אבטחת האינטרנט של הדברים

עם מחשב שולחני או מכשיר נייד חכם, הוספת הגנת אבטחה היא קלה. פשוט התקן חבילת אבטחה, או יישום אנטי-וירוס, וסיימת. זה קל בדיוק מכיוון שהמכשירים המדוברים מנהלים מערכות הפעלה מתקדמות המטפלות במשימות ריבוי משימות ותקשורת בין-מעבד. כל מודל ההגנה הזה נשבר כשמדובר במכשירים הרבים המחוברים המרכיבים את מה שאנחנו מכנים Internet of Things (IoT).

למחשבים ולסמארטפונים יש כוח עיבוד רב; הם גם עולים המון דולרים. יצרן שרוצה להוסיף קישוריות אינטרנט לבובה או לשקע בקיר צריך להוציא כמה שפחות, אחרת המוצר לא יהיה תחרותי. למכשירים אלה אין אפילו מערכת הפעלה ככזו. כל הקוד מוטמע בקושחה, ואינך יכול פשוט לנקות אנטי-וירוס בקושחה.

במקרה של בעיית אבטחה או באג אחר, היצרן פשוט מחליף את הקושחה בגירסה חדשה. לרוע המזל, נוכלים יכולים להשתמש באותה יכולת עדכון קושחה מובנית למטרות מצערות. מה עם החלפת הקושחה של מנעול הדלת החכמה שלך בגרסה חדשה שעושה כל מה שהיא אמורה לעשות, אך נפתחת גם לפיקוד הנוכל? התקפה מסוג זה שכיחה, והתוצאות בדרך כלל לא נעימות. האם יש תקווה?

ארקסאן בפנים

בכנס RSA שנערך לאחרונה בסן פרנסיסקו, שוחחתי עם פטריק קיהו, מנהל משרד הבריאות של ארקסאן טכנולוגיות, ועם ג'ונתן קרטר, מנהל הפרויקט של פרויקט הנדסת רוורס ושינוי קוד (די מלא פה!). במונחים הפשוטים ביותר, הצוות של קרטר עושה הוא לעזור למפתחי אפליקציות לאפות אבטחה ישירות בקושחה.

קרטר הסביר כי כמה מתקפות נגד מכשירי IoT מתמקדות ביירוט ובשינוי או שכפול של תנועת הרשת בין המכשיר לשרת, או לסמארטפון. אך ההגנה של ארקסאן הולכת ומעמיקה. "אנו מתמקדים בפעילות בתוך המכשיר הנייד, בתוך מכשיר ה- IoT", אמר קרטר. "מה שאנחנו עושים מאחורי הקלעים, אנחנו מונעים מהאדם הרע ליירט את התנועה מלכתחילה. זה לא ברמת הרשת, זה בתוך האפליקציות עצמן. בזמן הריצה אנו יכולים לגלות אם מישהו ניסה להדביק קוד הקושחה."

כאשר מפתח אוסף קוד באמצעות הטכנולוגיה של Arxan, ההגנה העצמית מובנית ממש בתוך הקושחה. רכיביו מנטרים את הקוד הפעיל (זה את זה) כדי לאתר ולמנוע שינוי כלשהו. תלוי בהתקפה ובחירותיו של המפתח, קוד השמירה יכול לכבות אפליקציה שנפגעה, לתקן את הנזק, לשלוח התרעה או את שלושתם.

לא ניתן להעתיק אותי!

כמובן שאם תוקף מצליח להחליף לחלוטין את הקושחה, כל קוד השמירה הזה נעלם, יחד עם שאר הקושחה המקורית. כאן נכנסת טכנולוגיית ההטשטוש של ארקסאן. במילים פשוטות, במהלך יצירת קוד הקושחה, הטכנולוגיה של ארקסאן משתמשת בתכסיסים רבים ושונים כדי להפוך את פירוק ההנדסה לאחור של הקושחה לקשה ביותר.

למה זה חשוב? בהתקפה טיפוסית להחלפת קושחה, הנוכלים צריכים לשמור על פונקציות הקושחה הקיימות. אם בובה מדברת שנפרצה מפסיקה לדבר, סביר להניח שתזרוק אותה לפני שהחבר'ה הרעים יוכלו להשתמש בה כדי לסמור לרשת שלך. אם מנעול הדלת החכמה שנפרצה לא ייפתח בפניך , תריח חולדה.

קרטר ציין שליצרנים יש סיבות אחרות להגן על קושחה מפני הנדסת רוורס. "הם דואגים לשיבוט או זיוף של מכשירי IoT, " הסביר. "יש יצרנים שמודאגים למכור אפילו מכשיר אחד בסין. לפני שהם יודעים את זה, מופיע נוק-אפ בכל חלק מהמחיר."

"אנחנו משוריינים את הקוד", המשיך קרטר, "אך המפתחים צריכים עדיין לעקוב אחר הנחיות קידוד מאובטחים. הם צריכים לנקוט בהתקפות הצפת מאגר ופגיעויות קלאסיות אחרות. בואו לדאוג להפרות שלמות."

אתה אני

קרטר הצביע על מכשיר IoT עם פוטנציאל התקפה שלא חשבתי עליו אפילו. בימים אלה מבקרים בפארקי השעשועים של דיסני מקבלים להקת קסמים המאפשרת להם לפתוח את חדר המלון, להיכנס לפארק ואפילו לבצע רכישות. הוא בהחלט מתאים למכשיר IoT. אם בני ביגל יפרצו את הקסם שלכם, הם יוכלו לנקות את חדר המלון שלכם ואז לצאת לארוחת ערב מפוארת בלו באיו… התענוג שלכם! "כמובן, " הרהר קרטר, "דיסני מטורפת בגדול ביטחון." אבוי, לא יכולתי לשדל אותו לפרט.

אני חייב לומר, דאגתי שלא נוכל להבטיח את ה- IoT. אני לא מפתח קושחה, אבל בעיניי הגישה של ארקסאן, להכניס הגנה לקושחה הנחוצה של כל מכשיר, נראית כמו גישה מעשית במיוחד.