广告

给物联网工程师的“防殭尸”设计秘籍

时间:2017-02-20 作者:Rich Quinnell 阅读:
近日美国电信商Verizon揭露一所美国大学遭到DDoS攻击,在追查下竟发现来自校内为数约5000台的物连网设备,包含连网路灯、自动贩卖机等,所幸黑客操控手机不够高明,校方最后取回这些连网设备的控制权。
广告

美国一间大学日前发觉校园内网络速度因不明原因变慢,结果发现竟是学校的域名服务器(DNS)遭受DDoS攻击,有许多包括海鲜名称的子域查询需求,显然是透过殭尸网络传送至该校DNS服务器,进一步调查后发现,这些查询需求都发自该校区内的物联网(IoT)设备,包括遍布校园内的连网路灯、自动贩卖机。

该校表示,这些设备显然是因为采用了好猜或根本未更改默认的密码,而遭入侵并植入恶意软件,并进而被殭尸网络控制。尽管发现问题,但由于IT部门缺乏所有物联网设备的详细位置与设备信息,也从未负责更换过这些设备,如何逐一修复这5000多个装置成为头痛难题。

即便如此,当提及安全特性时,许多物联网设备开发人员仍然表示不愿意采取保护措施。有些开发人员甚至理直气壮地指出:“黑客从这种设备中得不到什么有价值的东西!”但是,如果少了网络安全设计,您的设备很可能被迫加入“殭尸部队”(zombie army),即所谓的“botnet”殭尸网络。

如果您还没有听说过,“殭尸网络”是指利用一系列的连网设备执行恶意软件,让外来组织或人员得以在设备主人不知情的情况下使用这些设备。在特定情形下,滥用这些设备的人员可以使这些连网设备透过因特网联机接受和传送信息。由于设备用户永远看不到这些信息(信息的传送目标是第四方),因此这种劫持操作可以无限期地进行,而不至于被发现。

虽然滥用者(也就是殭尸牧人)可能对于单台设备兴趣缺缺,但攻击一系列设备可能就很有用了。殭尸网络最常见的两种用途是分布式阻断服务(DDoS)攻击和垃圾邮件传播。DDoS攻击是在短时间内将大量信息发送至一台特定的计算机,如网络服务器。其目标是利用超出这台计算机处理能力的信息量使这台计算机当机,导致其服务速度变慢或甚至使其上运作的软件崩溃。垃圾邮件传播则允许殭尸牧人发送无法追溯来源的电子邮件信息,从而实现网络钓鱼式攻击(phishing),或行使其它骗术而不至于被逮到。

传统的殭尸网络征用对象是缺乏安全性的家庭网络路由器和个人计算机(PC)。但随着安全性低甚至没有安全性可言的物联网设备部署及其数量持续增加,殭尸牧人开始改变征用目标。根据资安网站Dark Reading最近发表的调查报告,揭露了一个基于BASHLITE恶意软件系列的殭尸网络,该网络中的殭尸超过了100万个,其中96%是物联网设备。

如果不设法提高下一代物联网设备的安全性,这种殭尸部队只可能越来越庞大。

但正如许多开发人员所声称的,问题就在于:“安全的代价太昂贵了!”确实,许多传统的安全机制和算法需要的运算资源超出小型物联网设备所能承受的范围。另外,这些机制和算法并不能有效地简化以因应资源的限制。虽然在设计中增加安全性似乎很昂贵,但想想缺少安全性要付出的代价吧!许多公司已经为此导致产品卖不出去、信誉受损,有时还不得不启动数百万美元的召回,原因就在于他们的物联网设计缺乏安全性。如果殭尸牧人在您毫无保护的设计基础上建构和释放殭尸网络,那么每个人都得付出代价。

很快地,成本可能不再是个问题了。市场上开始推出许多解决方案,只要花不到1美元的价格就能在基于微控制器(MCU)的设计中解决安全问题。目前还有许多人在为资源受限的物联网设备定义和开发软件安全方法。例如Eclipse已着手进行一项项目,为小型设计中建置的数据报传输层安全性(DTLS)创建C库,并称之为tinydtls。美国国家标准与技术研究所(NIST)也在制订一项计划,用于聚集轻量级加密算法并为其进行标准化。

综上所述,计划打造新款物联网设备的开发人员至少不能再轻视安全性问题了,现在必须开始像考虑每个设计折衷因素一样认真地思考这个问题。最理想的是确保在设计规格中达到一定程度的安全性,并为项目预留适当的预算,即使它并非完全加密方案。至少在设计时必须提供一些保护,而不能让产品轻易地变成殭尸。

本文授权编译自EDN Taiwan,版权所有,谢绝转载

EETC wechat barcode


关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”。

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Rich Quinnell
ASPENCORE全球技术执行主编。Rich Quinnell专注电子技术行业已超过15年,主要报道半导体、嵌入式系统、通信和测试相关话题,为EDN,TMW和许多其他出版物撰稿。 在成为技术记者之前,他曾服务于Matrix Imaging、Cooper LaserSonics和约翰霍普金斯大学应用物理实验室(JHU / APL)等公司,担任嵌入式系统设计师和工程项目经理十多年。 他拥有电气工程和应用物理学位,并在通信、计算机设计和量子电子学方面进行了很多研究工作。
  • 智连大湾区,TE能提供哪些“智”与“连”的技术及服务? 今年是谋划“十四五”规划的关键之年,同时也正值深圳经济特区成立40周年,中国为应对国际形势的压力和全球疫情带来的影响,“新基建”的概念开始提出及其涉及范围逐步明确。在如此背景下,粤港澳大湾区(以下简称“大湾区”)作为我国开放程度最高、经济活力最强的市场之一,人工智能、大数据中心、5G基建等新项目在大湾区各大城市集群落地、全面开花。数字新基建已成为大湾区建设的新引擎。
  • LPWAN市场群雄争斗,LoRa如何实现7倍增长? 作为使用非授权频段的LPWAN代表性技术之一,LoRa实现了几公里甚至几十公里的网络覆盖,解决了物联网产业存在的终端功耗高、海量终端连接、广域覆盖能力不足和成本高等困难,适合大规模部署。
  • IoT设备安全性设计的八项原则 对于当今开发的每个嵌入式设备,都需要至关重要的强大安全性支持。物联网设备中的黑客攻击威胁格局日益严重,要求从设备的出厂发运开始就需要发挥其全面的安全性。本文将讨论实现更强大IoT设备安全性的步骤,并解释嵌入式安全性背后的不同概念,以及如何针对嵌入式设备安全性实施一致且包罗万象的方法。
  • 2020Q4全球TOP10晶圆代工厂排名预测 由于驱动IC、PMIC(电源管理IC)、RF射频、IoT应用等代工订单持续涌入,联电8英寸晶圆产能满载,确立其涨价态势,加上28nm工艺持续完成客户的设计定案,后续稳定下线生产,在排名上超越格芯来到第三位……
  • 中美半导体领域的较量 在半导体领域,由于美方能全面的掌握打压节奏,中方处于被动地位,此种局面可能要维持相当长的一段时间。因此在任何情况下能够生存下来是最重要的。依靠什么能够生存下来。其中最主要是树立信心,不丧失斗志,因为能够争取继续发展的时间是致胜的关键……
  • 电信版FlexPai 2发布,柔宇携手中国电信共建5G万物互联 柔宇科技和中国电信在北京举办电信版FlexPai 2折叠屏手机新品发布会,并宣布成立“中国电信·柔宇科技融合创新实验室”。
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了