【摘 要】 本文提出了構建C-IoT終端安全防護能力和方案的建設技術和思路,強調安全是保證裝置安全入網的關鍵環節,並在闡述C-IoT終端安全總體框架和方法的基礎上,總結並提出瞭如何依照“等保2.0”要求開展C-IoT終端安全測評的建議。
【關鍵詞】 等保2.0 新特性 C-IoT 終端安全 安全風險
【中圖分類號】 TP391 【文獻標識碼】 A
1 引言
蜂窩物聯網(Celluar Internet of Things,C-IoT)即基於蜂窩無線通訊系統的物聯網技術,是一種將物理裝置(如感測器)與網際網路連線起來的方式,它將物理裝置(如感測器)與智慧手機搭載在同一個行動網路上。因其基礎設施簡單,在5G出現後,C-IoT正逐漸成為連線領域的一個強有力的參與者。
C-IoT終端是蜂窩物聯網資料的入口,所以在一定程度上,我們可以認為C-IoT終端安全就是整個蜂窩物聯網安全的源頭。當前,C-IoT相關技術已經滲透並深入應用到智慧城市、智慧農業、智慧糧庫、智慧能源、智慧海洋、智慧醫療等領域,涉及關鍵資訊基礎設施的各個方面,C-IoT的安全問題成為了關鍵資訊基礎保護的重中之重。
2 C-IoT終端安全風險體系分析
《等保2.0要求》第四部分“物聯網擴充套件安全要求”中包括技術要求和管理要求2個部分,技術要求包括4個部分:物理和環境安全、網路和通訊安全、裝置和計算安全、應用和資料安全。結合等保2.0擴充套件安全要求的技術要求和C-IoT終端本身的技術架構,我們可以將C-IoT終端安全威脅分析體系模型分為4個部分,如圖1所示,具體為硬體和物理安全風險、系統和訪問控制安全風險、應用安全風險、資料安全風險。
硬體和物理安全風險。首先,市面上主流晶片的技術規格及開發規範可以透過網際網路輕鬆找到,駭客可以從官網或者直接從晶片上獲取韌體後進行分析,找到漏洞並利用。其次,很多裝置的開發介面,如UART,TTL,SPI等,程式設計介面在出廠時未禁用,這些暴露的介面可能被駭客利用來破解裝置執行機制和替換非法韌體,從而引發系統安全問題。
系統和訪問控制安全風險。由於部分C-IoT終端硬體資源受限,傳統的系統安全防禦技術很可能會因此無法使用,研究人員透過分析大量嵌入式裝置系統韌體,發現其主要存在3個問題:終端系統安全設計的缺失、原有安全機制的直接沿用、沒有充分利用自身硬體架構特性。現有C-IoT終端系統在設計之初,普遍只關注其功能要求,大多並沒有考慮對系統安全進行額外的設計,即使像ARM的mbed作業系統在設計時將安全考慮在內,但其對於作業系統本身也並沒有採取有效的保護措施,僅僅是為了保護通訊安全添加了如SSL功能,啟動程式碼沒有進行合法性、完整性驗證,系統和預置應用元件等漏洞未及時修補,系統許可權開放過多或許可權限制不嚴格等問題普遍存在。
應用安全風險。由於C-IoT終端受制於成本控制,導致裝置廠商會偏向於採用現有方案,所以絕大多數廠商會選擇開源的軟硬體方案。大面積開源方案的採用也導致了軟體供應鏈的安全成為裝置廠商盲區,如果產品大量部署後,某個開源方案或者元件被發現漏洞,那麼因這個漏洞被駭客利用而造成的後果將很可能不亞於Mirai病毒事件的影響。
資料安全風險。首先,如上文所述,C-IoT終端是蜂窩物聯網資料的源頭,而每個終端以及終端之間的互動通常都會涉及大量個人隱私資訊或者其他業務資料,當前,在成本控制的前提下傳統資料安全保護機制無法引入,敏感資料缺少保護機制。其次,沒有統一的規範來明確資料採集、傳輸和訪問控制範圍,很多裝置存在未經使用者允許,裝置擅自採集大量的使用者隱私資訊的行為。除此以外,隱私資訊儲存位置不安全或者未加密,資料訪問控制權限過高等缺陷將會帶來嚴重的資料洩露風險,這些資料很有可能被攻擊者直接篡改或者加以利用。
3 C-IoT終端安全
為了加強C-IoT終端安全的管理,針對各產品型別的C-IoT終端安全水平進行客觀、綜合評價,保證蜂窩物聯網終端發展與資訊保安措施同步規劃、同步建設、同步執行,提升蜂窩物聯網終端安全整體水平,更好地貫徹和落實國家網路安全法和等保2.0的相關安全要求,切實保護國家利益,進行安全評估是行之有效且必需的安全方案。
3.1 C-IoT終端安全體系架構
透過研究等保2.0要求第四部分物聯網擴充套件安全要求(以下簡稱等保2.0擴充套件要求),同時結合上文提出的C-IoT終端安全威脅分析模型,我們可以將C-IoT終端安全模型也分為4個部分,如圖2所示。具體包括了裝置的物理訪問控制、身份鑑別、系統許可權限制、系統更新安全機制、內建應用安全、資料傳輸、資料儲存及日誌安全等方面。
3.2 硬體安全技術
硬體安全的重點其實就是硬體(硬體介面和晶片管腳)的分析和除錯,與軟體的介面(Application Program Interface,API)一樣,硬體也有很多種介面,不同介面使用不同的通訊協議,由於硬體產品經常是多種硬體協同工作,它們之間的資訊互動正是透過這些硬體介面實現的。同樣,透過嗅探這些介面,我們就可以獲取這些互動資料,對應等保2.0擴充套件要求驗證互動資料,從而達到硬體安全的目的。
硬體的第一步是獲取裝置元器件的電路圖。取下裝置的外殼後,對應等保2.0擴充套件要求,驗證相關物理安全要求,之後去除積體電路晶片上的物理保護塗層,就可以進行積體電路晶片的識別了,基本所有IC晶片都可以透過搜尋引擎找到配套的資料手冊,而資料手冊中就包含了零件包裝、電器特性、管腳圖等重要資訊。硬體的第二步是硬體除錯,而硬體除錯又分為匯流排除錯和介面除錯。
3.2.1 匯流排除錯技術
對於匯流排除錯來說,與網路資料傳輸不同,硬體間匯流排傳輸的資料往往沒有進行保護,因此較為容易被執行資料攔截、重放等操作來進行除錯。要對硬體裝置匯流排進行除錯,需要將探針連線到不同晶片的管腳上,然後調整邏輯分析儀的頻率,隨後透過邏輯分析儀記錄下匯流排傳輸的0、1訊號並進行資料解碼。透過觀察解碼後的資料,我們可以對等保2.0擴充套件要求中資料來源認證、感知裝置訪問控制以及裝置安全等相關安全要求進行驗證。
3.2.2 介面除錯技術
獲取總線上的資料有時非常容易,但有時候又會無比困難,而這時我們就可以使用介面除錯來對C-IoT終端進行硬體安全測試。通常來說,C-IoT終端為了出場的測試或者後期的維護,都會設有除錯介面,如通用非同步收發傳輸器(Universal Asynchronous Receiver/Transmitter,UART)、聯合測試工作組介面(Joint Test Action Group,JTAG)、序列外設介面(Serial Peripheral Interface,SPI)等。和匯流排一樣,嗅探這些介面同樣可以獲得硬體互動資料。
UART,即通常所說的TTL電平的串列埠,是筆者接觸到的C-IoT終端中,最為廣泛的除錯介面,通常用於與嵌入式系統除錯通訊,如圖3所示。這種介面通常會對應一個虛擬控制檯(TeleTYpe,TTY)裝置,一旦登陸成功便很可能會獲得管理員許可權(root shell),這時對應等保2.0的安全需求,我們可以直接透過命令列或者檢測指令碼進行密碼規則(包含密碼有效期、密碼格式、密碼長度等)、賬戶許可權分配、終端狀態(記憶體、埠、處理器佔用情況等)等安全要求的合規性驗證。
3.3 韌體安全技術
多數C-IoT終端需要一些定製化的韌體才能正常工作,透過研究這些韌體可以獲得大量的裝置資訊,包括預設口令、管理埠或者除錯介面等。在等保2.0中,很大一部分的入侵防範安全要求、身份鑑別安全要求以及資源控制安全要求是可以透過韌體安全進行驗證的,所以韌體安全是C-IoT終端安全的重要一環。
3.3.1 韌體提取
想要進行韌體安全分析,第一步要進行韌體的提取,一般來說韌體提取的方式分為兩類。
第一類,程式設計器讀取法。透過飛線將韌體晶片管腳接出,如圖4所示,連線好韌體晶片的管腳,透過夾具連線晶片到程式設計器,再透過專用程式設計器軟體,對該晶片進行讀取。除飛線外,也可以將韌體晶片拆除後直接放到程式設計器讀取。
第二類,命令列匯出。如果終端使用的是嵌入式Linux,那麼通常儲存的韌體會被掛載到/dev/mtd。此時我們便可以透過命令列匯出mtd0的內容,從而實現終端韌體的匯出。
3.3.2 韌體
韌體安全目標包括韌體漏洞驗證、賬戶安全、系統配置安全、系統升級安全等,透過對C-IoT終端韌體的資訊檢測、第三方元件檢測,發現與等保2.0相關要求不符合的內容,其主要的方式是透過靜態和動態兩種方式進行。
靜態手段包括但不限於程式碼分析、程式碼審查、質量度量等。靜態分析不必執行被測系統程式碼,而是藉助專用的軟體工具對源程式進行分析,主要分析韌體檔案的介面資料部分和表示式部分。介面資料分析涉及子程式以及函式之間的介面一致性,包括檢查參與實參型別、個數、維數、順序的一致性;而表示式分析則是找出其可能存在不正確使用括號造成的錯誤、陣列下標越界造成的錯誤、除數為零造成的錯誤、對負數開平方的錯誤,其中最複雜的一類表示式分析是對浮點數計算的誤差進行檢查。
動態包括但不限於資料流分析、控制流分析、介面分析、表示式分析等。資料流分析通常是用資料流圖來分析資料處理的異常現象,這些異常包括初始化、賦值或引用資料等。對資料流的分析主要包括對過程或函式呼叫資訊的分析以及對資料流的反常分析。主要集中關注定義/引用異常的缺陷(定義的變數沒有使用,使用的變數沒有定義)。而透過控制流分析可發現以下錯誤:無條件跳轉的使用、不適當的迴圈巢狀和分支巢狀、死迴圈、轉向不存在的語句標號、呼叫不存在的子程式、未使用的變數、子程式定義、不可達語句等。
3.4 應用安全技術
應用安全目的是進行應用漏洞分析、應用配置安全評估、確保業務安全等。手段主要是動靜態結合的分析方式,透過靜態反編譯應用軟體或者利用虛擬環境動態執行應用檔案監聽應用行為軌跡,從而分析出應用漏洞及異常,這個過程需要藉助應用模擬器、二進位制分析工具等。
導致應用程式漏洞的最主要原因是開發階段導致的錯誤,因此保證開發中的應用沒有任何嚴重的安全問題至關重要。根據等保的要求,應用在上線前,應由內部安全團隊或者外部專業安全公司進行一次全面的應用安全評估。在模擬真實執行環境中對應用進行動態分析或者對應用的二進位制包進行逆向靜態分析,這是較為通用的做法,這裡不重複贅述。
3.5 資料安全技術
資料安全的目的是對C-IoT終端的資料儲存和資料傳輸進行安全保障,其中資料主要指的是韌體資料、終端隱私資料(賬號密碼、日誌、剩餘資訊、業務互動資料)等資訊。在等保2.0中,資料可用性、資料完整性等安全要求就可以透過這一部分內容的安全性進行驗證。
3.5.1 資料儲存安全技術
資料儲存安全技術主要涉及硬體層和系統層,透過硬體工具和技術手段將晶片中的韌體和檔案系統匯出,從而提取出裝置中的二進位制資料,我們重點關注的是這些二進位制檔案中包含的韌體檔案系統儲存的使用者名稱密碼、系統配置檔案、日誌等資料。
通常來說,我們將測試分為3個部分,包括資料完整性、資料訪問控制、資料安全隔離。資料完整性驗證是指對C-IoT終端資料進行讀取操作時的完整性檢測,驗證終端是否具備可以發現數據的完整性被破壞,以及防止未授權實體對資料進行篡改、刪除和插入等操作的能力;資料訪問控制驗證是指當非授權實體訪問終端資料時,驗證終端系統是否具備終止非授權的訪問行為並提供告警資訊的能力;資料安全隔離驗證是指當透過裝置外部介面進行裝置訪問時,終端是否具備將系統配置資料、使用者資料等按賬戶或其他區分原則進行安全隔離的能力。
3.5.2 資料傳輸安全技術
C-IoT終端傳輸技術主要基於無線傳輸,通常無線傳輸是基於系統層功能實現的。透過以下安全技術可以對Wi-Fi、藍芽和ZigBee等協議進行通用的安全保護。安全技術包括通訊嗅探(Sniffing)技術、重放攻擊技術、加密金鑰的安全性和獲取的容易程度、透過無線電波控制智慧硬體裝置、協議自身的安全評估等。
在等保2.0中,資料傳輸安全的測評主要包括保密性、完整性、抗干擾性和抗抵賴性。我們可以透過一系列的嗅探技術來驗證終端資料在傳輸時是否滿足等保的安全要求。
4 結語
隨著C-IoT終端深入人們的生活,人與C-IoT終端的關係越來越密切,而C-IoT終端上所承載的隱私資料也越來越多,C-IoT終端受到的攻擊越來越多,影響也越來越大。C-IoT的發展離不開穩定的C-IoT生態環境,大量針對C-IoT的攻擊不僅會打擊消費者對產業的信心、興趣以及從業者的熱情,情況惡化之後甚至會影響國計民生。而等保2.0的釋出對於C-IoT安全產業來說是一針強心劑,如果企業貫徹落實等保2.0的安全要求,機構認真踏實地做好測評服務,這將為建設綠色C-IoT生態環境起到至關重要的作用。
(原載於《保密科學技術》雜誌2021年2月刊)
