Video: De opmars van het 'Internet der Dingen' (November 2024)
Met een desktopcomputer of een slim mobiel apparaat is het toevoegen van beveiligingsbescherming eenvoudig. Installeer gewoon een beveiligingspakket of een antivirus-app en je bent klaar. Het is eenvoudig, juist omdat de apparaten in kwestie geavanceerde besturingssystemen uitvoeren die multitasking en communicatie tussen processen verwerken. Dat hele beveiligingsmodel valt uiteen als het gaat om de vele verbonden apparaten die deel uitmaken van wat we het Internet of Things (IoT) noemen.
Pc's en smartphones hebben veel verwerkingskracht; ze kosten ook veel dollars. Een fabrikant die internetconnectiviteit aan een pop of een stopcontact wil toevoegen, moet zo weinig mogelijk uitgeven, anders is het product niet concurrerend. Deze apparaten hebben zelfs geen besturingssysteem als zodanig. Alle code is ingebed in firmware en je kunt niet zomaar een antivirus in de firmware plaatsen.
In het geval van een beveiligingsprobleem of een andere bug overschrijft de fabrikant de firmware eenvoudig met een nieuwe versie. Helaas kunnen oplichters die ingebouwde firmware-updatemogelijkheid gebruiken voor snode doeleinden. Hoe zit het met het vervangen van de firmware van uw slimme deurslot door een nieuwe versie die alles doet wat het zou moeten doen, maar ook openstaat voor het commando van de boef? Dit soort aanvallen komt vaak voor en de resultaten zijn meestal onaangenaam. Is er enige hoop?
Arxan binnen
Op de recente RSA-conferentie in San Francisco sprak ik met Patrick Kehoe, CMO van Arxan Technologies, en Jonathan Carter, projectleider voor het reverse engineering en codemodificatiepreventieproject van het bedrijf (nogal een mondvol!). Simpel gezegd, het team van Carter helpt app-ontwikkelaars de beveiliging rechtstreeks in de firmware te integreren.
Carter legde uit dat sommige aanvallen op IoT-apparaten gericht zijn op het onderscheppen en manipuleren of dupliceren van netwerkverkeer tussen het apparaat en een server of een smartphone. Maar de bescherming van Arxan gaat dieper. "We richten ons op de activiteit binnen het mobiele apparaat, binnen het IoT-apparaat, " zei Carter. "Wat we achter de schermen doen, voorkomen we dat de slechterik het verkeer in de eerste plaats onderschept. Dit is niet op netwerkniveau, dit zit in de apps zelf. Tijdens runtime kunnen we detecteren of iemand heeft geprobeerd te infecteren de firmwarecode."
Wanneer een ontwikkelaar code compileert met de technologie van Arxan, is zelfbescherming ingebouwd in de firmware. De componenten bewaken de actieve code (en elkaar) om eventuele wijzigingen te detecteren en te voorkomen. Afhankelijk van de aanval en de keuzes van de ontwikkelaar kan de beveiligingscode een gecompromitteerde app afsluiten, de schade herstellen, een waarschuwing sturen of alle drie.
Kan me niet kopiëren!
Natuurlijk, als een aanvaller erin slaagt de firmware volledig te vervangen, verdwijnt al die bewakingscode, samen met de rest van de originele firmware. Dat is waar de obfuscatietechnologie van Arxan van pas komt. Simpel gezegd, tijdens het maken van de firmwarecode gebruikt Arxan's technologie veel verschillende trucs om het demonteren en reverse engineering van de firmware uiterst moeilijk te maken.
Waarom is dit belangrijk? Bij een typische aanval voor het vervangen van firmware moeten de boeven de bestaande firmwarefuncties laten werken. Als een gehackte pratende pop stopt met praten, gooi je hem waarschijnlijk weg voordat de slechteriken hem kunnen gebruiken om in je netwerk te weven. Als je gehackte slimme deurslot niet voor je opengaat, ruik je een rat.
Carter wees erop dat fabrikanten andere redenen hebben om firmware te beschermen tegen reverse engineering. "Ze maken zich zorgen over het klonen of namaken van IoT-apparaten, " legde hij uit. "Sommige fabrikanten maken zich zorgen over de verkoop van zelfs maar één apparaat in China. Voordat ze het weten, verschijnt een knock-off voor een fractie van de prijs."
"We bewapenen de code, " vervolgde Carter, "maar ontwikkelaars moeten nog steeds veilige coderingsrichtlijnen volgen. Ze moeten bufferoverloopaanvallen en andere klassieke kwetsbaarheden afwenden. Laten we ons zorgen maken over integriteitsschendingen."
Jij bent mij
Carter wees op een IoT-apparaat met aanvalspotentieel waar ik niet eens aan had gedacht. Tegenwoordig ontvangen bezoekers van Disney-themaparken een Magic Band waarmee ze de hotelkamer ontgrendelen, het park kunnen betreden en zelfs aankopen kunnen doen. Het kwalificeert absoluut als een IoT-apparaat. Als de Beagle Boys je Magic Band hacken, kunnen ze je hotelkamer opruimen en vervolgens gaan dineren in de Blue Bayou… jouw traktatie! "Natuurlijk, " mijmerde Carter, "Disney is gek op beveiliging." Helaas kon ik hem niet overhalen om uit te werken.
Ik moet zeggen dat ik me zorgen maak dat we het IoT niet kunnen beveiligen. Ik ben geen firmware-ontwikkelaar, maar voor mij lijkt de benadering van Arxan, het aanbrengen van bescherming in de noodzakelijke firmware van elk apparaat, een bij uitstek werkbare aanpak.
