사물 인터넷 보안

데스크톱 컴퓨터 또는 스마트 모바일 장치를 사용하면 보안 보호 기능을 쉽게 추가 할 수 있습니다. 보안 제품군 또는 바이러스 백신 앱을 설치하기 만하면됩니다. 문제의 장치가 멀티 태스킹 및 프로세스 간 통신을 처리하는 고급 운영 체제를 실행하기 때문에 간단합니다. 우리가 사물 인터넷 (IoT)이라고하는 것을 구성하는 많은 연결된 장치와 관련하여 전체 보호 모델이 고장납니다.

PC와 스마트 폰에는 많은 처리 능력이 있습니다. 그들은 또한 많은 비용이 들었습니다. 인형이나 콘센트에 인터넷 연결을 추가하려는 제조업체는 가능한 한 적은 비용을 지출해야합니다. 그렇지 않으면 제품 경쟁력이 떨어집니다. 이러한 장치에는 운영 체제가 없습니다. 모든 코드는 펌웨어에 내장되어 있으므로 바이러스 백신을 펌웨어에 삽입 할 수 없습니다.

보안 문제 나 다른 버그가 발생하면 제조업체는 펌웨어를 새 버전으로 덮어 씁니다. 불행히도, 사기꾼은 사악한 목적으로 내장 펌웨어 업데이트 기능을 사용할 수 있습니다. 스마트 도어 잠금 장치의 펌웨어를 모든 것을 수행하지만 crook의 명령을 여는 새로운 버전으로 교체하는 것은 어떻습니까? 이런 종류의 공격은 일반적이며 결과는 일반적으로 불쾌합니다. 희망이 있습니까?

안산 내부

최근 샌프란시스코에서 열린 RSA 컨퍼런스에서 저는 Arxan Technologies의 CMO 인 Patrick Kehoe와 회사의 리버스 엔지니어링 및 코드 수정 방지 프로젝트를위한 프로젝트 리더 인 Jonathan Carter와 이야기를 나 mouth습니다. 카터의 팀이하는 가장 간단한 용어는 앱 개발자가 펌웨어에 바로 보안을 구현하도록 돕는 것입니다.

카터는 IoT 장치에 대한 일부 공격은 장치와 서버 또는 스마트 폰 사이의 네트워크 트래픽을 가로 채거나 조작하거나 복제하는 데 중점을두고 있다고 설명했습니다. 그러나 Arxan의 보호는 더욱 심화되었습니다. 카터는“우리는 모바일 기기 내, IoT 기기 내에서의 활동에 중점을두고있다. "우리가 배후에서하는 일, 우리는 나쁜 사람이 처음에 트래픽을 가로채는 것을 막습니다. 이것은 네트워크 수준이 아니며 앱 자체에 있습니다. 런타임에 누군가 감염을 시도했는지 감지 할 수 있습니다. 펌웨어 코드."

개발자가 Arxan의 기술을 사용하여 코드를 컴파일하면 자체 보호 기능이 펌웨어에 바로 내장됩니다. 구성 요소는 활성 코드 (및 서로)를 모니터링하여 수정을 감지하고 방지합니다. 공격 및 개발자의 선택에 따라 가드 코드는 손상된 앱을 종료하고 손상을 복구하거나 경고를 보내거나 세 가지 모두를 수행 할 수 있습니다.

나를 복사 할 수 없습니다!

물론 공격자가 펌웨어를 완전히 교체하면 나머지 모든 원래 코드와 함께 모든 가드 코드가 사라집니다. Arxan의 난독 화 기술이 등장하는 곳입니다. 간단히 말하면, 펌웨어 코드를 생성하는 동안 Arxan의 기술은 여러 가지 트릭을 사용하여 펌웨어를 분해하고 리버스 엔지니어링하는 것을 매우 어렵게 만듭니다.

이것이 왜 중요한가? 일반적인 펌웨어 교체 공격에서 사기꾼은 기존 펌웨어 기능을 계속 작동시켜야합니다. 해킹 된 토킹 인형이 말을 멈 추면 나쁜 사람이 네트워크에 족제비를 사용하기 전에 버릴 가능성이 높습니다. 해킹 된 스마트 도어 잠금 장치가 열리지 않으면 쥐 냄새가납니다.

카터는 제조업체가 역 엔지니어링으로부터 펌웨어를 보호해야하는 다른 이유가 있다고 지적했다. "그들은 IoT 장치의 복제 또는 위조에 대해 걱정하고 있습니다." "일부 제조업체는 중국에서 하나의 장치 만 판매하는 것에 대해 걱정하고 있습니다.이를 알기 전에는 가격의 일부만으로 가격이 하락합니다."

"우리는 코드를 보호하고 개발자는 여전히 안전한 코딩 지침을 따라야합니다. 버퍼 오버플로 공격 및 기타 고전적인 취약점을 제거해야합니다. 무결성 위반에 대해 걱정하도록하겠습니다."

너는 나야

카터는 내가 생각조차하지 못한 공격 가능성을 가진 IoT 장치를 지적했다. 요즘 디즈니 테마파크 방문객들은 호텔 밴드의 잠금을 해제하고 공원에 입장하거나 구매할 수있는 매직 밴드를받습니다. 그것은 분명히 IoT 장치로서 자격이 있습니다. 비글 보이가 매직 밴드를 해킹하면 호텔 방을 청소 한 다음 Blue Bayou에서 멋진 저녁 식사를 할 수 있습니다. 카터는 "물론 디즈니는 보안에 열중하다"고 말했다. 아아, 나는 그를 정교하게 만들지 못했습니다.

나는 우리가 IoT를 확보 할 수 없을까 걱정했다. 저는 펌웨어 개발자는 아니지만 각 장치의 필요한 펌웨어에 보호 기능을 제공하는 Arxan의 접근 방식은 눈에 띄게 작동하는 접근 방식처럼 보입니다.