fot. Mark Patrick, Mouser Electronics

Odkąd pierwsze systemy wbudowane podłączono do Internetu, potrzeba ich zabezpieczenia i szyfrowania przesyłanych danych stała się priorytetem. Dziś wachlarz metod dostępnych dla cyberprzestępców stale się rozszerza. Aby zapobiec włamaniom do urządzeń i pozyskiwaniu cennych danych, obecnie do ich ochrony wykorzystuje się zazwyczaj kilka popularnych protokołów szyfrowania asymetrycznego i symetrycznego. Lecz oprócz zabezpieczenia danych samo urządzenie musi być również chronione przed atakami sprzętowymi.

W tym artykule przedstawiono techniki zabezpieczeń systemów wbudowanych i omówiono zbliżające się zagrożenia ze strony kryptografii postkwantowej, szczególnie dla obecnie użytkowanych urządzeń Internetu rzeczy (IoT) oraz przemysłowego Internetu rzeczy (IIoT).

Systemy wbudowane stosowane są w szerokiej gamie urządzeń przemysłowych i konsumenckich już od dłuższego czasu. Pojawienie się mikrokontrolerów zapoczątkowało erę systemów wbudowanych, w której wszelkie urządzenia, od termostatów centralnego ogrzewania i zmywarek aż po samochody i statki kosmiczne, w pełni wykorzystują ich elastyczne i niedrogie możliwości. Jednakże zabezpieczanie mikrokontrolerów z cyfrowego punktu widzenia zostało uwzględnione w specyfikacjach inżynieryjnych dopiero niedawno. Jako izolowane wyspy obliczeń i sterowania, systemy wbudowane były początkowo samowystarczalne i stosunkowo odporne na ataki z zewnątrz. Lecz koncepcja łączenia urządzeń i systemów, zwłaszcza przez szybko rozwijający się IoT, wystawiła je na globalny dostęp internetowy. Dla nowego pokolenia hakerów i cyberprzestępców rosnąca liczba połączonych urządzeń stwarza okazję do poznania nowych sztuczek i doskonalenia swoich umiejętności. Jednakże nie chodzi tu tylko o próby uzyskania dostępu do takich połączonych systemów; ponownie wzrosło też zainteresowanie włamaniami poprzez różne ataki fizyczne i elektryczne.

Ilustracja 1 przedstawia podstawowe metody, jakimi napastnicy infiltrują i przejmują kontrolę nad systemami wbudowanymi. Jak widać, zakresy „powierzchni ataku” i „wektorów ataku” obejmują zarówno sprzęt, jak i oprogramowanie oraz sprawców lokalnych i zdalnych.

Ilustracja 1. Ataki na system wbudowany mogą pochodzić z wielu źródeł (źródło: Silicon Labs)

Analizując powierzchnie ataku należy pamiętać, że napastnik może nie tylko chcieć przejąć atakowane urządzenie, lecz również wykorzystać je w celu uzyskania szerszego dostępu do sieci. Potencjalne konsekwencje ataku mogą być więc poważniejsze i daleko wykraczać poza włamanie do pojedynczego urządzenia.

Zanim zagłębimy się w podstawy techniczne zabezpieczeń wbudowanych, przyjrzyjmy się ogólnemu obrazowi sytuacji i przeanalizujmy powody wdrażania zabezpieczeń. Hasła „bezpieczeństwo” często się nadużywa – co więc dokładnie mamy na myśli, mówiąc o zabezpieczeniu systemu wbudowanego, takiego jak urządzenie IoT? Zasadniczo obejmuje ono dwa cele: ochronę urządzenia przed atakiem lub wykorzystaniem do zorganizowania ataku, oraz ochronę informacji zawartych w tym urządzeniu. Ponadto atak niekoniecznie musi mieć na celu przejęcie lub zakłócenie działania urządzenia; jego celem może być też podsłuchanie komunikacji, uzyskanie dostępu do poufnych informacji handlowych i haseł lub poznanie sposobu działania systemu.

Utrzymanie bezpieczeństwa informacji i danych obejmuje wiele czynników, od ochrony danych użytkownika i danych geolokalizacyjnych aż po dobra intelektualne producenta urządzenia i ochronę wartości jego marki. W ostatnich latach doszło do poważnych włamań poprzez urządzenia uznanych na całym świecie marek, o znacznych konsekwencjach finansowych.

W związku z błyskawicznym przyjmowaniem się IoT/IIoT jednostki rządowe i przemysłowe szybko zidentyfikowały zagrożenia, na jakie narażone są urządzenia wbudowane i opracowały dla twórców tych rozwiązań szereg wytycznych, takich jak Cybersecurity Strategy for the Digital Decade Unii Europejskiej, brytyjska ustawa Product Security and Telecommunications Infrastructure Act oraz ioXt Alliance.

W dalszej części artykułu przeanalizujemy niektóre metody wykorzystywane przez cyberprzestępców do naruszania zabezpieczeń urządzeń wbudowanych oraz sposoby, jakie organizacje i inżynierowie mogą zastosować, aby ograniczyć powierzchnie ataku. Przyjrzymy się także kryptograficznym technikom szyfrowania i uwierzytelniania oraz temu, jak budują one podstawy bezpieczeństwa urządzeń wbudowanych.

Aby wspomóc programistów, organizacja ioXt Alliance opublikowała Zobowiązanie bezpieczeństwa (Ilustracja 2), obejmujące osiem zasad, z których tylko jedna dotyczy bezpiecznych interfejsów.

Ilustracja 2. Zobowiązanie bezpieczeństwa ioXt wskazuje osiem kluczowych priorytetów w zakresie bezpieczeństwa, aktualizacji i transparentności produktów IoT (źródło: ioXt)

Ataki logiczne poprzez interfejsy: na etapie rozwoju produktu zespół inżynierów może rutynowo używać kilku interfejsów sprzętowych i portów szeregowych (np. JTAG, UART, I²C, USB) do programowania i debugowania. Jednakże pozostawienie tych interfejsów i portów otwartych w urządzeniu wprowadzanym do produkcji stwarza potencjalny wektor ataku dla napastnika mającego fizyczny (inwazyjny) dostęp do urządzenia. Dostęp do tych portów pozwala wpływać na działanie oprogramowania i zastępować firmware urządzenia. 

Sondowanie: ta metoda wyszukuje powierzchnię ataku sprzętowego na poziomie płytki drukowanej. Obejmuje badanie zachowania sprzętu i przechwytywanie poziomów napięcia, sygnałów analogowych i cyfrowych oraz aktywności na magistralach szeregowych i portach GPIO.

Zabezpieczenie przed ingerencją: funkcje ochrony przed ingerencją są coraz częściej wbudowywane w zabezpieczenia sprzętu i oprogramowania, aby wykrywać powtarzające się działania hakerów nakierowane na znalezienie sposobu wymuszenia nieoczekiwanego zachowania oprogramowania sprzętowego i uczynienia go podatnym na ataki.

Zakłócanie (glitching): w tej metodzie napastnicy wytwarzają zakłócenia w szynach zasilających, zmuszając mikrokontroler do przejścia w stan nieprzewidziany, podatny na ataki. To podejście wymaga fizycznego dostępu do płytki drukowanej urządzenia. Celem jest wprowadzenie mikrokontrolera w stan, który otwiera uprzednio chronione porty lub omija zastosowane protokoły i metody zabezpieczeń.

Różnicowa analiza poboru mocy (DPA): jedna z kilku metod ataku drogą „kanału pobocznego” (Ilustracja 3). Wprawdzie niektóre ataki DPA nie wymagają dostępu do płytki drukowanej, lecz i tak wymagają bliskości urządzenia lub dostępu do źródła jego zasilania. Atak z wykorzystaniem kanału pobocznego ma na celu ominięcie wszelkich metod szyfrowania i uwierzytelniania poprzez obserwację wybranych cech działania urządzenia, takich jak pobór mocy lub generowane zakłócenia elektromagnetyczne (EMI).

Ilustracja 3. Ogólny przegląd wektorów ataków z kanału pobocznego (źródło: Mouser Electronics, na podstawie R. Vanathi i SP. Chokkalingam, „Side Channel Attacks in IaaS and Its Defense Mechanisms” [Ataki z kanału pobocznego w usłudze chmurowej IaaS i jej mechanizmy obronne]. International Journal of Engineering and Advanced Technology 8, nr 3S (luty 2019): 559)

Monitorowanie sygnałów elektromagnetycznych i szyn napięciowych mikrokontrolera wykonującego funkcje szyfrowania może umożliwić poznanie używanych kluczy kryptograficznych. Chociaż początkowo podejście to wymagało drogiego sprzętu testowego, obecne asortyment tanich specjalistycznych narzędzi dostępnych dla społeczności cyberprzestępców znacznie się poszerzył.

Ilustracja 4 przedstawia prosty atak wykorzystujący analizę poboru mocy na urządzenie wbudowane wykonujące funkcję kryptograficzną. Monitorując wahania napięcia zasilania mikrokontrolera można określić, jakie obliczenia wykonuje to urządzenie.

Ilustracja 4. Przebieg napięcia na mikrokontrolerze wykonującym funkcję kryptograficzną (źródło: Paul Kocher, Joshua Jaffe, Benjamin Jun i Pankaj Rohatgi, „Introduction to differential power analysis” [Wprowadzenie do różnicowej analizy poboru mocy] Journal of Cryptographic Engineering 1 (2011): 12. https://www.doi.org/10.1007/s13389-011-0006-y)

Szyfrowanie i deszyfrowanie to podstawowe narzędzia procedur bezpieczeństwa dla systemów wbudowanych. Część tych technik polega na użyciu szyfru – algorytmu przekształcającego informacje w zaszyfrowany tekst kodowany. Informacje mogą mieć praktycznie dowolną postać tekstową, od hasła po dane z czujnika. Algorytm szyfrowania wymaga klucza, a w przypadku algorytmów symetrycznych, takich jak popularny Advanced Encryption Standard (AES), klucz używany do szyfrowania informacji jest również wymagany do ponownego ich odszyfrowania do postaci zwykłego tekstu. AES istnieje już od ponad dwóch dekad i jest powszechnie stosowany. Początkowo AES korzystał z klucza o 128-bitowej długości, lecz wyewoluował do klucza 256-bitowego (AES-256). W teorii dysponujący wystarczającą mocą obliczeniową napastnik może złamać każdą informację zaszyfrowaną za pomocą AES-256. Według niektórych analiz taki atak „brute force”, wymagający sprawdzenia każdej z możliwych 2 bilionów wartości klucza, zająłby jednakże 2 × 10⁶¹ lat!

Algorytm AES jest niezwykle popularny, lecz jednym z wyzwań związanych z algorytmem symetrycznym jest konieczność współdzielenia klucza z wszystkimi powiązanymi urządzeniami. Aby zaradzić temu problemowi, algorytm RSA – nazwany tak od nazwisk jego autorów, Rivesta, Shamira i Adlemana – wykorzystuje parę kluczy: publiczny i prywatny. RSA stworzył koncepcję tzw. infrastruktury klucza publicznego (PKI), w której klucze publiczne mogą być swobodnie rozpowszechniane (Ilustracja 5).

Ilustracja 5. Proces kryptograficzny PKI wykorzystujący RSA (źródło: Mouser Electronics, na podstawie https://autrunk.wordpress.com/2016/12/20/cryptography-how-are-rsa-aes-and-sha-different/)

Kolejnym algorytmem kryptograficznym jest bezpieczny algorytm mieszający (SHA), który tworzy unikalny, krótki kod identyfikacyjny pliku, zwany skrótem (hash digest). Wszelkie zmiany w pliku, nawet na poziomie pojedynczego znaku, spowodują wygenerowanie innego skrótu. Algorytmy SHA są wykorzystywane w różnych celach, od sprawdzania poprawności pliku aktualizacji oprogramowania po podpisy cyfrowe. Tabela 1 przedstawia różnice pomiędzy poszczególnymi technikami kryptograficznymi.

Tabela 1. Podsumowanie różnic i zastosowań AES, RSA i SHA (źródło: https://autrunk.wordpress.com/2016/12/20/cryptography-how-are-rsa-aes-and-sha-different/)

Wiele mikrokontrolerów jest obecnie wyposażonych w kompleksowy zestaw funkcji bezpieczeństwa. Możemy tu wymienić np. rodzinę bezprzewodowych układów SoC EFR32BG24 firmy Silicon Labs z obsługą technologii ^Bluetooth® oraz rodziny LS00 i LS60 mikrokontrolerów serii PIC32CM firmy Microchip Technology.

EFR32BG24 firmy Silicon Labs oferuje wiele funkcji bezpieczeństwa Secure Vault™, w tym akceleratory kryptograficzne, sprzętowy generator liczb losowych (TRNG), bezpieczny rozruch w oparciu o łańcuch zaufania, zabezpieczenia przed ingerencją i środki przeciwdziałające DPA. Wysokowydajny 32-bitowy rdzeń Arm^® Cortex^®-M33 urządzenia uzupełnia sprzętowy akcelerator kryptograficzny, wspierający algorytmy klucza symetrycznego AES-128, AES-192 i AES-256. Obsługuje on także szereg algorytmów mieszających SHA używanych w podpisach cyfrowych. Możliwości bezpieczeństwa EFR32BG24 obejmują uznaną w branży technologię Arm TrustZone^®, ograniczającą od podstaw możliwości ataku poprzez izolowanie krytycznego oprogramowania zabezpieczającego, zasobów i prywatnych informacji od reszty aplikacji.

Mikrokontrolery o ultra-niskim poborze mocy PIC32M LS00 i LS60 firmy Microchip również wykorzystują technologię Arm TrustZone i oferują funkcje bezpieczeństwa takie jak akceleratory kryptografii symetrycznej i asymetrycznej, bezpieczny rozruch i elementy bezpiecznego magazynu kluczy.

Wraz z ewolucją technologii komputerowej nieuniknione jest złamanie w przyszłości algorytmów takich jak AES i RSA. Osiągnięcie potężnej mocy obliczeniowej wymaganej do ataku siłowego na te algorytmy w realistycznych ramach czasowych jest jeszcze odległe. Eksperci spodziewają się jednak, że wraz z pojawieniem się na rynku komercyjnych komputerów kwantowych, przewidywanym w ciągu najbliższych trzech dekad, obecne metody szyfrowania i podpisu utracą zdolność do ochrony informacji. Trwa opracowywanie i testowanie nowych metod szyfrowania opartych na bardziej złożonych problemach matematycznych. Rządowe i branżowe organizacje badawcze wzywają społeczność programistów systemów wbudowanych do przygotowania się na kryptografię postkwantową (PQC) poprzez współpracę z dostawcami półprzewodników, specjalistami ds. bezpieczeństwa i ekosystemami partnerskimi w celu uzyskania certyfikatów zgodności z nowymi standardami bezpieczeństwa. Mimo że okres trzydziestu lat wydaje się wystarczająco długi na przygotowania, w rzeczywistości wiele istniejących obecnie wdrożeń przemysłowego IoT będzie nadal w użyciu w momencie otwarcia dostępu do obliczeń kwantowych.

Zabezpieczenie systemu wbudowanego przed atakiem jest kwestią najwyższej wagi. Urządzenia połączone są wszędzie: w domach, biurach i fabrykach – nawet w naszych pojazdach. Każde z nich otwiera drogę do innych systemów, udostępniając rozległą powierzchnię ataku każdemu cyberprzestępcy chcącemu zakłócić działanie systemu lub sieci bądź przejąć nad nimi kontrolę.

W tym krótkim artykule omówiono niektóre potencjalne wektory ataków i metody, jakie hakerzy mogą zastosować w celu złamania zabezpieczeń urządzenia IoT/IIoT. W artykule wyjaśniono także pokrótce metody szyfrowania asymetrycznego i symetrycznego oraz techniki mieszania.

Więcej informacji na temat zabezpieczania urządzeń wbudowanych można znaleźć w wydaniu Data Security czasopisma Methods firmy Mouser, poświęconego technologiom i rozwiązaniom.