Sikre tingenes internett

Med en stasjonær datamaskin eller smart mobil enhet er det enkelt å legge til sikkerhetsbeskyttelse. Bare installer en sikkerhetssuite, eller en antivirus-app, så er du ferdig. Det er enkelt nettopp fordi enhetene det gjelder kjører avanserte operativsystemer som håndterer multitasking og interprosesskommunikasjon. Hele beskyttelsesmodellen brytes sammen når det gjelder de mange tilkoblede enhetene som utgjør det vi kaller Internet of Things (IoT).

PC-er og smarttelefoner har rikelig med prosessorkraft; de koster også mange dollar. En produsent som vil legge til internettforbindelse til en dukke eller et vegguttak, må bruke så lite som mulig, ellers vil ikke produktet være konkurransedyktig. Disse enhetene har ikke en gang et operativsystem. All koden er innebygd i firmware, og du kan ikke bare sko en antivirus inn i firmware.

I tilfelle et sikkerhetsproblem eller annen feil, overskriver produsenten ganske enkelt firmwaren med en ny versjon. Dessverre kan skurker bruke den innebygde firmwareoppdateringsevnen til ubehagelige formål. Hva med å bytte ut firmwaren til den smarte dørlåsen med en ny versjon som gjør alt den skal, men som også åpner for skurkens kommando? Denne typen angrep er vanlig, og resultatene er vanligvis ubehagelige. Er det noe håp?

Arxan på innsiden

På den nylige RSA-konferansen i San Francisco snakket jeg med Patrick Kehoe, CMO for Arxan Technologies, og Jonathan Carter, prosjektleder for selskapets prosjekt for omvendt prosjektering og kodemodifisering (ganske munnfull!). Det enkleste er, hva Carters team gjør er å hjelpe apputviklere med å bake sikkerhet rett i firmware.

Carter forklarte at noen angrep mot IoT-enheter fokuserer på å avskjære og manipulere eller duplisere nettverkstrafikk mellom enheten og en server, eller en smarttelefon. Men Arxans beskyttelse går dypere. "Vi fokuserer på aktiviteten i den mobile enheten, i IoT-enheten, " sa Carter. "Hva vi gjør bak kulissene, vi stopper den onde fyren fra å avskjære trafikken i utgangspunktet. Dette er ikke på nettverksnivå, dette er innenfor appene selv. Ved kjøretid kan vi oppdage om noen har prøvd å smitte firmwarekoden."

Når en utvikler sammenstiller kode ved hjelp av Arxans teknologi, bygges selvbeskyttelse rett inn i firmwaren. Komponentene overvåker den aktive koden (og hverandre) for å oppdage og forhindre endringer. Avhengig av angrepet, og utviklerens valg, kan vaktkoden slå av en kompromittert app, reparere skaden, sende et varsel eller alle tre.

Kan ikke kopiere meg!

Hvis en angriper klarer å erstatte firmware fullstendig, forsvinner selvfølgelig all denne sikkerhetskoden sammen med resten av den originale firmware. Det er der Arxans obfuskasjonsteknologi kommer inn. Enkelt sagt, under opprettelsen av firmwarekoden, bruker Arxans teknologi mange forskjellige triks for å gjøre demontering og reversering av firmware ekstremt vanskelig.

Hvorfor er dette viktig? I et typisk angrep som erstatter firmware, trenger skurkene å holde de eksisterende firmwarefunksjonene i arbeid. Hvis en hakket snakkende dukke slutter å snakke, vil du sannsynligvis kaste den bort før de slemme gutta kan bruke den til å vifte i nettverket ditt. Hvis den hakkede smarte dørlåsen ikke åpnes for deg , vil du lukte en rotte.

Carter påpekte at produsenter har andre grunner til å beskytte firmware mot revers engineering. "De bekymrer seg for kloning eller forfalskning av IoT-enheter, " forklarte han. "Noen produsenter er bekymret for å selge enda en enhet i Kina. Før de vet ordet av det, vises det en knockoff til en brøkdel av prisen."

"Vi panser koden, " fortsatte Carter, "men utviklere bør fortsatt følge retningslinjene for sikker koding. De må ta avstand fra bufferoverløpsangrep og andre klassiske sårbarheter. La oss bekymre oss for brudd på integriteten."

Du er meg

Carter påpekte en IoT-enhet med angrepspotensiale som jeg ikke en gang hadde tenkt på. I disse dager får besøkende til Disney-temaparker et Magic Band som lar dem låse opp hotellrommet, komme inn i parken og til og med gjøre kjøp. Det kvalifiserer definitivt som en IoT-enhet. Hvis Beagle Boys hacker Magic Bandet ditt, kan de rydde ut hotellrommet ditt og deretter gå på en fin middag på Blue Bayou… godbiten! "Selvfølgelig, " tenkte Carter, "Disney er vanvittig stor på sikkerhet." Akk, jeg kunne ikke lokke ham til å utdype.

Jeg må si, jeg har bekymret meg for at vi ikke klarer å sikre IoT. Jeg er ikke en firmwareutvikler, men for meg Arxans tilnærming, å sette beskyttelse i hver enhets nødvendige firmware, virker som en veldig gjennomførbar tilnærming.