詳細(xì)講講嵌入式安全,哪些手段會(huì)對(duì)嵌入式安全造成威脅?
嵌入式系統(tǒng)在生活中的應(yīng)用越來越多,尤其是在智能家居領(lǐng)域,嵌入式更是不可或缺的重要存在。為增進(jìn)大家對(duì)嵌入式的認(rèn)識(shí),本文將對(duì)嵌入式安全性予以介紹。通過本文,您將了解到哪些方法會(huì)對(duì)嵌入式安全造成威脅。如果你對(duì)嵌入式具有興趣,不妨繼續(xù)往下閱讀哦。
第一類:基于軟件的攻擊基于軟件的攻擊針對(duì)系統(tǒng)的大腦-管理設(shè)備的應(yīng)用程序。對(duì)軟件的成功攻擊使黑客能夠訪問數(shù)據(jù)或獲得對(duì)嵌入式系統(tǒng)的控制。搜索軟件設(shè)計(jì)和代碼中的漏洞是最常見的攻擊手段,因?yàn)榭梢赃h(yuǎn)程進(jìn)行此類攻擊。而且,基于軟件的攻擊不需要黑客的專業(yè)知識(shí),因?yàn)樗麄兛梢允褂玫湫偷墓簦绮渴饜阂廛浖捅┝ζ平?。最普遍的基于軟件的攻擊包括:? 惡意軟件·暴力訪問·內(nèi)存緩沖區(qū)溢出·利用web服務(wù)對(duì)嵌入式系統(tǒng)的惡意軟件攻擊與任何其他系統(tǒng)的工作方式相同:黑客部署了一段惡意代碼,這些代碼試圖攔截存儲(chǔ)在系統(tǒng)內(nèi)部的數(shù)據(jù),控制受害系統(tǒng)或?qū)ζ溥M(jìn)行破壞。通常,黑客會(huì)偽造固件更新,驅(qū)動(dòng)程序或安全補(bǔ)丁來分發(fā)惡意軟件。為了防止此類攻擊,可以實(shí)施以下保護(hù)措施:
應(yīng)用黑名單方法,即開發(fā)人員為系統(tǒng)檢測(cè)到的任何新惡意軟件創(chuàng)建簽名,并將這些簽名添加到嵌入式系統(tǒng)固件中。當(dāng)系統(tǒng)檢測(cè)到具有已知簽名的軟件時(shí),它將不會(huì)運(yùn)行它。
使用白名單保護(hù),為所有受信任的軟件源創(chuàng)建特定的簽名。這允許系統(tǒng)只運(yùn)行具有正確簽名的軟件。
簡(jiǎn)單地說,強(qiáng)制訪問憑證就是猜測(cè)憑證的過程。大多數(shù)嵌入式系統(tǒng)提供對(duì)圖形用戶界面(GUI)的遠(yuǎn)程訪問,黑客可以利用該界面進(jìn)行攻擊。你可以通過使用強(qiáng)密碼和限制登錄嘗試次數(shù)來防止暴力強(qiáng)制攻擊。內(nèi)存緩沖區(qū)溢出是一種攻擊,當(dāng)黑客手動(dòng)溢出分配給包含在嵌入式系統(tǒng)中移動(dòng)的數(shù)據(jù)的內(nèi)存緩沖區(qū)時(shí)。黑客部署的漏洞攻擊使內(nèi)存緩沖區(qū)充滿了過多的數(shù)據(jù)。在這種情況下,嵌入式操作系統(tǒng)將把其中的一些數(shù)據(jù)記錄到緩沖區(qū)旁邊的內(nèi)存段中。記錄的數(shù)據(jù)可能包含外殼代碼或其他漏洞,幫助黑客獲取憑據(jù)并提升其訪問權(quán)限。通過創(chuàng)建一個(gè)沙箱將溢出的數(shù)據(jù)與系統(tǒng)隔離,可以解決此問題。請(qǐng)記住,你的沙箱必須非常復(fù)雜,因?yàn)樵S多現(xiàn)代漏洞利用了躲避沙箱的技術(shù)。
第2類:基于網(wǎng)絡(luò)的攻擊這種攻擊利用網(wǎng)絡(luò)基礎(chǔ)設(shè)施漏洞,也可以遠(yuǎn)程執(zhí)行。利用這些漏洞,黑客可以偵聽、攔截和修改嵌入式系統(tǒng)傳輸?shù)牧髁?。讓我們看一下最常見的基于網(wǎng)絡(luò)的攻擊:· 中間人(MITM)·域名系統(tǒng)(DNS)中毒·分布式拒絕服務(wù)(DDoS)·會(huì)話劫持·信號(hào)干擾MITM攻擊用于攔截或更改嵌入式系統(tǒng)傳輸?shù)臄?shù)據(jù)。為了執(zhí)行它,黑客改變兩個(gè)設(shè)備的連接參數(shù),以便在它們之間放置第三個(gè)設(shè)備。如果黑客可以獲得或更改這兩個(gè)設(shè)備使用的加密密鑰,他們就可以以一種很難檢測(cè)到的方式進(jìn)行竊聽,因?yàn)檫@不會(huì)對(duì)網(wǎng)絡(luò)造成干擾。通過加密傳輸?shù)臄?shù)據(jù)并使用Internet協(xié)議安全(IPsec)安全地傳輸密鑰和數(shù)據(jù),可以防止或阻止MITM攻擊。DNS中毒會(huì)迫使本地DNS服務(wù)器根據(jù)黑客的需求修改其記錄。DNS服務(wù)器將可記憶的域名和主機(jī)名轉(zhuǎn)換為相應(yīng)的IP地址。通過使用DNS服務(wù)器的漏洞并毒害其緩存,黑客可以將流量從目標(biāo)網(wǎng)站重新路由到任何其他地址。域名系統(tǒng)安全擴(kuò)展(DNS-SEC)協(xié)議通過對(duì)DNS發(fā)布或傳輸?shù)娜魏螖?shù)據(jù)進(jìn)行數(shù)字簽名來防止DNS服務(wù)器中毒。DDoS是一種眾所周知的攻擊,它通過來自不同來源的請(qǐng)求使系統(tǒng)溢出從而使系統(tǒng)不可用。這種攻擊很難阻止,因?yàn)檎?qǐng)求量巨大。沒有針對(duì)DDoS攻擊的通用保護(hù)。但是,在你的嵌入式軟件中添加防火墻以及流量分析和過濾算法將大大提高防止DDoS攻擊或及時(shí)檢測(cè)它們的機(jī)會(huì)。會(huì)話劫持類似于MITM攻擊,但目標(biāo)不同:黑客偵聽嵌入式系統(tǒng)流量以獲取身份驗(yàn)證憑據(jù)。執(zhí)行劫持的方法有多種:固定用戶會(huì)話標(biāo)識(shí)符,竊取會(huì)話緩存,跨站點(diǎn)腳本等等。防范此類攻擊的方法很經(jīng)典:對(duì)憑據(jù)和可能包含憑據(jù)的任何數(shù)據(jù)進(jìn)行加密,定期更改憑據(jù),以及在會(huì)話結(jié)束時(shí)處置與會(huì)話相關(guān)的任何數(shù)據(jù)。 信號(hào)干擾在無線網(wǎng)絡(luò)中很常見。借助這種技術(shù),黑客會(huì)在網(wǎng)絡(luò)中造成干擾,從而干擾或扭曲來自設(shè)備的通信。根據(jù)干擾器的類型,它可能會(huì)阻塞信道上的任何通信,在目標(biāo)設(shè)備傳輸數(shù)據(jù)時(shí)開始工作,或者在檢測(cè)到特定數(shù)據(jù)包時(shí)被激活。這樣的攻擊會(huì)使嵌入式系統(tǒng)不可用。要停止信號(hào)干擾,請(qǐng)部署適合你軟件的抗干擾機(jī)制 [PDF]。請(qǐng)記住,此保護(hù)措施還將保護(hù)你的嵌入式系統(tǒng)免受其他設(shè)備造成的意外干擾。
以上便是此次帶來的嵌入式相關(guān)內(nèi)容,通過本文,希望大家對(duì)嵌入式已經(jīng)具備一定的了解。如果你喜歡本文,不妨持續(xù)關(guān)注我們網(wǎng)站哦,將于后期帶來更多精彩內(nèi)容。最后,十分感謝大家的閱讀,have a nice day!