工控网首页
>

应用设计

>

嵌入式系统安全

嵌入式系统安全

来源:EMBEDDED COMPUTING From cars to cell phones, video equipment to MP3 players, and dishwashers to home thermostats— embedded computers increasingly permeate our lives. But security for these systems is an open question and could prove a more difficult long-term problem than security does today for desktop and enterprise computing. 从汽车到蜂窝电话,从录象机到MP3播放器,从刷碗机到家用自动调温器,嵌入式计算机日渐渗透到我们的生活中来。但是这类系统的安全性是一个人所共知的问题,相对于台式机和企业计算机今天所面临的安全问题来说,该问题将是一个更加艰巨且长期的难题。 对于嵌入式系统来说,安全问题并不陌生。2001年,Peter Shipley和Simson L. Garfinkel 声称找到了一条未受保护的连接至用于控制高压电源传输线的系统的调制解调器线路 (请参照2001年《拨号调制解调器的分析和弱点》www.dis.org/filez/Wardial_ShipleyGarfinkel.pdf )。然而,随着更多的嵌入式系统连接到互联网,这些弱点所带来的潜在破坏也就大大增多了。 这种情形已经开始引起我们的关注。今天你可以买到连接到互联网的家用设备和安全系统,一些医院的病人看护仪器使用无线IP连接。汽车不可避免得使用间接的方式连接到互联网——通过一个或两个防火墙——连接到具有安全保障的控制系统。已经有人提议使用路旁的无线传输器,将实时的速度限制变化发送到控制设备的计算机。还有一个对于客机的提议,使用IP来实现主要的飞行控制,同网上冲浪的乘客们有几个防火墙之隔(参照ARINC《飞机数据网络》第664号项目书草案1第5部分的《网络互联设备》,AEEC 于2001年5月2日发布的 第01-112/SAI/742文件)。 嵌入式系统的安全涉及的事宜要远远超出现今企业和台式电脑系统中出现的问题。 嵌入式系统有何不同? 连接到互联网将使设备暴露于危险之中,容易遭受入侵和恶意的袭击。很遗憾,为企业和台式计算机研发的安全技术不能满足嵌入式设备的要求。 敏感问题――成本 嵌入式系统的成本问题往往很敏感——由于每年都要制造几百万个单元,五分钱就意味着很大的差别。因此,世界上生产的CPU大多数采用的是4位或者8位的处理器,这就限制了安全性方面的发展空间。例如,许多8位微型处理器没有能够存储更多位的密码设置。这能使企业的许多加密算法无法实施。对于价格敏感的产品而言,通过减少安全性的某些方面以削减在硬件上的支出可以为竞争者在市场上赢得优势。如果在给产品进行配置前,没有对安全测定的量化依据,谁又能确定要在这上面花费多少呢? 互动问题 许多嵌入式系统都会与实际社会发生联系。因此一次安全事故将导致物质上的实际后果,包括财产损失,人员伤亡。中止财务往来能修复企业的一些安全漏洞,但是要避免一场汽车碰撞却是不可能的。 企业计算机是处理公务的,嵌入式系统则不同,往往进行周期性的计算,在实时的期限内循环控制。在处理日常事务的时候,速度都可以轻易达到每秒钟20次。如果一微秒的耽搁就可以导致循环控制稳定性的缺失,系统就很容易受到干扰系统定时的攻击。 嵌入式系统一般没有系统管理人员。连接到因特网的洗衣机,谁是其系统管理员?谁能确保使用的都是强口令?安全升级是如何处理的?如果攻击者占据了洗衣机,并且把它作为平台,向政府机关发送分布式拒绝服务攻击,应该怎么处理? 能量限制 嵌入式系统往往有重要的能量限制,许多都是以电池为动力的。一些嵌入式系统可以每天获得电池充电,而有的系统一块电池必须持续几个月甚至几年。 攻击者如果在不可能侵入系统的情况下,通过尝试耗干电池,就可以引发系统瘫痪。这个弱点很致命,例如在以电池为动力的设备中进行无线通信,这是很消耗电力的。 发展环境 许多嵌入式系统是由小型研发团队或者孤零零的几个工程师研发的。那些每年只能编写几千字节编码的组织承担不起请一名安全专家的费用,他们常常也意识不到需要一名这样的专家。 然而,即使是看上去很小的程序也可能需要提供一定程度的安全保证。在包括严格的安全分析在内的标准研发实践出台之前,研发者可能还是对于目前已经切实可行的解决方式置之不理。 举例:互联网自动调温器 由于嵌入式系统可以给现实社会带来变化,对系统安全弱点的开发,对社会恶劣的破坏带来的就不仅仅是烦恼了。我们首先看一下最明显的潜在攻击。侵入电脑并将其完全控制的攻击者可以做任何他们想做的事情,通过联接的传感器和执行器,给交通灯发送命令,关闭电站等。 当然工业化的安全措施能兼顾庞大的系统,但是更小的系统似乎没有受到足够的重视。试想一下,比如,控制冷热的家用自动调温器。许多自动调温器都有嵌入式计算机,可以每天对设定温度进行几次调整,使得人在家时温度适宜,人不在家的时候节省能源。 有一些自动调温器,主人可以通过互联网,也许通过移动电话,在度假结束后或者一天的工作后,将即将到家的信息传递出去。这给了自动调温器时间,在主人回来之前达到一个适宜的温度。然而,通过互联网控制自动调温器引发了一些受到潜在攻击的危险性。 中央控制 如果系统只允许在“舒适”和“节约”这一对设定点之间进行转换,攻击者可以发送“我就要到家”的假信息来改变设定点,浪费能源。如果允许随意改变设定点,允许通过因特网控制自动调温器引发了一些潜在的攻击。 攻击者可以将房间温度调到极高,或者极低,甚至关闭系统,管道就会像在冬天那样冻结,宠物会受不了如同夏天的高温而死去。当然,正确设计的设有安全联动装置,拥有管理良好的口令策略的系统可以阻止这一切的发生。但是这些情况发生的潜在性是一种威胁,必须考虑在内。 互联网自动调温器也为公用事业用户们提出建议或要求,即在高峰时段调整自动调温器。美国的一些电力用户已经可以使用广播,在高负荷的时段,发出要求停止或者减少空调单元的循环设定。公用事业用户支持这样做,对于由此造成的不便会得到补偿。 互联网自动调温器可使这一过程更加复杂。这种公用系统可在高负载的情况下,引导每个自动调温器根据动力要求将其设定点做出几度的改变。在炎热的夏天,由于空调形成主要的能量需求高峰,这种机制就使不用再实施电力管制,电力网络仍能继续运行。这就是其中的差异。 但是这样的系统也带有潜在的不足。例如,某人可以耍小把戏,使得几个自动调温器认为当日电量需求不是高峰时日,因此不断增加电量需求。如果这种把戏涉及更大范围,就可以引发电力网络的瘫痪,特别是如果电力驱动将设定点改变决定其电力生产能力考虑在内的话。 节省电力如果采取中央控制的模式可以带来更严重的问题。成功侵入对设定点需求或者只是虚假命令进行中心控制的计算机,就可以尝试调整许多家庭中的电力消耗。 如果有人编写了一个病毒,这个病毒侵入了电脑,目的是对所有连接入互联网的自动调温器进行攻击,应该怎么办?这种攻击方式可能很微弱,譬如在冬天的时候将自动调温器的问题稍微调高一点,或者夏天的时候稍微调低一点,以增加能源消耗,增加公用事业费用支出。 或者没有如此微弱:如果在高负载时段,一个城市的所有自动调温器突然同时开启所有的空调,动力的剧增可以引发一个毁灭性的难题。 还有一些玩笑话。如果你每天晚上睡觉的时候,世界另一边的某个小孩决定将你的自动调温器的设定点调高或调低20度?(当然,使用家里的控制系统使得灯一亮一灭可能更好玩,但是这里我们说的可是自动调温器。) 电池攻击 许多自动调温器,至少包括一个互联网品牌,是以电池为动力源的。这一部分是由于线路电压不可行,另一部分是由于从线路电压安全转换到自动调温器的需求要有一个大的转换器,而这个转换器需要钱,需要额外的线路,使得保障电力安全更为复杂。 一些自动调温器使用无线的网络避免线路的费用支出,但是太多的网络交流可以很快将电池消耗。如果自动调温器连接到互联网,攻击者可以通过重复查询自动调温器的状态将电池用完。低电压的探测线路可以在电池消耗完之前,截断无线连接。但是开发者需要将这种能力设计植入系统。 隐私 一个可以监控你的自动调温器设置点的人也可以判断出你是在睡觉,在家还是外出。攻击者即使不能够直接探寻自动调温器,很简单,只要监视输入自动调温器的数据包路线,就可以推断出房里是否空无一人—— 此房就成为了入室行窃的潜在目标。 连接入因特网的自动调温器也可以使“好兄弟”牌监视器监控你是否设置合适,完成你在当今能源危机情况下应该尽的一份绵力—— 如果你没有那么做,它就帮你设定。一些天然气,水和电数据已经通过调制解调器通知公用事业用户,所以自动化公用事业监控这一基础设施已经走上轨道。 自动调温器仅仅控制有限的能量释放,常常需要人在旁边注意其有否偏离。其他的应用领域更具有挑战性——例如,将车辆连接到网络。 在许多方面,我们还没有准备好我们肯定会面临的安全挑战。一些简单涉及到确保研发团队在开始制作这些安全具有风险性的产品的时候具备一定的技能,另一些涉及重要研发,现在还无法谈及。 例如,我们如何研发无法渗透的防火墙来阻止对于安全度要求很高的传感器和执行器的攻击操作?我们如何保证满足实时的期限,甚至在遭到拒绝服务攻击或者系统因素妥协的时候?我们可以研发侵入侦察系统来在每50毫秒运行一次的控制循环失去稳定性之前,快速做出反应,恢复系统,纠正操作吗? 我们可以在升级机制中,没有弱点,安全地升级无掩护的嵌入式系统吗?我们可以侦察并且阻止设计来耗干电池的攻击吗?我们可以在价值1美元的微型
投诉建议

提交

查看更多评论
其他资讯

查看更多

基于Modbus的智能工业控制器监控系统的设计

不要忽略PC总线技术的发展

基于PLC的电梯高精度位置控制的实现

蓝牙工业现场总线应用模型

一种基于PID神经网络的解耦控制方法的研究 /