随着攻击者与攻击计划变得日益缜密和成熟, 加上消费者越来越能接纳新的技术, 在推动物联网扩展的同时, 也提高了接收物联网边缘节点 '诱饵' 的机率. 如何做好准备以防范新的钓鱼诈骗攻击?
想像一下, 在你的纪念日, 生日或节日, 有新的包裹指名递送给你. 你满怀期待地打开包裹, 发现里面是最新的物联网(IoT)科技小物, 也许是活动纪录器, 或甚至是可连网的洒水系统控制器, 总之是你一直想要的东西. 您(你)心想: '太棒了! ' , 但这到底是谁送的呢? 把送件人这件事先放一旁, 你迅速将装置安装好, 并使用家中Wi-Fi网络的登入资料, 将此装置与你的智慧型手机配对. 砰! 此刻, 不知不觉中, 你为攻击者制造了机会, 让他能取得你宝贵的资料.
到现在, 大部份的人都知道钓鱼诈骗(phishing)电子邮件是用来将恶意软体置入个人运算装置, 但如果像上述情境, 网络钓鱼攻击利用物联网的边缘节点做为诱饵呢? 随着攻击者与攻击计划变得日益缜密和成熟, 上述情况也变得越来越有可能发生. 除了攻击者的专业知识不断增加之外, 消费者越来越能接纳新的技术, 推动物联网的扩展, 也增加接收物联网边缘节点 '诱饵' 的机率.
所以, 上述情境中, 有哪些地方做错了? 主角原本可以做些什么来防止事情发生? 有许多情境可能造成此类攻击的成功, 这些攻击将熟悉的产品改变用途, 成为恶意攻击的工具. 装置制造商并未适当地保护最初安装的韧体, 以及装置部署后发布的韧体更新.
正如实现加密法的暗门功能, 在制造和开发嵌入式装置的过程中, 可以采取一些简单的步骤, 让此类攻击特别难以在装置实际使用时进行. 运用正确技术, 即可将韧体置入内建记忆体中, 并将其永久锁定. 韧体更新也可以用加密方式来保护.
让我们来检视如何使用恩智浦(NXP)的安全技术防止此种攻击威胁. 恩智浦的Kinetis微控制器(MCU)及启用的开机载入程式Kinetis Bootloader或KBOOT, 整合软硬体功能, 实现安全的韧体初始布建, 并保护终端装置未来下载的韧体. KBOOT是安装于快闪记忆体或ROM中的开机载入程式, 搭配其他内建工具, 可在整个产品生命周期间, 启动Kinetis MCU的程式设计作业.
这个KBOOT启动程式提供软体防火墙, 并可使用加密的硬体加速功能, 来处理将韧体编程至内建或外部记忆体的作业, 进而运用Kinetis MCU的安全技术. KBOOT可辨识晶片层级的安全设定. 在某些装置上, 一旦进入安全模式, 使用KBOOT进行韧体编程的唯一方式, 就是利用加密的二进位(Binary)档案. 任何试图更新韧体的动作都会失败. 这代表只有安全二进位金钥(Secure Binary Key)的持有者所建立的档案, 才能被接受, 并使用KBOOT将韧体下载至Kinetis MCU.
KBOOT随附完整的原始程式码, 具备高度可自订性, 能够进行更多的客制化修改, 来加强应用程式韧体的安全性. 例如, Kinetis MCU可以设定将开机载入程式置于快闪记忆体中, 并透过晶片的安全设定, 来让此程式变得无法修改. 有了这项保护机制, 攻击者就必须完全移除和更换IC晶片, 才能进行复制. 由于KBOOT是开放原始码软体, 因此可以加以修改, 来量身打造终端使用者所要的加密和完整性检查演算法. 建置超强大安全机制的一项可能做法, 就是除了KBOOT之外, 再另外使用嵌入式安全元件, 利用安全伺服器来新增装置的验证机制, 以强化整个产品生命周期的安全性.
身为消费者, 对于此种针对式的网络钓鱼攻击, 我们能做的实在不多. 即使知道攻击发生的可能性, 也无法确保我们能随时受到保护. 但是, 恩智浦提供因应此种威胁的解决方案, 透过KBOOT软体和Kinetis MCU, 将让嵌入式开发人员更轻松地整合所需的韧体保护功能, 以确保这些攻击能够化解.