Video: ТОП-15 СТРАН ПО ЧИСЛУ ПОЛЬЗОВАТЕЛЕЙ ИНТЕРНЕТА (Oktober 2024)
Z namiznim računalnikom ali pametno mobilno napravo je dodajanje varnostne zaščite enostavno. Preprosto namestite varnostni paket ali protivirusno aplikacijo in končali ste. To je enostavno ravno zato, ker zadevne naprave poganjajo napredne operacijske sisteme, ki upravljajo večopravilnost in medprocesno komunikacijo. Celoten zaščitni model se pokvari, ko gre za številne povezane naprave, ki sestavljajo tako imenovani Internet stvari (IoT).
Računalniki in pametni telefoni imajo veliko procesne moči; stanejo tudi veliko dolarjev. Proizvajalec, ki želi povezati internetno lutko ali v zidno vtičnico, mora porabiti čim manj, drugače izdelek ne bo konkurenčen. Te naprave sploh nimajo operacijskega sistema. Vsa koda je vdelana v vdelano programsko opremo, zato ne morete samo vnesti antivirusa v vdelano programsko opremo.
V primeru varnostne težave ali druge napake proizvajalec vdelano programsko opremo preprosto prepiše z novo različico. Na žalost, prevaranti lahko to vgrajeno sposobnost posodabljanja vdelane programske opreme uporabljajo v zmerne namene. Kaj pa zamenjati vdelano programsko opremo pametne ključavnice z novo različico, ki naredi vse, kar je treba, hkrati pa se odpre tudi ukaze krokarja? Ta vrsta napada je pogosta, rezultati pa so običajno neprijetni. Ali obstaja kakšno upanje?
Arxan v notranjosti
Na nedavni konferenci RSA v San Franciscu sem govoril s Patrickom Kehoejem, CMO-jem podjetja Arxan Technologies, in Jonathanom Carterjem, vodjo projekta za projekt podjetja za povratni inženiring in preprečevanje spreminjanja kode (precej užitek!). Najprosteje povedano, Carterjeva ekipa pomaga razvijalcem aplikacij, da varnost vgradijo v vdelano programsko opremo.
Carter je pojasnil, da se nekateri napadi na IoT naprave osredotočajo na prestrezanje in manipuliranje ali podvajanje omrežnega prometa med napravo in strežnikom ali pametnim telefonom. Toda Arxanova zaščita sega globlje. "Osredotočeni smo na dejavnost znotraj mobilne naprave, znotraj naprave IoT, " je dejal Carter. "To, kar delamo v zakulisju, prepreči, da slabi fant v tem trenutku ne prestreže prometa. To ni na ravni omrežja, to je v samih aplikacijah. V času izvajanja lahko zaznamo, če je kdo poskušal okužiti kodo programske opreme."
Ko razvijalec zbere kodo s pomočjo tehnologije Arxan, je samozaščita vgrajena takoj v vdelano programsko opremo. Njegove komponente spremljajo aktivno kodo (in druga drugo), da zaznajo in preprečijo kakršne koli spremembe. Zaščitna koda lahko glede na napad in odločitve razvijalca izklopi ogroženo aplikacijo, popravi škodo, pošlje opozorilo ali vse tri.
Ne morem me kopirati!
Seveda, če napadalcu uspe popolnoma nadomestiti vdelano programsko opremo, izgine vsa ta zaščitna koda, skupaj s preostankom izvirne programske opreme. Tu prihaja tehnologija zakrivanja Arxan-a. Preprosto povedano, Arxanova tehnologija med ustvarjanjem kode strojne programske opreme uporablja številne različne trike, s katerimi je razstavljanje in povratni inženiring strojne programske opreme izjemno otežen.
Zakaj je to pomembno? V značilnem napadu zamenjave programske opreme morajo krokarji ohraniti delovanje obstoječih funkcij vdelane programske opreme. Če se prekaljena lutka neha pogovarjati, jo boste verjetno vrgli, preden jo bodo negativci lahko uporabili za iskanje v vašem omrežju. Če se vam prekaljena pametna ključavnica na vratih ne bo odprla, boste vonjali podgano.
Carter je opozoril, da imajo proizvajalci druge razloge za zaščito vdelane programske opreme pred obratnim inženiringom. "Skrbi jih zaradi kloniranja ali ponarejanja naprav IoT, " je pojasnil. "Nekateri proizvajalci so zaskrbljeni nad prodajo celo ene naprave na Kitajskem. Preden se zavedajo, se zdi, da je trkanje v znesku del cene."
"Oborožimo se s kodo, " nadaljuje Carter, "vendar morajo razvijalci še vedno upoštevati smernice za varno kodiranje. Odpraviti morajo napade preplastitve medpomnilnikov in druge klasične ranljivosti. Skrbimo za kršitve integritete."
Ti si jaz
Carter je izpostavil napravo IoT z napadalnim potencialom, o katerem nisem niti pomislil. Te dni obiskovalci Disneyevih tematskih parkov prejmejo Magic Band, ki jim omogoča, da odklenejo hotelsko sobo, vstopijo v park in celo opravijo nakupe. Vsekakor velja za napravo IoT. Če vam Beagle Boys ukradejo Magic Band, bi lahko počistili vašo hotelsko sobo in se nato odpravili na domišljijsko večerjo v Blue Bayou… vaš priboljšek! "Seveda, " je razmišljal Carter, "Disney je noro velik glede varnosti." Žal, nisem ga mogel nagovoriti, da bi ga izoblikoval.
Moram reči, da me skrbi, da ne bomo mogli zavarovati IoT-ja. Nisem razvijalec vdelane programske opreme, vendar se mi zdi Arxanov pristop, ki postavlja zaščito znotraj potrebne strojne programske opreme vsake naprave, kot očitno uporaben pristop.
