物聯(lián)網(IoT)僵尸網絡(botnet)的興起已經成為智能家庭����,智慧城市和工業(yè)網絡化等新興產業(yè)的安全威脅����。僵尸網絡的分布式拒絕服務(DDoS)攻擊已有時日����,而且針對物聯(lián)網的僵尸網絡亦非新事。但直至最近��,人們才認識到物聯(lián)網僵尸網絡破壞的嚴重性���,安全缺陷可能導致物聯(lián)網嵌入式系統(tǒng)在同時聯(lián)網時全盤崩潰�����。本文從物聯(lián)網設備安全漏洞的角度研究僵尸網絡�,指明安全設備防范僵尸網絡的關鍵���。
僵尸網絡及其潛在威脅
僵尸網絡是指被特定惡意軟件感染的互聯(lián)設備所構成的網絡�����,它允許黑客獲取遠程控制權并協(xié)調進行DDoS攻擊僵尸網絡病毒���,亦稱僵尸大軍(zombie armies)����,也可以用于垃圾郵件轟炸�����,盜取敏感密鑰�,傳播勒索軟件等。
物聯(lián)網中的僵尸網絡病毒不同于Windows平臺上的普通僵尸網絡病毒�����,它產生于脆弱的物聯(lián)網設備��,并且可以通過龐大的物聯(lián)網系統(tǒng)感染海量設備����。此外����,普通僵尸網絡病毒往往用于發(fā)送垃圾郵件,而物聯(lián)網僵尸網絡病毒可以通過影響物聯(lián)網設備周圍的物理環(huán)境來造成更大的危害��。
例如,一種物聯(lián)網病毒可以侵入交通燈系統(tǒng)����,破壞智慧城市的基礎設施,從而引發(fā)整座城市的混亂�����,�。同樣,黑客也可以通過病毒提高智能家庭的溫度����,或是增加油汽供給。
兩者的另一顯著區(qū)別在于��,個人電腦與服務器的連接受到殺毒軟件和防火墻等的安全保護���,而物聯(lián)網設備往往沒有這些安全機制�����,從而成為僵尸網絡病毒的理想目標���。
2016年,業(yè)界預測物聯(lián)網僵尸網絡將成為網絡安全的第一威脅,但IT安全界則認定這些威脅非常有限��,不必在意僵尸物聯(lián)網所帶來的安全威脅����。然而不久后出現(xiàn)了一種工具箱,能使僵尸網絡病毒利用無安全措施的物聯(lián)網設備漏洞�,進行攻擊。2016年十月的Mirai僵尸網絡攻擊事件成為了一個重要的轉折點�。
Mirai和另一種僵尸網絡Bashlight,可以利用網絡攝像頭和數(shù)字視頻錄像機上安裝的精簡Linux系統(tǒng)中的漏洞���,指揮設備在服務器中下載惡意軟件�����。
之后�,它們通過不斷掃描缺省或硬編碼的用戶名和密碼���,向周圍的其他“肉雞”設備散播這一惡意軟件。DDoS 攻擊便是通過這一方式感染大量互聯(lián)設備的�����。在Mirai僵尸網絡攻擊事件中,有超過15萬臺網絡攝像機被Mirai僵尸網絡感染����。
僵尸網絡暴露嵌入式系統(tǒng)設計缺陷
當下,物聯(lián)網設備數(shù)量龐大且在持續(xù)增長�����,而Mirai為無防護物聯(lián)網設備的安全行敲響了警鐘����。加德納公司預測,到2020年����,將有超過208億的設備連接到物聯(lián)網中。Mirai揭示了黑客控制“肉雞”并將其并入僵尸網絡的機制���。僵尸物聯(lián)網在強調了嵌入式安全重要性的同時��,也暴露嵌入式系統(tǒng)設計中主要缺陷:
物聯(lián)網設備精簡化和低功耗的追求不可避免地降低了嵌入式安全等級
物聯(lián)網設備電池容量和存儲空間僅夠完成最基本的功能�,安全性的考慮被排在兩者之后
緊迫的設計時間和上市壓力導致摒棄了安全模塊的設計
許多物聯(lián)網設備通過復用軟硬件模塊來簡化設計����、降低成本���,但這會導致不同類別的物聯(lián)網設備憑據被公開
物聯(lián)網設備上的操作系統(tǒng)缺乏透明性和便捷接口,這給病毒監(jiān)測帶來困難�。物聯(lián)網設備的病毒監(jiān)控和監(jiān)測往往基于網頁瀏覽器或智能手機的APP等的復雜接口,而不能直接訪問操作系統(tǒng)本身
大多數(shù)嵌入式設備的操作系統(tǒng)采用各種版本的Linux系統(tǒng)�。這些系統(tǒng)只有合理地打補丁、配置和加固才能保證安全�。而黑客們已經在著力破解路由器和機頂盒上的Linux系統(tǒng)漏洞
僵尸物聯(lián)網已經波及到網絡攝像頭、Wi-fi路由器�、網絡攝像機和機頂盒等設備并被用于散布DDoS攻擊網絡游戲的服務器。黑客還曾嘗試利用僵尸物聯(lián)網侵入德國電信公司的路由器�����,但最終未能成功�����。
接下來會是什么�����?智能冰箱���,電燈�,智能鎖�,還是智能汽車?如果僵尸網絡被散布者釋放到銀行����,醫(yī)院和智慧城市的基礎設施中,可能會造成更大規(guī)模的破壞��。
健壯的多層次安全保護是關鍵
那么�,我們該如何構建健壯的安全系統(tǒng)來防范這一“萬能牌”呢?我們如何確保從傳感器到物聯(lián)網節(jié)點一直到云等各層次的安全性以確保多層次物聯(lián)網接入點的可靠性���?嵌入式系統(tǒng)安全的根本在于:
開發(fā)嵌入式系統(tǒng)中多層次安全保護機制���,涵蓋安全節(jié)點,存儲�,網絡和整個物聯(lián)網生態(tài)
設計可靠的嵌入式硬件
多層次安全保護
如圖1所示,嵌入式系統(tǒng)設計中的多層次安全保護機制�,涵蓋了安全節(jié)點,存儲�����,網絡和整個物聯(lián)網生態(tài)��。
圖1 在以互聯(lián)網為中心的嵌入式系統(tǒng)中建立多層安全保護�,來抵御僵尸物聯(lián)網病毒等威脅(來源Microchip)這些對抗僵尸物聯(lián)網病毒的最佳措施被納入產品開發(fā)周期中的安全框架中:
節(jié)點
在基于硬件的可信任框架下采用安全啟動以確保物聯(lián)網設備在確知的安全狀態(tài)下運行的同時,其內容依然保密�。安全啟動作為嵌入式設備安全的基石,是防范僵尸網絡病毒等安全缺口的第一道防線
更新固件��。黑客能使用空中下載(OTA)升級來發(fā)布其惡意病毒����。因此,應采用身份認證來確保物聯(lián)網設備僅從授權系統(tǒng)中檢索升級代碼
網絡
僅在使用防火墻的環(huán)境下連接物聯(lián)網設備���。防火墻會檢查輸入數(shù)據并通過數(shù)據的行為��,簽名����,IP歷史以及物聯(lián)網終端信息的一致性交叉詢問來識別威脅
使用DDoS攻擊防護服務以及采用健壯內容發(fā)布網絡的工具做為最初的防御措施
確保物聯(lián)網設備間及其與云服務等系統(tǒng)的可靠連接��,使用基于傳輸層安全(TLS)等安全協(xié)議的加密鏈路
固化開放安全套接字層(OpenSSL)等TLS實現(xiàn)棧�����,通過創(chuàng)建額外的硬件安全層來消除軟件的漏洞
安全存儲
物聯(lián)網系統(tǒng)需要牢靠的身份認證來確定和核實節(jié)點和設備的身份��。人們往往將安全等同與加密,但在應對諸如僵尸網絡病毒之類的網絡威脅方面��,身份認證才是物聯(lián)網安全領域的中流砥柱
設計安全的嵌入式硬件
嵌入式安全應用于互聯(lián)設備的前提從一開始就被忽略了����。嵌入式安全應該從設計具有完整安全解決方案的防篡改硬件開始�,而不僅僅依靠一堆補丁和系統(tǒng)修復。
傳統(tǒng)的硬件安全包括多個方面:
一個硬件安全模塊(HSM)���,這需要一個數(shù)據庫來存儲���,保護和管理密鑰。這需要對硬件基礎和硬件邏輯進行前期投資
一個可信任平臺模塊(TPM)�����,它將加密密鑰整合進設備的硬件中�,但這不符合低價物聯(lián)網應用的定位
一個安全堆棧,建立在MPU或MCU的頂層�。但這一設計需要花費大量的CPU運行周期來加速應用和固件的身份認證。由于基于中央MPU或MCU的安全硬件帶來許多計算密集的操作(如身份認證)�����,這會加重整個系統(tǒng)的負擔,降低系統(tǒng)性能�����,因此成果有限
基于以上原因��,傳統(tǒng)的硬件安全解決方案不能有效的應用于嵌入式系統(tǒng)中�。取而代之的是使用專用安全處理器的嵌入式系統(tǒng)硬件設計,專用處理器中的硬件密鑰存儲和加密加速技術可以彌補軟件的漏洞�����。同時���,專用處理器更容易固化一些知名的TLS實現(xiàn)棧(如OpenSSL等)�,使得物聯(lián)網節(jié)點能自動完成與云服務器通信的身份認證���。
首先���,通過I^2 C接口將低耗的安全協(xié)處理器與主機(MPU或MCU)連接,方便安全啟動系統(tǒng)防御流氓固件的攻擊��。Maxim的MAXREFDES143 Reference Design 就是物聯(lián)網嵌入式安全設計的典范。其通過身份認證和告知網頁服務器來保護工業(yè)傳感器節(jié)點�。其特別采用DeepCover 安全認證(帶單線 SHA-256 和 512-Bit 用戶 EEPROM),支持從傳感器到網頁服務器數(shù)據的所有身份認證�。
這些加密元素(圖2)——更小的MCU,都配備了硬件加密加速器��,以執(zhí)行強大的身份驗證�,從而保護私鑰�����,證書和其他敏感的安全數(shù)據����,防止僵尸網絡入侵。 此外����,傳統(tǒng)的TLS標準在軟件上實現(xiàn)身份認證和密鑰存儲,在軟件上實現(xiàn)并無必要���,加密部件通過消除以軟件為中心的安全實現(xiàn)復雜性���,簡化了與亞馬遜網頁服務(AWS)等云服務的相互認證。
圖2 Microchip ATECC508A等安全MCU提供了節(jié)點身份認證功能���,限制了僵尸網絡的攻擊(來源:Microchip)結論
物聯(lián)網產業(yè)作為互聯(lián)網嵌入式電子產業(yè)的延伸�����,正處于關鍵的十字路口��。目前���,物聯(lián)網僵尸病毒主要針對網頁和應用服務器,但他們遠比我們當前所見具有更強大的破壞力�����。例如��,它們可能通過干擾智能監(jiān)視系統(tǒng)來影響建筑物的物理尺寸��,或者通過擾亂交通系統(tǒng)引發(fā)混亂����。
重新開發(fā)安全的物聯(lián)網嵌入式設備為時已晚,特別是已有數(shù)千萬個“肉雞”設備已經投入市場�,且數(shù)量日益增加�����。物聯(lián)網愛好者們剛剛瞥見網絡互聯(lián)的潛在威脅���,物聯(lián)網便已成規(guī)模,采取行動��,重新審視嵌入式安全刻不容緩�。
