基于恩智浦(NXP)防范新的釣魚詐騙攻擊

隨著攻擊者與攻擊計(jì)劃變得日益縝密和成熟，加上消費(fèi)者越來(lái)越能接納新的技術(shù)，在推動(dòng)物聯(lián)網(wǎng)擴(kuò)展的同時(shí)，也提高了接收物聯(lián)網(wǎng)邊緣節(jié)點(diǎn)“誘餌”的機(jī)率。如何做好準(zhǔn)備以防范新的釣魚詐騙攻擊？

?

想像一下，在你的紀(jì)念日、生日或節(jié)日，有新的包裹指名遞送給你。你滿懷期待地打開包裹，發(fā)現(xiàn)里面是最新的物聯(lián)網(wǎng)(IoT)科技小物，也許是活動(dòng)紀(jì)錄器，或甚至是可連網(wǎng)的灑水系統(tǒng)控制器，總之是你一直想要的東西。您(你)心想：“太棒了！”，但這到底是誰(shuí)送的呢？把送件人這件事先放一旁，你迅速將裝置安裝好，并使用家中Wi-Fi網(wǎng)絡(luò)的登入資料，將此裝置與你的智慧型手機(jī)配對(duì)。砰！此刻，不知不覺(jué)中，你為攻擊者制造了機(jī)會(huì)，讓他能取得你寶貴的資料。

?

到現(xiàn)在，大部份的人都知道釣魚詐騙(phishing)電子郵件是用來(lái)將惡意軟體置入個(gè)人運(yùn)算裝置，但如果像上述情境，網(wǎng)絡(luò)釣魚攻擊利用物聯(lián)網(wǎng)的邊緣節(jié)點(diǎn)做為誘餌呢？隨著攻擊者與攻擊計(jì)劃變得日益縝密和成熟，上述情況也變得越來(lái)越有可能發(fā)生。除了攻擊者的專業(yè)知識(shí)不斷增加之外，消費(fèi)者越來(lái)越能接納新的技術(shù)，推動(dòng)物聯(lián)網(wǎng)的擴(kuò)展，也增加接收物聯(lián)網(wǎng)邊緣節(jié)點(diǎn)“誘餌”的機(jī)率。

?

?

?

?

所以，上述情境中，有哪些地方做錯(cuò)了？主角原本可以做些什么來(lái)防止事情發(fā)生？有許多情境可能造成此類攻擊的成功，這些攻擊將熟悉的產(chǎn)品改變用途，成為惡意攻擊的工具。裝置制造商并未適當(dāng)?shù)乇Ｗo(hù)最初安裝的韌體，以及裝置部署后發(fā)布的韌體更新。

?

正如實(shí)現(xiàn)加密法的暗門功能，在制造和開發(fā)嵌入式裝置的過(guò)程中，可以采取一些簡(jiǎn)單的步驟，讓此類攻擊特別難以在裝置實(shí)際使用時(shí)進(jìn)行。運(yùn)用正確技術(shù)，即可將韌體置入內(nèi)建記憶體中，并將其永久鎖定。韌體更新也可以用加密方式來(lái)保護(hù)。

?

讓我們來(lái)檢視如何使用恩智浦(NXP)的安全技術(shù)防止此種攻擊威脅。恩智浦的Kinetis微控制器(MCU)及啟用的開機(jī)載入程式Kinetis Bootloader或KBOOT，整合軟硬體功能，實(shí)現(xiàn)安全的韌體初始布建，并保護(hù)終端裝置未來(lái)下載的韌體。KBOOT是安裝于快閃記憶體或ROM中的開機(jī)載入程式，搭配其他內(nèi)建工具，可在整個(gè)產(chǎn)品生命周期間，啟動(dòng)Kinetis MCU的程式設(shè)計(jì)作業(yè)。

?

?

?

?

這個(gè)KBOOT啟動(dòng)程式提供軟體防火墻，并可使用加密的硬體加速功能，來(lái)處理將韌體編程至內(nèi)建或外部記憶體的作業(yè)，進(jìn)而運(yùn)用Kinetis MCU的安全技術(shù)。KBOOT可辨識(shí)晶片層級(jí)的安全設(shè)定。在某些裝置上，一旦進(jìn)入安全模式，使用KBOOT進(jìn)行韌體編程的唯一方式，就是利用加密的二進(jìn)位(Binary)檔案。任何試圖更新韌體的動(dòng)作都會(huì)失敗。這代表只有安全二進(jìn)位金鑰(Secure Binary Key)的持有者所建立的檔案，才能被接受，并使用KBOOT將韌體下載至Kinetis MCU。

?

KBOOT隨附完整的原始程式碼，具備高度可自訂性，能夠進(jìn)行更多的客制化修改，來(lái)加強(qiáng)應(yīng)用程式韌體的安全性。例如，Kinetis MCU可以設(shè)定將開機(jī)載入程式置于快閃記憶體中，并透過(guò)晶片的安全設(shè)定，來(lái)讓此程式變得無(wú)法修改。有了這項(xiàng)保護(hù)機(jī)制，攻擊者就必須完全移除和更換IC晶片，才能進(jìn)行復(fù)制。由于KBOOT是開放原始碼軟體，因此可以加以修改，來(lái)量身打造終端使用者所要的加密和完整性檢查演算法。建置超強(qiáng)大安全機(jī)制的一項(xiàng)可能做法，就是除了KBOOT之外，再另外使用嵌入式安全元件，利用安全伺服器來(lái)新增裝置的驗(yàn)證機(jī)制，以強(qiáng)化整個(gè)產(chǎn)品生命周期的安全性。

?

身為消費(fèi)者，對(duì)于此種針對(duì)式的網(wǎng)絡(luò)釣魚攻擊，我們能做的實(shí)在不多。即使知道攻擊發(fā)生的可能性，也無(wú)法確保我們能隨時(shí)受到保護(hù)。但是，恩智浦提供因應(yīng)此種威脅的解決方案，透過(guò)KBOOT軟體和Kinetis MCU，將讓嵌入式開發(fā)人員更輕松地整合所需的韌體保護(hù)功能，以確保這些攻擊能夠化解。