僵屍網絡引起物聯網安全大戰：再談嵌入式安全

物聯網（IoT）僵屍網絡（botnet）的興起已經成爲智能家庭，智慧城市和工業網絡化等新興產業的安全威脅。僵屍網絡的分佈式拒絕服務（DDoS）攻擊已有時日，並且針對物聯網的僵屍網絡亦非新事。

但直至最近，人們才認識到物聯網僵屍網絡破壞的嚴重性，安全缺陷可能致使物聯網嵌入式系統在同時聯網時全盤崩潰。本文從物聯網設備安全漏洞的角度研究僵屍網絡，指明安全設備防範僵屍網絡的關鍵。

僵屍網絡及其潛在威脅

僵屍網絡是指被特定惡意軟件感染的互聯設備所構成的網絡，它容許黑客獲取遠程控制權並協調進行DDoS攻擊僵屍網絡病毒，亦稱殭屍大軍（zombie armies），也能夠用於垃圾郵件轟炸，盜取敏感密鑰，傳播勒索軟件等。

物聯網中的僵屍網絡病毒不一樣於Windows平臺上的普通僵屍網絡病毒，它產生於脆弱的物聯網設備，而且能夠經過龐大的物聯網系統感染海量設備。此外，普通僵屍網絡病毒每每用於發送垃圾郵件，而物聯網僵屍網絡病毒能夠經過影響物聯網設備周圍的物理環境來形成更大的危害。

例如，一種物聯網病毒能夠侵入交通燈系統，破壞智慧城市的基礎設施，從而引起整座城市的混亂，。一樣，黑客也能夠經過病毒提升智能家庭的溫度，或是增長油汽供給。

二者的另外一顯著區別在於，我的電腦與服務器的鏈接受到殺毒軟件和防火牆等的安全保護，而物聯網設備每每沒有這些安全機制，從而成爲僵屍網絡病毒的理想目標。

2016年，業界預測物聯網僵屍網絡將成爲網絡安全的第一威脅，但IT安全界則認定這些威脅很是有限，沒必要在乎殭屍物聯網所帶來的安全威脅。然而不久後出現了一種工具箱，能使僵屍網絡病毒利用無安全措施的物聯網設備漏洞，進行攻擊。2016年十月的Mirai僵屍網絡攻擊事件成爲了一個重要的轉折點。

Mirai和另外一種僵屍網絡Bashlight，能夠利用網絡攝像頭和數字視頻錄像機上安裝的精簡Linux系統中的漏洞，指揮設備在服務器中下載惡意軟件。

以後，它們經過不斷掃描缺省或硬編碼的用戶名和密碼，向周圍的其餘「肉雞」設備散播這一惡意軟件。DDoS 攻擊即是經過這一方式感染大量互聯設備的。在Mirai僵屍網絡攻擊事件中，有超過15萬臺網絡攝像機被Mirai僵屍網絡感染。

僵屍網絡暴露嵌入式系統設計缺陷

當下，物聯網設備數量龐大且在持續增加，而Mirai爲無防禦物聯網設備的安全行敲響了警鐘。加德納公司預測，到2020年，將有超過208億的設備鏈接到物聯網中。Mirai揭示了黑客控制「肉雞」並將其併入僵屍網絡的機制。殭屍物聯網在強調了嵌入式安全重要性的同時，也暴露嵌入式系統設計中主要缺陷：

• 物聯網設備精簡化和低功耗的追求不可避免地下降了嵌入式安全等級

• 物聯網設備電池容量和存儲空間僅夠完成最基本的功能，安全性的考慮被排在二者以後

• 緊迫的設計時間和上市壓力致使摒棄了安全模塊的設計

• 許多物聯網設備經過複用軟硬件模塊來簡化設計、下降成本，但這會致使不一樣類別的物聯網設備憑據被公開

• 物聯網設備上的操做系統缺少透明性和便捷接口，這給病毒監測帶來困難。物聯網設備的病毒監控和監測每每基於網頁瀏覽器或智能手機的APP等的複雜接口，而不能直接訪問操做系統自己

• 大多數嵌入式設備的操做系統採用各類版本的Linux系統。這些系統只有合理地打補丁、配置和加固才能保證安全。而黑客們已經在着力破解路由器和機頂盒上的Linux系統漏洞

殭屍物聯網已經波及到網絡攝像頭、Wi-fi路由器、網絡攝像機和機頂盒等設備並被用於散佈DDoS攻擊網絡遊戲的服務器。黑客還曾嘗試利用殭屍物聯網侵入德國電信公司的路由器，但最終未能成功。

接下來會是什麼？智能冰箱，電燈，智能鎖，仍是智能汽車？若是僵屍網絡被散佈者釋放到銀行，醫院和智慧城市的基礎設施中，可能會形成更大規模的破壞。

健壯的多層次安全保護是關鍵

那麼，咱們該如何構建健壯的安全系統來防範這一「萬能牌」呢？咱們如何確保從傳感器到物聯網節點一直到雲等各層次的安全性以確保多層次物聯網接入點的可靠性？嵌入式系統安全的根本在於：

• 開發嵌入式系統中多層次安全保護機制，涵蓋安全節點，存儲，網絡和整個物聯網生態

• 設計可靠的嵌入式硬件

多層次安全保護

如圖1所示，嵌入式系統設計中的多層次安全保護機制，涵蓋了安全節點，存儲，網絡和整個物聯網生態。

 

圖1 在以互聯網爲中心的嵌入式系統中創建多層安全保護，來抵禦殭屍物聯網病毒等威脅（來源Microchip）

這些對抗殭屍物聯網病毒的最佳措施被歸入產品開發週期中的安全框架中：

節點

在基於硬件的可信任框架下采用安全啓動以確保物聯網設備在確知的安全狀態下運行的同時，其內容依然保密。安全啓動做爲嵌入式設備安全的基石，是防範僵屍網絡病毒等安全缺口的第一道防線

更新固件。黑客能使用空中下載(OTA)升級來發布其惡意病毒。所以，應採用身份認證來確保物聯網設備僅從受權系統中檢索升級代碼

網絡

僅在使用防火牆的環境下鏈接物聯網設備。防火牆會檢查輸入數據並經過數據的行爲，簽名，IP歷史以及物聯網終端信息的一致性交叉詢問來識別威脅

使用DDoS攻擊防禦服務以及採用健壯內容發佈網絡的工具作爲最初的防護措施

確保物聯網設備間及其與雲服務等系統的可靠鏈接，使用基於傳輸層安全（TLS）等安全協議的加密鏈路

固化開放安全套接字層（OpenSSL）等TLS實現棧，經過建立額外的硬件安全層來消除軟件的漏洞

安全存儲

物聯網系統須要牢靠的身份認證來肯定和核實節點和設備的身份。人們每每將安全等同與加密，但在應對諸如僵屍網絡病毒之類的網絡威脅方面，身份認證纔是物聯網安全領域的中流砥柱

設計安全的嵌入式硬件

嵌入式安全應用於互聯設備的前提從一開始就被忽略了。嵌入式安全應該從設計具備完整安全解決方案的防篡改硬件開始，而不只僅依靠一堆補丁和系統修復。

傳統的硬件安全包括多個方面

一個硬件安全模塊（HSM），這須要一個數據庫來存儲，保護和管理密鑰。這須要對硬件基礎和硬件邏輯進行前期投資

一個可信任平臺模塊（TPM），它將加密密鑰整合進設備的硬件中，但這不符合低價物聯網應用的定位

一個安全堆棧，創建在MPU或MCU的頂層。但這一設計須要花費大量的CPU運行週期來加速應用和固件的身份認證。因爲基於中央MPU或MCU的安全硬件帶來許多計算密集的操做(如身份認證)，這會加劇整個系統的負擔，下降系統性能，所以成果有限

基於以上緣由，傳統的硬件安全解決方案不能有效的應用於嵌入式系統中。取而代之的是使用專用安全處理器的嵌入式系統硬件設計，專用處理器中的硬件密鑰存儲和加密加速技術能夠彌補軟件的漏洞。同時，專用處理器更容易固化一些知名的TLS實現棧（如OpenSSL等），使得物聯網節點能自動完成與雲服務器通訊的身份認證。

首先，經過I^2 C接口將低耗的安全協處理器與主機（MPU或MCU）鏈接，方便安全啓動系統防護流氓固件的攻擊。Maxim的MAXREFDES143 Reference Design 就是物聯網嵌入式安全設計的典範。其經過身份認證和告知網頁服務器來保護工業傳感器節點。其特別採用DeepCover 安全認證（帶單線 SHA-256 和 512-Bit 用戶 EEPROM），支持從傳感器到網頁服務器數據的全部身份認證。

這些加密元素（圖2）——更小的MCU，都配備了硬件加密加速器，以執行強大的身份驗證，從而保護私鑰，證書和其餘敏感的安全數據，防止僵屍網絡入侵。 此外，傳統的TLS標準在軟件上實現身份認證和密鑰存儲，在軟件上實現並沒有必要，加密部件經過消除以軟件爲中心的安全實現複雜性，簡化了與亞馬遜網頁服務（AWS）等雲服務的相互認證。

 

圖2 Microchip ATECC508A等安全MCU提供了節點身份認證功能，限制了僵屍網絡的攻擊（來源：Microchip）

結論

物聯網產業做爲互聯網嵌入式電子產業的延伸，正處於關鍵的十字路口。目前，物聯網殭屍病毒主要針對網頁和應用服務器，但他們遠比咱們當前所見具備更強大的破壞力。例如，它們可能經過干擾智能監視系統來影響建築物的物理尺寸，或者經過擾亂交通系統引起混亂。

從新開發安全的物聯網嵌入式設備爲時已晚，特別是已有數千萬個「肉雞」設備已經投入市場，且數量日益增長。物聯網愛好者們剛剛瞥見網絡互聯的潛在威脅，物聯網便已成規模，採起行動，從新審視嵌入式安全刻不容緩。