物联网的恶意代码

从根本上说,恶意代码家族最初是由一个或多个不同的恶意代码样本。为了清楚起见,恶意代码,在全球范围内作为一个涵盖性术语用于所有类型的恶意程序代码。然而,在本文中,这个词被应用到静态代码而不是变形代码,是在前一篇文章讨论。这里讨论的重点是恶意代码的类型必须由程序员创建和修改。

这样的代码工作仅仅因为纯粹的数字已可供操作的代码示例,事实上,有很多有害的个人工作。与亲密的知识专家程序员,代码是如何工作的,是非常危险的因为人为因素的认识意识,即理性思考和分析重新编码而不是mathematically-based算法排列。与恶意代码与变形的代码,它可以很难“第二次猜”这个编码器,因此很难使用基于模型的预测理论。

根据Roel Schouwenberg,卡巴斯基实验室的主要安全研究人员之一”变形代码可以在几个不同的方式开发,通常取决于复杂性。不那么复杂的攻击者可能仅仅添加随机的,死代码文件的末尾。更精炼的方法是改变的外观系统上的文件,因为它是被复制。例如,这可以通过改变对代码块使用不同的加密密钥。服务器端多态性通常是通过重新编译代码使用不同的编译器设置,不同的封隔器或封隔器设置,或自动移动的代码块在编译之前。”

事实上,恶意代码发展非常像软件开发标准。“它使用标准软件工具,包括编程语言,SDK,编译器,“Ambuj Kumar说,系统架构师Rambus的密码学研究部门。“通常,更简单的代码可以直接写在机器操作码(CPU指令,固件指令,或硬件命令)。然而,更复杂的代码可以用高级语言写的像C,然后编译成机器代码。”

什么,如何
恶意代码可以找到几乎任何地方,在任何类型的项目。它可以包含在Java applet, ActiveX控件,脚本语言,浏览器插件,甚至在内容。它可能导致任何东西,从一个简单的麻烦,比如笑脸随机出现在你的屏幕上,擦拭你的驱动器,你所有的机密数据泄漏和介于两者之间的任何东西。它的普遍性是什么让它如此致命的、难以控制。发现它是无限的,它可以做什么以及它在哪些方面能做到。

的一个糟糕的方法注入恶意代码,或篡改设备,是通过“后门”。“这是用来访问计算机,或物联网/一切/云的事情(物联网/ E、床)对象代码驻留在。这种攻击向量具有深层意义的物联网/ E,床,因为它可以放置在几乎任何自治对象物联网/ E,床和用来妥协的任何系统访问的对象。

后门在PC平台上已经有了相当的了解(这里最重要的词是相当)。这样与物联网/ E,情况就不一样了,床。有物联网的重要关注对象/ E,床,因为这些对象的一些变量(成本、可用代码内存标准、互操作性、操作平台等)尚未定义。因此,几乎没有关注保护这些对象从今天开始。

有两个后门的向量。首先是创建一个后门,恶意,妥协的系统已知的漏洞攻击。第二,或许更危险的两个,具有讽刺意味的是,“无辜的或意外的“后门”。这个后门通常是由程序员提供无限制的访问应用程序故障排除或秘密紧急访问(回忆这部电影“战争游戏?”)他们甚至可以创建无意中通过编程错误。这些是那些可以做很多伤害在步履蹒跚,因为可以有更多的变量和混乱比故意恶意后门程序。

后门和物联网/ E,床
研究表明,物联网/ E,床固件是饱受贫穷的加密和敞开的后门。最近的大规模分析的一个基本类型的固件是多产的物联网/ E,床(云的事情),显示弱的安全实践,将巨大的黑客探测它的机会。

固件是管理高层之间的交互软件和底层硬件。发现在各种计算机硬件,但是它在嵌入式系统是最脆弱的。

编码的固件是最简单的利用。低端(便宜的)设备将有一个最小的指令集和不安全。通常这些都是独立的周边设备如打印机、路由器、安全摄像头,等,在今天的网络,但将包括所有的自治设备设想在新兴的物联网/ E,床。这包括众所周知的智能牙刷和智能车辆,以及奥威尔式的愿景sub-dermal微芯片链接我们的一切和任何在物联网/ E,床。

为了学习多么breach-able这样的嵌入式设备,研究人员Eurecom在法国,一个强调技术研究生院,开发了一个网络爬虫,摘超过30000固件镜像从制造商的网站如西门子,施乐,博世,飞利浦,友讯科技、三星、LG和贝尔金。

潜在安全漏洞的数量中找到这些固件图像是惊人的。除了加密机制保护不善,几乎所有设备的后门,可以利用允许访问设备。在几乎所有的设备固件设计运行,超过35漏洞被发现。

研究主要在消费设备,竞争非常激烈。“企业往往承受着巨大的压力,释放产品迅速领先竞争对手,”指出Aurelien Francillon,这项研究的合著者和助理教授Eurecom网络和安全部门。“你必须首先和廉价,Francillon说。困难的部分是,安全,廉价是分布相反时大部分的物联网/ E,床对象,因为大多数嵌入式设备将低端的对象链。

比你想象的更普遍
在最近的一个案例中,一个后门被发现在某些组合路由器/ DSL调制解调器。它允许攻击者重置路由器的配置和访问管理控制面板。攻击,确认工作几个路由器和美国网件公司DSL调制解调器,利用开放的端口可通过无线局域网。

的路由器,这后门要求攻击者是在本地网络。然而,事实证明,这些路由器也有后门开放互联网。这意味着一些设备的远程攻击,很容易。在设备不开放的互联网,这是一个简单的过程,任何精明的黑客补丁到一个本地网络。一次,黑客可以霸占设备开放互联网访问所有其他网络设备,以及与网络相连接的影响,可能最好被描述为火山。

未来
最近,一家名为Proofpoint的研究发现或许只是一个提示。据该公司介绍,第一次大规模物联网被发现。构建发现妥协器具包括从路由器和智能电视至少一个智能refrigerator-sent超过750000恶意电子邮件之间的目标12月26日,2013年1月6日,2014年。尽管一个后门。

发现作为一个构建安全研究员发现成千上万的飙升恶意发送的消息从一个范围的ip。发出砰的一个设备提出一个登录屏幕说:欢迎来到你的冰箱。“密码”输入通常默认密码打开访问设备。

可以做些什么来阻止这样的代码呢?有硬件的技巧和陷阱,可以识别和取消这样的代码实现设备上?

“证明的情况下总是比证明存在一个较难的问题,”Kumar表示。“换句话说,很难证明没有额外的恶意代码。”,还有大量的其他变量发挥作用,最重要的是,公司不愿意花资源对象可能razor-slim利润率。指望他们,至少今天,寻找方法,以防止可能会或可能不会是一个令人生畏的客观存在。

哪里有支持安全,传统的验证都集中在验证芯片的功能对其规范。这种类型的验证不能揭示存在恶意功能。在许多情况下,这样的功能会潜伏在这种测试和被忽视。蛮力向量的方法尝试详尽的列表也不会成功,因为这样的列表是一个指数大的数字。

“目前,袭击者的优势是,“Schouwenberg补充道。“大多数的新类型的设备的网络连接被释放,也被称为物联网,不附带任何内置的安全。他们通常也不提供标签安全控制的能力。同时嵌入式安全研究日益受到关注。我们迫切需要更多、更通用的嵌入式设备安全控制。”

结论
随着智能时代的黎明的一切,它将见证一系列设备,属于竞争消费品的伞。许多(如果不是大多数的话,将低利润。很快,数以百万计的对象,如电视、网络家电、冰箱、烤箱、甚至烤面包机和牙刷将自动连接到物联网/ E,床。

这样的设备是微不足道甚至只是业余黑客妥协,打开各种新的机会为恶意的行为。构建警告说,什么是本文中讨论可能成为最温和事件,,只是冰山一角。

大多数今天的嵌入式操作系统部署在固件往往是旧的,不是经常打补丁,几乎所有有已知的漏洞。然而,供应商似乎走的道路反应,而不是主动的行动至少在发生,他们将花费大量的金钱。