crm|嵌入式系统安全的10个致命错误

嵌入式系统有一个不幸的事实:一旦在野外部署和使用,它们就永远不会 100% 安全,尤其是在世界变得更加互联的情况下。历史上对这些系统应用的安全工程方法松懈,进一步加剧了这一现实。大多数设备专注于特定于设备的软件,而经常忽略操作系统和较低级别的组件。
随着数十亿嵌入式系统在全球范围内使用并且越来越多地连接在一起,攻击者有很大的动机设计新的、阴险的方法来提取敏感数据和/或重新利用现场设备以谋取个人利益。
此外,设备本身和特定功能的软件通常需要随着时间的推移而更新,以应对新的安全威胁。犯罪黑客不断开发用于毁灭性攻击的新方法,例如今年早些时候对佛罗里达州一家水处理厂的攻击。
让我们来看看 10 个可能危及我们业务、财务和关键基础设施中的嵌入式系统的致命安全错误。

  1. 让您的敏感数据和应用程序保持清晰
根据MITRE 常见弱点枚举列表,犯罪分子可以读取、提取和利用您以明文形式留下的数据和应用程序。加密数据和应用程序是不够的;您还必须担心加密密钥的存储位置和方式以及使用的算法。假设我们只能使用 SSL/TLS 来保护传输中的数据是错误的,因为我们经常忘记相同的数据本地存储在边缘设备和云平台中。
网络犯罪分子很容易以明文形式获取数据并在暗网上出售或将其发布到公共文本存储网站上。
此外,犯罪分子可以轻松地进行逆向工程和恶意修改明文应用程序。犯罪黑客这样做是为了暴露秘密、敏感的算法或导致您的代码以意想不到的方式执行。
  1. 在没有安全、经过身份验证的引导的情况下启动您的系统
正如ZDNet报道的那样,一名软件工程师发现了 LG Android 智能手机中的引导加载程序漏洞,使设备容易受到冷启动攻击。
【crm|嵌入式系统安全的10个致命错误】网络犯罪分子可以对未通过安全启动过程启动的设备进行 root。此外,他们还可以更改您的引导加载程序、操作系统、UEFI BIOS 和硬件/软件配置,或将其替换为恶意版本。
更糟糕的是,即使完全重新安装主机操作系统,其中一些恶意修改也会持续存在。
除了以硬件为基础的经过身份验证和安全的引导实施之外,您无法保护引导序列免受篡改引导加载程序并随后危及系统网络弹性的攻击。此外,缺乏安全启动还会导致各种攻击和设备重新利用。
  1. 让未经授权的软件访问未经授权的组件
犯罪黑客可以利用漏洞或对一个组件的隐性信任来泄漏关键信息,例如内存内容和地址,从而实现各种二阶攻击。
如果不限制仅访问完成工作所需的那些组件,您就会留下意想不到的开口,使攻击者可以从一个组件转向另一个组件。例如,共享一个硬盘驱动器或内存组件的两个软件可以通过该硬件进行通信(可能通过利用各种侧信道攻击),利用一个漏洞访问另一个。
  1. 忽略或错误配置容器化或隔离机制
根据 NIST CVE-2021-21284,一个名为“–userns-remap”的易受攻击的 Docker 引擎函数允许攻击者提升权限并以 root 用户身份写入任意文件。在这种情况下,弱函数特性打破了容器隔离。然而,容器作为特权容器执行并提供对主机系统、其文件和其他容器的不受限制的访问的情况并不少见。
错误配置软件容器或忽略软件隔离可能允许网络犯罪分子提升权限并获得对系统的未经授权的根级访问(完全控制)。所谓的容器和/或虚拟机突破使攻击者能够内省和修改系统上其他容器或来宾的内容,并可能以意想不到的方式与基于云的服务进行交互。
  1. 留下太多的攻击面
使用过多接口和功能使软件膨胀得越多,攻击面就越大——攻击者可以用来利用您的系统的漏洞、漏洞和漏洞。同样,您在操作系统映像或应用程序包中包含的库越多,您的攻击面就越多,并增加了更新、修补和解决各种可能的安全漏洞的负担。犯罪黑客只需扫描您的系统即可知道要攻击什么。
通过采用极简主义的软件开发方法,仅添加实现软件任务所需的功能,网络攻击者将更难以利用您的代码谋取私利。
  1. 发放不受限制的特权
当您授予应用程序比所需更多的访问权限(自由访问控制、系统级权限、命名空间等)时,网络犯罪分子可以利用该访问权限来解锁权限并操纵您的软件。一旦攻击者利用多余的特权获得管理权限,他们就可以在网络中横向移动,获得对云基础设施的访问权限,从那里可以获得对所有设备的访问权限,从而执行拒绝服务攻击、降低性能、注入恶意软件等。
有一些简单但相对未使用的机制可用于限制对各种权限的访问。在 Linux 环境中最简单的情况下,我们可以从标准的用户/组访问控制开始,添加使用后删除功能的能力(即特权端口可用于启动服务),然后进入Linux 环境中的各种其他安全选项集。
虽然我们特别关注边缘设备上的不受限制的特权,但同样的概念也适用于您的整个 DevOps 管道、云基础设施和企业网络。
  1. 假定信任并允许未经身份验证的通信
在这个ZDNet故事中,研究人员分享了对 TLS v1.2 协议称为 Raccoon 的成功理论攻击,该攻击破坏了敏感且以其他方式受保护的身份验证通信。当然,业界仍然认为 TLS v1.2 相对安全。但是攻击的成功说明了一个道理:您必须主动检查和确认安全协议,仅将信任扩展到经过身份验证的用户和系统,并且仅使用加密通道与这些用户和系统进行通信。当然,还有另一个隐含的假设,即我们的设备本身是可以信任的。如果我们与之通信和交换数据的设备不受信任,那么我们必须解决各种其他问题,例如本地数据加密、基于硬件的密钥管理和安全启动。
使用默认设置或易受攻击的协议会欢迎未经授权的访问并邀请恶意流量进入您的系统。
  1. 未能检查输入
当开发人员不检查输入时,攻击者可以将格式错误的数据引入系统,导致下游组件出现故障。使用畸形数据的常见攻击包括 SQL 注入和缓冲区溢出。
程序员检查从 Web 表单提交到 RF 捕获的所有类型数据的输入,以确保受信任的用户将预期数据发送到他们的软件。预期数据包括数据的格式和内容。输入验证可防止不受信任的用户发送带有恶意意图的意外数据,并假设所有并非源自应用程序本身的数据都是不受信任的。
  1. 错失的安全编码机会
脆弱的编码实践让软件缺陷在未被发现的开发过程中不断发展,更糟糕的是,其中许多实践和访问可能导致攻击。如果您不使用安全的开发工具和技术,网络犯罪分子将经常突破您软件中的这些漏洞,并可能利用您的漏洞访问其他网络和组织。
但是通过安全的编码工作流和自动化测试,您可以在开发管道中尽早发现并修复漏洞。请记住:安全和安全开发流程不是单点解决方案,需要一起实践。
  1. 使用希望作为安全策略
有限的安全人员手动查看事件日志、搜索攻击和破坏的迹象需要很长时间。相反,您需要利用自动化工具来持续监视您的系统并检查您的记录以获取入侵的历史证据。当然,这一切都假设我们正在以足够的细节记录正确的事情来做出决定。
现代技术可以摄取和审核整个系统日志集合。行为工具可以识别您的网络和软件中的可疑活动。您甚至可以从使用当前威胁签名来识别攻击的恶意软件扫描中受益。通过结合这些努力,您可以全面了解您的安全状态并全天候更新。
相关实战:https://www.99qibang.cn/information/5fa47fc1378c4e10874840e21d41d79f.html
https://www.99qibang.cn/information/c53bfbb1c67c4ae38b0ffb4c33ebb4a1.html
https://www.99qibang.cn/information/a06d848dd22a42acbbfb76072cb722d1.html
https://www.99qibang.cn/information/da4f38053f444f4ea8eb97dbd67113e6.html

    推荐阅读