Black Hat 2014:物联网以及嵌入式设备安全

拉斯维加斯——每年都有数量众多的安全设备专家教授,发现他们不得不在这些安全攻击中一步步成长!当然在今年的黑帽大会上此类情况同样也没有减少!

本周在拉斯维加斯举行的年度盛会,研究人员Charlie Miller 以及 Christopher Valasek 在他们的报告《A survey of remote automotive attack surfaces》,将显示攻击者如何通过漏洞去远程攻击汽车,在有些情况下是能够实现的。

Logan Lamb在其演讲中将提出如何在易受感染的家庭安全系统进行欺骗 《Home Insecurity: No Alarms, False Alarms and SigInt》

接着研究人员Don Bailey及Zach Lanier 会举行一个圆桌安全会议,《Application Security for Hackers and Developers》。这个小组将研究嵌入式计算机,智能手表,摄像头,工业监控系统,以及其他的一些将在未来几年影响安全的设备。

好消息是,安全行业能够保证物联网,嵌入式设备的安全。比如说身份认证管理,安全软件开发。坏消息是,这些技术我们已经大致掌握!

Don Bailey,Mouse安全实验室的CEO声称,当一味的相信物联网,那么身份管理和相关用户以及设备权限久将受到极大的威胁。

“其中一个问题就是身份,我们拥有这些无人操作的设备,并且不会被任何人监视,”Bailey这么说。

“你可能用这些复杂的设备去控制你的冰箱,汽车,或者任何你能够想象到的东西。但是你是如何知道正在使用的设备,可以归结到一个特定的个体上?你如何确保任何操作都是由一个合法的用户发起的,”Bailey继续说道。

由于一些移动部件,当涉及到网络、硬件、应用、操作系统、协议时,物联网、嵌入式设备的安全取决于整个堆栈的信任。“我不认为人们完全了解这些复杂的创造,这时就需要大量来自不同的组织参与进来,”Bailey说道。

例如,Bailey通过最常见的移动网络,入侵物联网系统。这很大程度上是由于人们认为这些通信通道的安全是有供应商去管理的。“但是提供商却认为他们提供的硬件,软件都是十分安全的,并没有人能够真正的控制整个系统,”他继续说道。

对于软件安全来说,这些潜在的问题一样十分重要。Jared DeMott,这周将在他的议题《Application Security for Hackers and Developers》包括了源代码审计,fuzzing测试,逆向工程,exploit开发,找寻软件中的漏洞。

DeMott解释了,尽管许多的专业人员专注于稳定的框架,脚本以及高级语言,但是更多的是需要得到C、C++支持的。“因此,内核以及底层操作系统对这些设备的保护就是至关重要的,在C和C++上,这里有很多机会让开发者自己搬起石头砸自己的脚,因为在这些语言中,开发者必须要手动管理系统资源,”MeMott说道。

正是这些底层语言,运行在汽车的远程信息处理系统,你家里空调内的嵌入式系统,智能电视等等,这些设备依旧使用C和C++编写。

在和这些语言将近20年的接触,“你会时常听到有人说‘额,如果问题太难了,为何我们不摆脱C和C++呢。为什么我们不用C#和Java去写所有的代码,或者说这对安全来说是一个小小的进步?’”MeMott这样说到。

DeMott你是否认为物联网,嵌入式设备比较安全。“我目前还没见到过,但是也不会听到有人在桥上控制了汽车而感到惊讶!”DeMott半开玩笑的说。“许多的人根本就没有意识到他们的汽车是由代码控制的,或者由其他的一些工业系统控制着。但是我们并不能确信,是否会有一群人去攻击这些系统”DeMott最后说。