每年,安全专业人员需要保护的设备的数量和类型都在不断增加,在今年的黑帽2014大会上,这种情况显然没有停止的迹象。
在本周的拉斯维加斯年度活动上,研究人员们查理•米勒和克里斯托弗Valasek在他们的谈话远程汽车攻击面调查,将显示攻击者——通常是远程的——如何利用漏洞来攻击车辆,而且在某些情况下相当严重。洛根·兰姆将在他的演讲中介绍家庭安全系统如何容易受到恶作剧的影响,家庭不安全:没有警报,假警报和信号。
[也看到:黑帽2014:如何破解所有问题]
和研究人员贝利也和扎克尼尔将举行安全问题圆桌会议嵌入现代世界,我们从这里到哪里去。该小组将研究嵌入式电脑、智能手表、摄像头、工业控制系统和其他设备在未来几年对安全的影响。
好消息是,安全行业非常熟悉保护物联网和嵌入式设备的方法,比如身份管理和安全软件开发。这个坏消息?这两者我们都还没有广泛掌握。
Lab Mouse Security首席执行官唐•贝利(Don Bailey)认为,身份管理以及相关用户和设备权限的管理,对于为物联网带来信任至关重要。“首要的问题是身份认同。我们将拥有所有这些无人驾驶设备,这些设备将不会被任何人监控,”贝利说。
“你将用这些复杂的装置来控制你的冰箱、你的汽车或任何你能想象到的东西。但是你怎么知道在那个设备上执行的动作可以归因于一个特定的个人呢?您如何确保所采取的任何操作都是由授权用户发起的,”他说。
而且,由于有许多移动部件,当涉及到互连网络、硬件、应用程序、操作系统和协议时,物联网和嵌入式设备的安全性依赖于整个信任堆栈。“这需要来自不同组织的大量参与,我认为人们并不完全理解这些复杂性是如何创造出比人们意识到的多得多的颠覆机会的,”贝利说。
例如,Bailey渗透到物联网系统的最常见方式是通过蜂窝网络,这在很大程度上是因为假定通信信道的安全性由提供者管理。他说:“每个软件和硬件供应商往往都认为自己是安全的,没有人真正控制整个系统的安全。”
这些潜在的弱点使得软件安全与以往一样至关重要。Jared DeMott,在本周的课程中,为黑客和开发人员提供应用程序安全性,涵盖了源代码审计、模糊处理、逆向工程、开发以及发现、修复和利用软件中的缺陷所必需的技能和工具。
DeMott解释说,虽然许多专业人员都专注于保护现代框架、脚本和高级语言的安全,但保护传统的C和c++将需要更多的技能。因此内核和底层操作系统安全对于确保这些设备的安全至关重要。在C和c++中,开发人员有很多搬起石头砸自己的脚的机会,因为开发人员必须手动管理这些语言的系统资源,”他说。
正是这些低级的语言在运行你的车里的远程信息系统,你的家用恒温器的嵌入式系统,智能电视和其他任何东西。所有这些设备仍然是用C和c++编写的。
使用这些语言进行安全开发所面临的挑战已经斗争了近20年。“你经常听到人们说,‘好吧,如果C和c++语言有这么大的问题,我们为什么不干脆摆脱它呢?为什么我们不直接用c#或Java或其他更安全的开发工具来编写所有的东西呢?”,更说。
当涉及到保护物联网和嵌入式设备时,DeMott认为这意味着什么?他半开玩笑地说:“这还有待观察,但如果有人远程控制一辆车,然后把人从桥上开下去,我一点也不会感到惊讶。”“很多人没有意识到他们的汽车或工业控制系统中代码的数量。我们不确定是否会看到对这些系统的一系列攻击,但历史在这些方面确实有一种重复的方式。
这篇文章,“黑帽2014:保护嵌入式设备和物联网的挑战”最初发表于方案 。
