物联网设备占所有网络连接端点的30%,引入了新型攻击和供应链漏洞,使许多公司成为网络罪犯的主要目标。为了解决这一日益增加的威胁面,部署物联网设备的每个组织都需要考虑其物联网设备的固件更新问题。
固件更新对于修复软件错误,补丁程序漏洞或添加新的安全功能至关重要,但同样重要的是确保这些更新程序安全且受信任的做法。
虽然可以手动更新设备固件,但是广泛支持IoT的设备(例如联网汽车,起搏器甚至飞机)使手动更新过程不可行且不切实际。
因此,无线(OTA)更新在其中发挥着越来越重要的作用。OTA固件更新涉及远程更新已连接的嵌入式IoT设备上的代码。该更新通过无线方式无线部署到设备上,而无需干扰基础硬件。OTA更新通常通过蜂窝数据(4G或5G)或互联网连接进行传递。
OTA IoT固件更新的最大好处是,即使将设备部署在分散的环境中,制造商也可以不断添加新功能,修复安全漏洞并改善产品性能。此外,OTA更新是一种经济高效的解决方案,因为您可以从集中式界面跨数百个连接的设备无缝管理固件。
尽管更新固件以确保您的物联网设备的安全和可靠运行非常重要,但固件是通常不受保护的攻击面,攻击者利用该攻击面入侵网络、破坏数据,甚至接管对设备的控制以造成伤害或破坏。最重要的是,不安全的固件等同于不安全的IoT设备。 99999
网络罪犯渴望利用物联网安全性的弱点和漏洞,而不是总是攻击设备本身,而是发起其他恶意行为,例如DDoS攻击,恶意软件分发或数据泄露和破坏。
OWASP十大IoT突出表明,缺乏安全的固件更新机制是影响IoT安全的主要漏洞之一:
“缺乏安全更新设备的能力。这包括缺少设备上的固件验证,缺少安全的交付(在传输过程中未加密),缺少防回滚机制以及缺少由于更新而导致的安全性更改通知。”
为了缓解此漏洞,企业必须确保可以可靠,安全且定期地通过OTA更新来更新IoT固件。但是,有一些关键因素会影响IoT固件更新的安全性,包括:
签名折衷:未经授权访问代码签名密钥或固件签名机制可使攻击者冒充信任并将恶意更新传递给看似受信任的设备。必须确保代码签名密钥周围的防御能力,并确保在允许代码在设备上执行之前,确保固件签名已得到验证。
不安全的编码:由于不安全的设备编程,可能会发生缓冲区溢出。攻击者会发现这些编码缺陷,从而导致不稳定的应用程序行为或崩溃,从而可能导致安全漏洞。缓冲区溢出可能使犯罪分子可以远程访问设备,并且可以利用武器溢出来进行DDoS或恶意软件注入攻击。
不安全的软件供应链:物联网设备的开发严重依赖于软件供应链和广泛使用开源组件。缺乏确保供应链安全的程序会导致使用带有嵌入式漏洞的不安全的开源组件,攻击者迫切希望利用这些组件。最新的SolarWinds攻击就是不安全的软件供应链可能出问题的一个很好的例子。
生产设备中被遗忘的测试服务:在IoT设备的开发和测试过程中,具有调试服务和凭据的开发人员不应迁移到最终生产设备,因为它们可以轻松地访问对手。
不安全的IoT固件可能会对这些连接的设备的使用者产生可怕的后果。更麻烦的是这些类型的恶意攻击不需要物理访问,攻击者可以在没有警告的情况下远程使用它们。
以下只是一些不安全的更新如何导致暴露的固件漏洞或固件攻击的示例:
智能锁:智能锁的预定OTA固件更新包含一个损坏的版本,该版本使更新后的智能锁脱机。这些锁装置被用于酒店业,结果,许多顾客无法进入他们的出租物业。由于锁已通过损坏的更新脱机,因此必须由供应商手动更新。
起搏器:当美国食品药品监督管理局(FDA)建议固件更新以减轻某些起搏器中的远程访问漏洞时,他们还在其通报中指出,固件更新可能会导致设备故障的风险很小。钍E号决定更新固件必须与将需要手术来更换设备的设备故障的可能性进行平衡。
互联汽车:腾讯公司的研究人员透露,他们可以通过Wi-Fi入侵特斯拉Model S,并远程激活制动系统。作为回应,特斯拉实施了一项基本的安全功能-代码签名-该功能要求对写入CAN总线上组件的任何新固件进行数字签名,以解决风险。
网络设备:一个开发者不小心泄露用来签署D-Link软件私钥由公司公布的开源固件。未知密钥是否被恶意第三方使用,但此事件导致第三方调查和最终罚款。
您可以遵循许多好的做法来保护IoT设备固件的安全,并使未按计划进行的更新的影响最小化。企业需要针对这两种情况进行计划。
为了最大程度地减少损坏的固件更新的影响,您应避免将敏感信息(例如凭据和API令牌)存储在IoT设备上。相反,您应该将此敏感信息上传到云,在这里可以轻松管理它们,而不受低功耗IoT设备的限制。
此外,物联网设备应仅连接到一种可能的攻击媒介:通过蜂窝数据或通过互联网。您应限制攻击者攻击设备的机会。
就固件更新过程而言,我们必须强调,定期更新可最大程度地减少操作系统,固件和应用程序中的攻击媒介数量。必须检查每个更新的来源和完整性,并且仅使用合法供应商的合法应用程序。
一些可用的更新机制缺乏完整性保证,从而使其容易受到MITM攻击和修改攻击。IoT设备还可在下载新的固件映像之前使用机器对机器的身份验证方法对升级服务器进行身份验证,从而增加一层保护。这样可以确保设备更新仅来自设备OEM或其他受信任的来源。
使用OTA更新实施唯一身份和安全代码签名可确保来自经过验证的来源的更新不变。通过使用安全启动,加密安全哈希验证通过在将修补程序存储在设备上之前对其进行检查来确保完整性。
从安全的信任根到灵活的使用和管理,揽阁信息为IoT方案供应商、IoT设备生产商、IoT平台运营商提供了完整且可拓展的解决方案。该解决方案特点:
使用拥有FIPS 140-2 Level 3和/或CC EAL4+认证的HSM作为信任根的存储设备。客户可使用在HSM中存储的私钥对固件进行签名。并给予HSM中的Seed Key(种子密钥、主密钥)派生IoT设备中的密钥。
覆盖生产、制造、管理、使用、更新、停用、销毁等环节的密钥生命周期管理功能。
保护IoT设备通讯接口和通讯协议的安全。
有效规避如:GDPR、CCPA、LGDP、NDB...等全球各地区隐私法案关于隐私保护的安全实现方法
可涵盖各类业务场景的、形式多样的身份认证平台和产品。
软件产品的防破解、防逆向、权限控制。
以及其它。
现在联系揽阁信息,立即获取您所需要的一切安全!
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!