Video: Mitä asioita avioehtosopimuksella voi turvata? (Lokakuu 2024)
Pöytätietokoneella tai älykkäällä mobiililaitteella suojauksen lisääminen on helppoa. Asenna vain tietoturvaohjelmisto tai virustorjuntasovellus, ja olet valmis. Se on helppoa juuri siksi, että kyseisillä laitteilla on edistykselliset käyttöjärjestelmät, jotka käsittelevät monitehtäviä ja prosessien välistä viestintää. Koko suojausmalli hajoaa, kun kyse on monista kytketyistä laitteista, jotka muodostavat ns. Esineiden Internetin (IoT).
Tietokoneissa ja älypuhelimissa on runsaasti prosessointitehoa; ne maksavat myös paljon dollareita. Valmistajan, joka haluaa lisätä Internet-yhteyden nukkeen tai pistorasiaan, on käytettävä niin vähän kuin mahdollista, muuten tuote ei ole kilpailukykyinen. Näillä laitteilla ei ole edes käyttöjärjestelmää sellaisenaan. Kaikki koodi on upotettu laiteohjelmistoon, ja et voi vain virittää virustorjuntaohjelmistoa.
Jos kyseessä on tietoturvaongelma tai muu vika, valmistaja yksinkertaisesti korvaa laiteohjelmiston uudella versiolla. Valitettavasti huijarit voivat käyttää tätä sisäänrakennettua laiteohjelmiston päivityskykyä pahaen tarkoituksiin. Entä älykkään oven lukon laiteohjelmiston korvaaminen uudella versiolla, joka tekee kaiken, mitä sen on tarkoitus tehdä, mutta joka myös aukeaa kelkun komennolle? Tällainen hyökkäys on yleinen, ja tulokset ovat yleensä epämiellyttäviä. Onko mitään toivoa?
Arxan sisällä
Äskettäisessä RSA-konferenssissa San Franciscossa puhuin Arxan Technologiesin yhteisen markkinajärjestelyn Patrick Kehoen ja yrityksen käänteistekniikan ja koodimuutosten ehkäisyprojektin johtajan Jonathan Carterin kanssa (varsin suurta!). Yksinkertaisesti sanottuna Carterin tiimi auttaa sovelluskehittäjiä paistamaan tietoturvan suoraan laiteohjelmistoon.
Carter selitti, että jotkut Internet-laitteita vastaan kohdistuvat hyökkäykset keskittyvät laitteen ja palvelimen tai älypuhelimen välisen verkkoliikenteen sieppaamiseen ja manipulointiin tai monistamiseen. Mutta Arxanin suoja menee syvemmälle. "Keskitymme toimintaan mobiililaitteessa, Internet-laitteessa", sanoi Carter. "Se mitä kulissien takana teemme, estämme pahan kaverin tarttumasta liikenteeseen ensisijaisesti. Tämä ei ole verkon tasolla, tämä on sovellusten sisällä. Ajon aikana voimme havaita, onko joku yrittänyt tartuttaa firmware-koodi."
Kun kehittäjä kääntää koodin Arxan-tekniikalla, itsesuojaus rakennetaan heti laiteohjelmistoon. Sen komponentit seuraavat aktiivista koodia (ja toisiaan) muutosten havaitsemiseksi ja estämiseksi. Hyökkäyksestä ja kehittäjän valinnoista riippuen suojakoodi voi sammuttaa vaarannetun sovelluksen, korjata vahingot, lähettää hälytyksen tai kaikki kolme.
En voi kopioida minua!
Tietysti, jos hyökkääjä onnistuu korvaamaan laiteohjelmiston kokonaan, kaikki tämä suojakoodi katoaa yhdessä muun alkuperäisen laiteohjelmiston kanssa. Arxanin hämärtämistekniikka tulee tänne. Yksinkertaisesti sanottuna, firmware-koodin luomisen aikana Arxanin tekniikka käyttää monia erilaisia temppuja tehdäkseen ohjelmiston purkamisen ja kääntämisen erittäin vaikeaksi.
Miksi tämä on tärkeää? Tyypillisessä laiteohjelmiston korvaushyökkäyksessä huijareiden on pidettävä nykyiset laiteohjelmistotoiminnot toiminnassa. Jos hakkeroitu puhuva nukke lakkaa puhumasta, heität sen todennäköisesti pois, ennen kuin pahat pojat voivat käyttää sitä surjata verkkoosi. Jos hakkeroitu älykäs oven lukko ei avaudu sinulle , haistat rottaa.
Carter huomautti, että valmistajilla on muita syitä suojata laiteohjelmistoja käänteissuunnittelulta. "He ovat huolissaan Internet-laitteiden kloonaamisesta tai väärentämisestä", hän selitti. "Jotkut valmistajat ovat huolissaan jopa yhden laitteen myynnistä Kiinassa. Ennen kuin he tietävät sen, koputus ilmestyy murto-osaan hinnasta."
"Panssaroimme koodin, " jatkoi Carter, "mutta kehittäjien tulisi silti noudattaa turvallisia koodausohjeita. Heidän on torjuttava puskurin ylivuotohyökkäykset ja muut klassiset haavoittuvuudet. Olkaamme huolissamme eheysloukkauksista."
Sinä olet minä
Carter huomautti internetin laitteesta, jolla on hyökkäyspotentiaali, jota en ollut edes ajatellut. Nykyään Disney-teemapuistojen vierailijat saavat taikabändin, jonka avulla he voivat avata hotellihuoneen, tulla puistoon ja jopa tehdä ostoksia. Se on ehdottomasti IoT-laite. Jos Beagle Boys hakkeroi Taikabändiäsi, he voisivat puhdistaa hotellisi huoneesi ja mennä sitten hienolle illalliselle Blue Bayouon… hoitoon! "Tietenkin", hymyili Carter, "Disney on hullu iso turvallisuudessa." Valitettavasti en voinut houkutella häntä kehittämään.
Minun on sanottava, että olen huolissani siitä, ettemme pysty turvaamaan Internet-verkkoa. En ole firmware-kehittäjä, mutta minusta Arxanin lähestymistapa, suojauksen asettaminen kunkin laitteen tarvittavan laiteohjelmiston sisälle, näyttää erittäin toimivalta lähestymistavalta.
