这场攻击将矛头直指域名系统(简称DNS)服务供应商——其职责在于将互联网上各站点的名称翻译为数字地址。此次事件中受到影响的DNS供应商为Dyn公司,其服务器在短时间内收到大量虚假DNS查询请求,导致系统资源被占用,流量拥塞,服务器无力回应合法用户真正的DNS查询操作。
越来越多的物联网设备沦为DDoS攻击的工具
DDoS攻击相当常见,但有两大特征使得此次事件变得非常特别。
首先,由于Dyn公司是全球知名DNS供应商,因此受此攻击活动影响的各类网站众多。
另外,伪造的请求并非来自由台式机及笔记本电脑构成的普通僵尸网络,而是数千万台小型联网设备。其中包括与互联网对接的摄像头、家庭路由器等,这些设备通常被称为物联网组,简称IoT。
预计到2020年将有数百亿联网设备
多年以来,联网设备的数量(包括手机、智能手表、健身追踪器、家用恒温器以及其它各类传感器)已经远远超过全球总人口。到2020年,预计互联网之上将存在数百亿个这样的小装置。蓬勃发展的物联网亦成为人类文明史当中推进速度最快的新兴经济体系。在大多数情况下,这样迅猛的发展势头将给工程师乃至整个社会带来巨大的鼓舞与刺激。
物联网设备安全问题堪忧
然而,物联网领域头顶一直笼罩着安全与隐私相关威胁的乌云,而且其规模远超人类以往所见。
数字化系统极易受到恶意黑客们未授权访问、个人数据及其它信息窃取、信息锁定勒索甚至是系统整体下线等攻击活动的影响,而Dyn公司正是实实在在的受害者之一。
这是黑客与计算机安全专家之间开始进行新一轮军备竞赛,并迫使我们每一位局外人为各类计算机上运行的软件进行安全更新。总结来讲,目前的安全形势成了一场不断升级的猫鼠游戏,黑客方面的攻击手段日益复杂,而软件补丁则不断出新——这一切都给物联网的未来发展带来了棘手的挑战。
其主要原因之一在于,针对物联网的攻击活动有可能对电网、供电以及医疗卫生等关键基础设施造成灾难性的后果。
而另一个值得担忧的是,批量化生产的智能设备可能并不具备充足的硬件资源以通过编程方式抵御其在生命周期内可能面临的种种威胁。无论人们是否准备好迎接这些无处不在且即将进一步普及的计算设备,这些设备都已经逐渐渗透进生活之中。
为什么需要硬件补丁来摆脱这种困境?
一种潜在方式,即建议将构建物联网的各类小型装置进行升级,从而确保其硬件能够解决未来可能出现的种种安全威胁。这自然会给设计工作带来挑战,但从我们的角度出发,这正是智能设备所应该具备的设计方式。
物联网设备为何容易被入侵?
为什么物联网设备会被如此轻而易举地入侵?最显而易见的答案之一就是物联网设备数量庞大。面对数十亿台设备,其中总是会带来数以百万计的恶意行为,甚至是成功入侵。另外,接入互联网的每一台受入侵设备都可能会进一步尝试感染其它设备。因此在物联网当中,攻击活动将凶猛。
而之所以需要为物联网设备中安全漏洞所引发的灾难性后果作好准备,另一大重要原因在于其个性化因素。我们目前拥有的各类小型数字系统能够追踪并记录我们的一系列日常活动,包括人们的睡眠、人际往来、保健措施以及浏览模式等等。来自这些设备的信息通常经由互联网被传递至中央存储库及服务器进行存储与分析——但这同时意味着,任何能够入侵这一通信流程的恶意人士都能够访问人们生活最真实的个人信息。
对于此类攻击活动的另一种担忧,则源自其同物理世界之间的频繁交互。一旦家中的智能烤面包机或者是工厂中的传感器遭遇黑客入侵,可能导致受控机器引发灾难性的后果。
硬件设备使用寿命差异要求不同的解决方案
面对这些挑战,用于保护计算机安全的传统机制恐怕并不足以解决问题。一方面,大多数为笔记本电脑、台式机、服务器甚至手机所设计的保护功能都需要消费大量电力。而对于手表或者传感器这类节点性质的微型装置,由于其天然要求低电量消耗,因此上述安全方案将无能为力。
除此之外,保护机制通常在设计中仅面向需要运行周期为数年的计算系统。人们每三到四年就会更换一台台式机或者笔记本电脑,而智能手机与平板电脑的更换频率往往更高。智能汽车、联网电表或者智能交通灯等装置的使用寿命一般更长,而且在某些情况下甚至需要以数十年作为运作周期。因此,通过替换的方式修复旧有安全问题的可行性将大打折扣,同时,制造商也无法预测其设备可能需要具备怎样的硬件资源,从而应对未来可能会面临的种种潜在攻击活动。
物联网设备——例如图中的智能灯泡——能够被轻松入侵并受到恶意软件的感染,其随后则可传染同一网络当中的其它设备。未来的补丁式硬件也许能够降低此类威胁。
事实上,如今的我们甚至很难想象这些设备的未来使用方式,更遑论以十年甚至二十年为周期的威胁预测。也许到时候我们的冰箱将能够与自动驾驶车辆进行通信,以确保后者会及时提醒用户何时需要采购杂货。然而,厨房当中一枚受到入侵的智能灯泡也能够获取到这些信息,并借此兴风作浪。要预测未来各类智能小工具的使用情况,进而判断其遭到入侵所引发的后果我们根本不能预测。这就需要通过特殊的方式设计这些系统,从而确保其有能力保护我们免受未来可能发生的攻击方式的威胁。
传统的补丁升级易被人忽视
那么,工程师们如何才能实现物联网安全?在寻找这一解决方案时,其完全踏入了充满未知的新领域,这里存在大量未知数,却鲜有明确的答案。尽管安全专家们需要尽最大努力开发出能够应对已知威胁的保护举措,但其同样需要设计设备以保证其能够通过配置与升级应对意外发生的漏洞与入侵。而就目前而言,最可行的实现方法就是硬件补丁。
“补丁”在计算领域是个广为人知的概念,至少在软件领域是如此。
如今的人们非常了解软件的更新需求,并意识到其是实现手机与电脑持续安全运行的必要前提。我们大多数人会定期收到通知,其中显示新的软件已经准备好进行安装。但随着此类提醒越来越多,人们越来越不重视,甚至忽视,直到放弃抵抗,同意进行更新。
在通常情况下,某些应用程序会停止工作以进行自动更新,但这往往会耗费相当多的时间甚至导致重大业务中断,这也是用户们不愿主动接受软件更新的原因。然而,这些安全更新确实非常必要——因为典型的计算设备每月都会暴露出数十种新型漏洞。
补丁机制仅针对软件或者“固件”进行
到目前为止,补丁机制仅针对软件或者“固件”进行,而人们也往往习惯性地将这种作法引入小型计算装置——即认定底层硬件本身具备不可变属性。但在安全专家们看来,工程师们不仅应当允许软件进行补丁安装,亦应允许物联网设备硬件具备补丁修复能力。
为什么要这样?因为在某些情况下,人们可能无法单纯通过修改软件的方式修复一切安全漏洞。举例来说,硬件可能负责实现目前安全的加密算法,但其也许会在系统生命周期结束之前过时。解决这种潜在风险的惟一方法,就是在设备制造完成后确保其采用可重新配置型硬件。
实现补丁式硬件的另一个重要原因在于,小型联网设备往往仅利用极低电量进行运作,而对特定功能而言软件实现途径往往比纯硬件实现要消耗更多能源。因此,工程师们通常无法设计出一款仅立足通用硬件即可通过运行软件完成所需功能的小型低功耗产品——相反,必须采用专用硬件才能实现这项目标。更具体地讲,软件实利可能并不足以带来必要的安全性提升。
智能手表 当中往往包含用户姓名、地址、出生日期、体重、性别、心率以及其它健康信息。而此类设备可能极易受到黑客攻击的影响。
补丁式硬件的实现面临重重困难
很明显,补丁式硬件的设计要真正契合物联网的需要,前提之一是其必须能够在极为严格的功率限制下正常工作。
举例来说,一部分无线传感器的平均运行电流仅为数微安。目前能选择且适合此类场景的解决方案只有一种——现场可编程门阵列(简称FPGA)。这是一种通用型芯片,用户可以在其上对逻辑进行配置。而安全研究人员在这一研究领域当中作出的贡献,则是开发出了一种能够满足不同安全要求的架构,且其紧密围绕FPGA构建而成。
为了理解其运作原理,我们假定一块芯片立足一台小型设备以进行长期物联网功能部署。其可能是一枚智能灯泡、一台智能冰箱,或者是其它智能设备。在安全研究人员提出的架构当中,人们将这套集中式硬件组件称为安全策略引擎,其负责管理一套综合性关键安全事件集,具体包括系统当中各设计组件之间以及同外部的通信机制。
举例来说,安全策略引擎可能要求用于通信机制的加密密钥仅供某些特定硬件组件访问。为了执行此项规则,该安全策略引擎必须管理各组件之间的密钥共享功能,同时禁止一切不满足指定安全性要求的交换请求。如果某一天,当安全研究人员意识到某一硬件组件当中存在安全漏洞,那么该如何立即禁止其访问加密密钥?如果硬件无法进行变更,那么一切保护都将成为空谈。
假设这套安全策略引擎利用FPGA所构建,由于FPGA能够进行升级,因此安全研究人员完全可以为其安装补丁。即如果需要保护设备免受新近发现的安全风险所影响,则可以修复硬件以执行一组新的安全要求,且继续保证其运行功耗与预期相符。
设备组成复杂增加硬件补丁设计难度
上述想法在理论层面看似非常简单,但在实践当中仍存在大量有待解决的细节。这是因为,即使是小型数字设备,其中也往往包含着大量由第三方所设计的多种不同硬件组件。在这一领域当中,此类成果皆属于知识产权,简称IP。安全策略引擎需要追踪不同知识产权间的通信内容,从而确保其能够强制执行安全要求并发现违规情况。另外,安全策略引擎还需要访问各个知识产权组件当中的关键安全事件,从而正确对这些事件作出标记并加以响应。
这需要建立起一个特殊的接口,从而允许各知识产权供应商利用一套通用机制阻止硬件与安全策略引擎之间进行直接通信。但这种接口目前尚不存在,且相关标准的出台可能还需要很长一段时间。幸运的是,大多数知识产权成果已经拥有了所谓调试接口,其通常用于检查该知识产权是否能够在芯片制造完成后正常运行。如果我们将安全策略引擎接入到此接口处,该引擎即可追踪之前提到的各组件中的大量不同事件。如果新的安全性要求指向已被确认为对知识产权进行验证至关重要的各类事件,且需要对其加以监控或者响应,硬件补丁应当允许该安全策略引擎直接追踪相关事件,而无需对知识产权本身作出变动。
当然,如果新的安全性要求提出不可通过调试接口对知识产权中的事件进行访问,研究人员将非常被动,只希望这种情况能够越少越好,毕竟随着时间的推移,各知识产权供应商只会提供更为丰富的调试接口——至少在知识产权的标准安全接口被开发出来之前是这样。
从长远角度来看,随着安全专家越来越多地了解实际需求,他们将能够为这些低功耗设备开发出更为灵活的保护机制。正如目前所普遍使用的安全补丁一样,硬件补丁安装也将成为物联网上的例行事件。当下的挑战在于找到一种通行性方法,使得这些系统能够 无痛方式定期自我升级,且不至于带来现在令众多用户所厌恶的软件升级影响。
现已有小型联网设备自动化软件更新方法
当前已经存在不少专门面向各类小型互联网接入设备(例如手机)的自动化软件更新方法,业界将其称为“无线”(简称OTA)更新。在这样的机制中,自然需要确保仅仅真实的软件升级得到加载,且机制本身必须足够强大以保证升级期间发生的电源或者通信链路故障不致给目标设备带来“破坏”。当进行硬件配置自动更新时,也必将采用类似的保障能力。不过在小型物联网装置中,这些要求恐怕难以满足,因为这类设备通常并不具备支持这种复杂任务所需要的硬件或者软件容量。
虽然就目前来讲,仍然很难在无需用户或者系统管理员以手动方式对数十、数百甚至数千台设备进行手动升级的前提下保障物联网安全。但这样的现状需要得到有效改善,而自动升级系统也将随着设备本身的换代而愈发强大。真有这么一天,相信届时构成物联网的各类组件已经具有足够的灵活性。即使这些设备的数量增长至数万亿之巨,仍然能够保证其拥有合理的安全性水平。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。
上一篇 : APPLEBY数据泄露事故:全球富豪们的噩梦!
下一篇 : 美军网络部队高度关注的四大网络空间领域
