IoT: hogyan védekezzünk a kiberbűnözők ellen?
Megjelent: 2020. április 24.
Az IoT megjelenésével és térnyerésével folyamatosan bővül az emberi felügyelet nélkül működő eszközök száma. Ezek az eszközök rengeteg előnnyel szolgálnak, ugyanakkor hatalmas támadási felületet is kínálnak a lesben álló kiberbűnözők számára. Az EBV nemcsak az alkatrészek beszerzésében és szállításában képes segíteni, hanem már a fejlesztés legelején a megfelelő technológia és topológia kiválasztásában is. Az alábbi cikk a címben feltett kérdésre keresi a választ, amely egy új IoT termék bevezetése során mindenképp felmerül.
Az Ipar 4.0 már több fejlett országban is valósággá vált, és más országokban is hamarosan meghonosodnak a forradalmi változások. A számtalan funkcióval és képességgel rendelkező intelligens gyártósorok nagyon összetett hálózatokat alkotnak: ez az úgynevezett „ipari dolgok internete” (Industrial Internet of Things – IIoT). Ez nagyon magas szinten teszi lehetővé az automatizálást és a koordinációt, maximalizálva ezzel a termelékenységet. A „dolgok internete” (Internet of Things – IoT) azonban az ipari környezeten kívül is létezik a fogyasztási cikkek és eszközök, a városi infrastruktúra vagy az autós alkalmazások keretében. Az összekapcsolt eszközök hálózata az egész világra kiterjed, és gyors hozzáférést biztosít mindenhez, amire szükségünk van otthonunk kényelmesebbé tételéhez.
Azonban, ahogy a híres mondás tartja: „a nagy hatalom nagy felelősséggel jár". Egy ilyen magas szintű kapcsolat potenciálisan teljes rendszereket tehet távoli helyről érkező támadások célpontjává. A végpontok egyes eszközei vírusokkal fertőződhetnek meg, ami nagyon zavaró, elosztott túlterheléses támadásokat (Distributed Denial of Services – DDoS) okozhat. Ha a kibertámadó akár csak egyetlen IoT-csomópontba is betörhet, vagy annak identitását meghamisítva gyorsan szaporodó vírust telepíthet, az potenciális fenyegetettséget jelent. A teljes hálózat biztonsági szintje azonos annak a leggyengébb pontjára jellemző biztonság mértékével.
Az IoT-eszközök biztonsági fenyegetéseinek áttekintése
Biztonsági követelmények az IoT-ben
Rendszeresen hallunk híreket ipari és kereskedelmi rendszerek elleni kibertámadásokról bűnözők vagy kormányok részéről. A támadások egyre kifinomultabbak és egyre több eszközt vesznek célba. A kutatók rendszeresen találnak szoftverhibákból vagy hardverproblémákból (például a különböző mikroprocesszorokban, így a néhány ARM-magban is megtalálható Meltdown hibából) eredő új sebezhetőségeket.
Az egyetlen IoT-csomóponthoz való rosszindulatú hozzáférés önmagában is elég káros. De még nagyobb kockázattal jár az, hogy a kommunikációban részt vevő partnerek azonosságának meghamisításával korlátlan számú eszköz kerülhet veszélybe, ezzel lehetővé téve a rosszindulatú szoftverek gyors terjedését.
Számos olyan képesség létezik, amely javíthatja a rendszer biztonságát. Ilyenek a következők: minden eszköz egyedi, nem hamisítható identitással rendelkezik a hitelesítés végrehajtásához; biztonságos hitelesítés; hitelesítő adatok megosztása a csomópont és a hálózat között; az eszköz működésének biztosítása a telepített szoftverek és frissítések tanúsításával; kriptográfia használata minden hálózati kommunikációban és a memóriában tárolt információk védelmében.
Az elvárt biztonsági szint elérése érdekében az MCU kialakításának több területről származó információkat kell figyelembe vennie: szoftver, biztonság, rendszeranalízis, stb. Ez már nem csupán az integrált áramköri hardver tervezési problémája: a tervezőknek figyelembe kell venniük az emberi tényezőket és a külvilággal való kölcsönhatásokat is.
Az IoT azonban árérzékeny szakterület, ezért a szükséges többletbiztonságot a bonyolultság vagy a költségek jelentős növekedése nélkül kell elérni.
Hardveralapú biztonsági funkciók
A rendszer biztonságának növelését számos hardverfunkció segítheti elő. Ezeket vagy külső biztonsági elem biztosíthatja, vagy bizonyos esetekben beépíthetők az MCU-ba.
A biztonságos rendszerbetöltés elengedhetetlen tulajdonság annak érdekében, hogy a processzor által végrehajtott firmware eredeti és rosszindulatú beavatkozástól mentes legyen. Az MCU azzal indul el, hogy a ROM-ból indítja el a rendszerbetöltő programot, amely futtatás előtt ellenőrzi a kód aláírását. A kód védelme a flash titkosításával fokozható.
A „fizikailag másolhatatlan funkció” (Physically Unclonable Function – PUF) néven ismert biztonsági módszer a félvezető eszközök véletlenszerű tulajdonságait használja ki, hogy azokat egyedi azonosítóként használó hardverstruktúrát hozzon létre, hasonlóan a bőrön látható vonalak véletlenszerű variációiból álló egyedi ujjlenyomathoz. A PUF és a hozzá kapcsolódó logika biztonságos kulcsgenerálásra és -kezelésre használható, valamint biztonságos eszközhitelesítést, rugalmas kulcsgenerálást és eszközkezelést is lehetővé tesz. Védi a titkosításhoz és a kommunikációhoz szükséges bizalmas információkat, és ezzel lehetővé teszi a teljes körű biztonságot. Garantálja, hogy egy adott eszköz által titkosított adatokat csak ugyanaz az eszköz dekódolhassa, ezáltal az adatok biztonságban maradnak még akkor is, ha egy másik rendszerre másolják őket.
Az ARM-processzor magjában a biztonsági rendszert a TrustZone-hardver valósítja meg. Ez felhasználható a titkos információk, például a bizalmas adatok és jelszavak futásidejű védelmére, garantálva, hogy kezelésükre csak biztonságos környezetben kerülhessen sor. A TrustZone a hardvert két részre, egy biztonságos és egy nem biztonságos „világra” osztja fel. A nem biztonságos világ rugalmas végrehajtási környezetet kínál anélkül, hogy hozzáférne a biztonsági szempontból kritikus regisztertartalmakhoz és adatokhoz. A nem biztonságos kód a biztonságos erőforrásokhoz csak a biztonságos világ által felkínált specifikus interfészek révén férhet hozzá.
Az operációs rendszer és az alkalmazások általában a nem biztonságos világban futnak, míg a megbízható kódok kisebb részhalmaza a biztonságos világban hajtódik végre. Ez csökkenti annak a kódnak a mennyiségét, amelyet gondosan meg kell írni, és ellenőrizni kell a biztonság érdekében.
A többi lehetséges funkció közé tartozik a szabotázs észlelése, amely védelmet biztosít az eszköz fizikai hozzáférésével megvalósított fenyegetés ellen. A memóriavédelmi egység (MPU) a taszk elkülönített kezeléséhez, a hardvergyorsítók a különféle titkosítási funkciókhoz járulnak hozzá, és egy, a chip érzékeny részeit árnyékoló réteg is akadályozza, hogy elektromágneses megfigyeléssel „hallgassák le” a chip működésére utaló mintázatokat.
Egy adott rendszerben a funkciók kiválasztásával lehet egyensúlyt teremteni a szükséges biztonsági szint és a hardver többletköltségei között.
NXP LPC55S6x blokkvázlat
Költséghatékony megoldás beágyazott hardveres funkciókkal
Az NXP nemrégiben bevezetett LPC55S6x mikrokontroller családja – egyedüliként az MCU-piacon – integráltan tartalmazza az ismertetett hardveralapú biztonsági funkciókat. Két ARM® Cortex® M33 magot tartalmaz. Ezek egyike a TrustZone-M-et támogatja, és több társprocesszorral is rendelkezik.
A chipset biztonságos rendszerbetöltést tesz lehetővé a korábbi állapot visszafejtése (rollback) elleni védelemmel, továbbá a hardver a titkosított memóriarészeket valós időben képes végrehajtani. A flash titkosított tartalma közvetlenül csak azt megelőzően dekódolódik, amikor az egyes utasítások végrehajtása sorra kerül a magban. Ennek köszönhetően a flashtároló rosszindulatú, közvetlen olvasásával csak a titkosított adatokhoz lehet hozzáférni. Ez a szoftver szellemi tulajdona és a kapcsolódó adatok számára is védettséget jelent.
Az LPC55S6x MCU a korábban bemutatt PUF funkciót is alkalmazza az SRAM egy területén. Az SRAM bekapcsolásakor az egyes tranzisztorok processzorpéldányonként különböző eltérései miatt az egyes memóriacellák értéke látszólag véletlenszerűen veszi fel az 1 vagy 0 értéket. Ez azonban minden egyes chip bekapcsolásakor következetesen azonos mintázatot alkot, tehát ezek az indulási értékek (a különböző MCU-példányokra nézve) véletlenszerűek, ugyanazon példány esetén viszont pontosan ismétlődnek. Ez a „szilícium ujjlenyomat” ezáltal titkos kulcsként használható, amely alkalmas az eszköz egyedi azonosítására, és hardverből generált kiinduló adatként szolgál a többi biztonsági funkció számára.
Ezenkívül szabotázsérzékeléssel, biztonságos GPIO-val és DMA-val, valamint biztonságos hibakeresési rendszerrel is rendelkezik, amelynek alkalmazása is a felhasználó azonosításához és jogosultságának ellenőrzéséhez van kötve. Az LPC55S6x az első MCU, amely mindezt egy teljes biztonsági csomagban egyesíti. Magas szintű biztonságot nyújt sok IoT- és beágyazott alkalmazás számára, minimális költséggel.
A második ARM-mag és a DSP-koprocesszor összetett alkalmazásszoftver futtatására használható. Például az ARM CMSIS-NN könyvtár használatával gépi tanulási és következtető rendszerek valósíthatók meg. A könyvtár a Cortex-M processzormagjára optimalizált, nagy teljesítőképességű, memóriahatékony neurális hálózati magfunkciók gyűjteménye. Ez az ipari szabvány keretszoftverekkel (mint például a Caffe) a képi információ értelmezésén, a beszédfelismerésen és a természetes nyelvfeldolgozáson alapuló alkalmazások megvalósításához a humáninterfész (HMI) hatékonyabbá tételére használható. Ez ugyanaz a technológia, amely lehetővé teszi olyan alkalmazások használatát, mint például egy autó, amely felismeri a vezetőt, és automatikusan állítja be az üléseket és a vezetési paramétereket. Azok a robotok, amelyek képesek felismerni a környezetükben található tárgyakat és embereket, biztonságosabban működhetnek a szoros emberi együttműködést igénylő alkalmazásokban.
Az értékesítőautomaták felismerhetik rendszeres vevőiket, és megkérdezhetik, hogy kérik-e a szokásos forró italuk kiszolgálását. A jelfeldolgozó képesség az arcfelismeréssel együtt felhasználható például az irányított érzékenységi karakterisztika („sugárformálás”) több mikrofon jelén alapuló megvalósítására, amellyel zajos környezetben elkülöníthetők a hangforrások és az érzékenység az aktuális, beszélő személyre fókuszálható.
Az LPCXpresso55S69 fejlesztőkártya ideális platform az LPC55S6x MCU-család képességeinek értékeléséhez és bemutatásához. A széles körű szoftveres támogatáson kívül (MCUXpresso IDE, middleware könyvtárak és példaprogramok) kiváló csatlakozási opciókkal is rendelkezik a fejlesztőkártya (Arduino® UNO R3 vagy PMod™).
Az LPCXpresso55S69 fejlesztőkártya
Külső megoldás a legmagasabb szintű védelemhez – Infineon OPTIGA™ TPM
Egy potenciális támadó – magának az eszköznek a fizikai megbontásával – is létrehozhat egy hamis azonosítót (azonosítóhamisítás), vagy úgy változtathatja meg a firmware-t, hogy az az ő javára működjön. Lehallgathatja a felhőszolgáltatásokkal folytatott kommunikációt, ha annak megvalósítása nem elég biztonságos. Az IoT biztonságos megvalósítása azt jelenti, hogy minden eszköz kölcsönösen hitelesítve működjön együtt a felhőszerverrel, megőrizve az adatok integritását, és erős titkosítási módszerek segítségével védve az adatforgalom bizalmasságát. Egy külső biztonsági építőelemmel (Secure Element – SE) megvédhető az eszköz identitása, abban érzékeny adatok tárolhatók, és titkosítási műveletek futtatására is képes lehet biztonságos környezetben, szilárd alapot adva a megbízható és robusztus biztonsági megoldásokhoz. A szoftveralapú védelmi algoritmusokkal ellentétben a hardveralapú biztonságot nagyon nehéz megtörni. Ennek oka elsősorban az a tény, hogy a titkos kulcsok a telepítést követően soha nem hagyják el az SE védett környezetét. Ezek a biztonságos memória területén vannak elzárva, és csak belsőleg használhatók fel hitelesítésre és a jogosultság ellenőrzésére.
Az OPTIGA™ TPM a szabványosított biztonsági vezérlők széles skáláját kínálja a beágyazott eszközök és rendszerek integritásának és hitelességének védelmére.
A TPM (Trusted Platform Module) egy speciális SE-típus, amely a TCG-specifikációt követi, és szoftveralapon is megvalósítható, azonban az implementálás általában hardverben történik. Ebben az esetben az OPTIGA™ TPM egy védett és körbezárt védelmi mikrokontroller, amely a belső adatokat megvédi a valóban intelligens támadások ellen. Az OPTIGA™ TPM biztonsági vezérlők egyaránt ideálisak az olyan platformokra, amelyek Windows-on vagy Linux-on (illetve annak származékain) futnak.
Az SLM 9670 az OPTIGA™ TPM-család tagja. Megfelel az ipari és más magas igényekkel rendelkező alkalmazások követelményeinek, ahol a kiterjesztett hőmérsékleti tartomány, a meghosszabbított élettartam és az ipari szintű minőség kulcsfontosságú. Az OPTIGA™ TPM SLM 9670 a szabványos TPM-eknél elvégzett tanúsítási folyamatokon kívül az ipari JEDEC JESD47 szabvány szerint is minősítve van, hogy szigorú környezeti követelmények között is lehetővé tegye a szükséges teljesítőképesség szolgáltatását. Az OPTIGA™ TPM SLM 9670 robusztus biztonsági követelmények esetén is nagyfokú rugalmasságot kínál az intelligens gyárak és az Ipar 4.0 innovatív felhasználási eseteinek kezeléséhez.
Az IoT-biztonság összetevői
IoT egy tokban – az Espressif ESP32-S2 modul
Az Espressif egyetlen tokon belül egyesítette a mikrokontrollert a védelmi funkciókkal és a vezeték nélküli kommunikációs interfésszel. Az ESP32-S2 egy biztonságos, magasan integrált, alacsony energiafogyasztású, WiFi-alapú SoC, amely támogatja a WiFi HT40 szabványt és 43 GPIO kivezetéssel rendelkezik.
Az eszköz alapja egy Xtensa® egymagos, 32 bites LX7 processzor, amely akár 240 MHz-es órajelről is működtethető.
Az ESP32-S2 az MCU + WiFi kialakítást követi, a WiFi teljesítőképessége kiváló, és támogatja a 2,4 GHz-es IEEE 802.11 b/g/n HT20/HT40 protokollt.
Az ESP-WIFI-MESH segítségével nagy kiterjedésű és nagy sávszélességű kapcsolatokat képes létesíteni például kereskedelmi világítás vagy okosotthonok számára. Fejlesztőrendszere támogatja a jelszókonfigurációs protokollt, a felhőkapcsolatot és a megbízható OTA (Over the Air Technology) vezeték nélküli szoftverfrissítést, amely elősegítheti a felhasználók számára a firmware-frissítések gyors elérését. Az ESP32-S2 a WiFi adatcsomagok TOF (repülési idő) távolságmérő funkcióját is hasznosítja a vezeték nélküli tartomány pontosságának és stabilitásának javítása érdekében.
Az ESP32-S2 sokrétű védelmi funkciót nyújt mind lokálisan eszköz szinten, mind a felhőben:
-
Biztonságos rendszerbetöltés RSA algoritmus alapján.
-
Az AES-XTS algoritmuson alapuló flashtitkosítás, amely biztosítja, hogy az ESP32-S2 külső flash és PSRAM érzékeny konfigurációs adatai és az alkalmazás kódrészletei mindig titkosítva legyenek.
-
A TLS (Transport Layer Security) stack alkalmazhat kriptogárfiai gyorsító hardverelemet, hogy javítsa a felhőkommunikáció teljesítményét.
-
Az ESP32-S2 biztonságát különösen erősíti, hogy a hardver és a szoftver ellenáll a hibainjektálásos támadásoknak, és egyben tápfeszültséghiba esetén is megakadályozza a titkos kulcs kiolvasását.
Espressif ESP32-S2 blokkvázlat
A beépített 240 MHz-es Xtensa® maggal az ESP32-S2 még külső MCU-k nélkül is megfelel a legnagyobb kihívásoknak is IoT termékek területén. A különböző energiafelvétel-vezérlő funkciók segítségével, mint az órajel és kitöltési tényező állítása vagy a WiFi-üzemmódok programozása, igazán alacsony fogyasztás érhető el az alkatrésszel. Az Espressif gyártásra kész szoftverek előállítására alkalmas keretrendszerével az ESP32-S2 egyensúlyt teremt a teljesítmény és a költség között, így kiváló megoldás lehet egy költséghatékony, gyorsan piacra kerülő és biztonságos IoT termék esetén.
Összegzés
Az IoT rendszerek növekvő biztonsági igényeit a modern beágyazott alkalmazások biztonsági funkcióinak támogatására szolgáló hardverelemek hozzáadása elégíti ki. Mint korábban említettük, ezt külső biztonsági elemmel, vagy az MCU-ba vagy a SoC-be integrált biztonsági funkciókkal lehet elérni. Ezek segítségével a biztonsági követelmények egyszerűbben, gyorsabban és megbízhatóbban kielégíthetőek.
Az EBV egy erős mérnöki háttérbázissal rendelkező disztribútor, amely jól ismeri az IoT követelményeit, az érintett szektorok elvárásait és az alkalmazott technológiák alapelveit. Ezáltal az EBV már a tervezési folyamat legelején segítséget tud nyújtani a tervezők számára, ezzel rengeteg időt és költséget megspórolva. Műszaki képzésekkel, fejlesztőkártyákkal és alkatrész ajánlásokkal is állunk ügyfeleink rendelkezésére.
EBV Elektronik Kft.
Gnyálin István
1117 Budapest, Budafoki út 91–93.
Tel.: +36 30 470 34 96
E-mail: Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.
www.ebv.com