嵌入式系統(tǒng)在生活中的應(yīng)用越來越多,尤其是在智能家居領(lǐng)域,嵌入式更是不可或缺的重要存在。為增進大家對嵌入式的認識,本文將對嵌入式安全性予以介紹。通過本文,您將了解到哪些方法會對嵌入式安全造成威脅。如果你對嵌入式具有興趣,不妨繼續(xù)往下閱讀哦。
第一類:基于軟件的攻擊基于軟件的攻擊針對系統(tǒng)的大腦-管理設(shè)備的應(yīng)用程序。對軟件的成功攻擊使黑客能夠訪問數(shù)據(jù)或獲得對嵌入式系統(tǒng)的控制。搜索軟件設(shè)計和代碼中的漏洞是最常見的攻擊手段,因為可以遠程進行此類攻擊。而且,基于軟件的攻擊不需要黑客的專業(yè)知識,因為他們可以使用典型的攻擊,例如部署惡意軟件和暴力破解。最普遍的基于軟件的攻擊包括:· 惡意軟件·暴力訪問·內(nèi)存緩沖區(qū)溢出·利用web服務(wù)對嵌入式系統(tǒng)的惡意軟件攻擊與任何其他系統(tǒng)的工作方式相同:黑客部署了一段惡意代碼,這些代碼試圖攔截存儲在系統(tǒng)內(nèi)部的數(shù)據(jù),控制受害系統(tǒng)或?qū)ζ溥M行破壞。通常,黑客會偽造固件更新,驅(qū)動程序或安全補丁來分發(fā)惡意軟件。為了防止此類攻擊,可以實施以下保護措施:
應(yīng)用黑名單方法,即開發(fā)人員為系統(tǒng)檢測到的任何新惡意軟件創(chuàng)建簽名,并將這些簽名添加到嵌入式系統(tǒng)固件中。當(dāng)系統(tǒng)檢測到具有已知簽名的軟件時,它將不會運行它。
使用白名單保護,為所有受信任的軟件源創(chuàng)建特定的簽名。這允許系統(tǒng)只運行具有正確簽名的軟件。
簡單地說,強制訪問憑證就是猜測憑證的過程。大多數(shù)嵌入式系統(tǒng)提供對圖形用戶界面(GUI)的遠程訪問,黑客可以利用該界面進行攻擊。你可以通過使用強密碼和限制登錄嘗試次數(shù)來防止暴力強制攻擊。內(nèi)存緩沖區(qū)溢出是一種攻擊,當(dāng)黑客手動溢出分配給包含在嵌入式系統(tǒng)中移動的數(shù)據(jù)的內(nèi)存緩沖區(qū)時。黑客部署的漏洞攻擊使內(nèi)存緩沖區(qū)充滿了過多的數(shù)據(jù)。在這種情況下,嵌入式操作系統(tǒng)將把其中的一些數(shù)據(jù)記錄到緩沖區(qū)旁邊的內(nèi)存段中。記錄的數(shù)據(jù)可能包含外殼代碼或其他漏洞,幫助黑客獲取憑據(jù)并提升其訪問權(quán)限。通過創(chuàng)建一個沙箱將溢出的數(shù)據(jù)與系統(tǒng)隔離,可以解決此問題。請記住,你的沙箱必須非常復(fù)雜,因為許多現(xiàn)代漏洞利用了躲避沙箱的技術(shù)。
第2類:基于網(wǎng)絡(luò)的攻擊這種攻擊利用網(wǎng)絡(luò)基礎(chǔ)設(shè)施漏洞,也可以遠程執(zhí)行。利用這些漏洞,黑客可以偵聽、攔截和修改嵌入式系統(tǒng)傳輸?shù)牧髁?。讓我們看一下最常見的基于網(wǎng)絡(luò)的攻擊:· 中間人(MITM)·域名系統(tǒng)(DNS)中毒·分布式拒絕服務(wù)(DDoS)·會話劫持·信號干擾MITM攻擊用于攔截或更改嵌入式系統(tǒng)傳輸?shù)臄?shù)據(jù)。為了執(zhí)行它,黑客改變兩個設(shè)備的連接參數(shù),以便在它們之間放置第三個設(shè)備。如果黑客可以獲得或更改這兩個設(shè)備使用的加密密鑰,他們就可以以一種很難檢測到的方式進行竊聽,因為這不會對網(wǎng)絡(luò)造成干擾。通過加密傳輸?shù)臄?shù)據(jù)并使用Internet協(xié)議安全(IPsec)安全地傳輸密鑰和數(shù)據(jù),可以防止或阻止MITM攻擊。DNS中毒會迫使本地DNS服務(wù)器根據(jù)黑客的需求修改其記錄。DNS服務(wù)器將可記憶的域名和主機名轉(zhuǎn)換為相應(yīng)的IP地址。通過使用DNS服務(wù)器的漏洞并毒害其緩存,黑客可以將流量從目標(biāo)網(wǎng)站重新路由到任何其他地址。域名系統(tǒng)安全擴展(DNS-SEC)協(xié)議通過對DNS發(fā)布或傳輸?shù)娜魏螖?shù)據(jù)進行數(shù)字簽名來防止DNS服務(wù)器中毒。DDoS是一種眾所周知的攻擊,它通過來自不同來源的請求使系統(tǒng)溢出從而使系統(tǒng)不可用。這種攻擊很難阻止,因為請求量巨大。沒有針對DDoS攻擊的通用保護。但是,在你的嵌入式軟件中添加防火墻以及流量分析和過濾算法將大大提高防止DDoS攻擊或及時檢測它們的機會。會話劫持類似于MITM攻擊,但目標(biāo)不同:黑客偵聽嵌入式系統(tǒng)流量以獲取身份驗證憑據(jù)。執(zhí)行劫持的方法有多種:固定用戶會話標(biāo)識符,竊取會話緩存,跨站點腳本等等。防范此類攻擊的方法很經(jīng)典:對憑據(jù)和可能包含憑據(jù)的任何數(shù)據(jù)進行加密,定期更改憑據(jù),以及在會話結(jié)束時處置與會話相關(guān)的任何數(shù)據(jù)。 信號干擾在無線網(wǎng)絡(luò)中很常見。借助這種技術(shù),黑客會在網(wǎng)絡(luò)中造成干擾,從而干擾或扭曲來自設(shè)備的通信。根據(jù)干擾器的類型,它可能會阻塞信道上的任何通信,在目標(biāo)設(shè)備傳輸數(shù)據(jù)時開始工作,或者在檢測到特定數(shù)據(jù)包時被激活。這樣的攻擊會使嵌入式系統(tǒng)不可用。要停止信號干擾,請部署適合你軟件的抗干擾機制 [PDF]。請記住,此保護措施還將保護你的嵌入式系統(tǒng)免受其他設(shè)備造成的意外干擾。
以上便是此次帶來的嵌入式相關(guān)內(nèi)容,通過本文,希望大家對嵌入式已經(jīng)具備一定的了解。如果你喜歡本文,不妨持續(xù)關(guān)注我們網(wǎng)站哦,將于后期帶來更多精彩內(nèi)容。最后,十分感謝大家的閱讀,have a nice day!