成本安全協處理器通過I 2 C鏈路連接到主機MPU或MCU ，有助于實現安全引導功能，以防止惡意固件。Maxim的MAXREFDES143參考設計是嵌入式物聯網安全性的一個很好的例子。它通過身份驗證和通知Web服務器來保護工業傳感節點。它具有帶1-Wire SHA-256和512位用戶EEPROM的DeepCover安全認證器，可實現從傳感器節點到Web服務器的各個層面的數據認證。

這些加密單元（圖2） - 較小的MCU--配備了硬件加密加速功能，可以執行強大的身份驗證，以便保護私鑰，證書和其他敏感安全數據，從而確保防御僵尸網絡入侵。此外，它們通過消除與以軟件為中心的安全實施相關的復雜性，簡化了與Amazon Web Services（AWS）等云服務的相互認證。值得注意的是，TLS標準傳統上是通過軟件進行認證和存儲私鑰。

圖2： Microchip的ATECC508A等安全MCU 為IoT節點提供身份驗證，從而限制僵尸網絡進入系統。（來源：Microchip）

結論

物聯網產業，互聯網連接的嵌入式電子產品的激增，正處于一個十字路口。目前，物聯網僵尸網絡主要針對網絡和應用服務器。但是他們可能會被用來進行比我們已經看到的破壞性更強的攻擊。例如，他們可能通過干擾監視操作來影響智能建筑的實際尺寸。或者，他們可能通過破壞交通燈系統在街道上造成混亂。

從頭開始在連接的設備中開發嵌入式安全性已經姍姍來遲，特別是當數以千萬計的易受攻擊的物聯網設備出現在這些設備中時，這些數字日益增長。物聯網愛好者只是發現互聯網連接的陰暗面。物聯網已經在向龐大的規模邁進?，F在采取行動并重新審視嵌入式安全的時機已經到來。

下一篇：中國聯通物聯網設備管理平臺招標失敗，轉為競爭性談判上一篇：物聯網小講堂：NB-IoT\eMTC\LoRa各有分工

責任編輯：胡輝

物聯網安全

亚洲网站免费_国产一区二区三区在线看麻豆 _国产精品毛片一区二区三区 _麻豆精品网站

僵尸網絡帶來物聯網戰役：重訪嵌入式安全

相關推薦