嵌入式一直是個熱門話題,很多人都在討論嵌入式方面的問題,尤其是在嵌入式安全性方面大家尤為謹慎,那么嵌入式工程師要怎么來提高設備的安全������性呢?下面是嵌入式安全性的七個要點。
1.不(bu)是RTOS而是用戶代碼(ma)
有許多RTOS供(gong)(gong)應(ying)商非常擔心這(zhe)些嵌(qian)入式系統中(zhong)(zhong)(zhong)的(de)后門和缺(que)陷通常存在于(yu)何(he)(he)處。安全漏洞通常出現在用戶開發的(de)代(dai)碼中(zhong)(zhong)(zhong),而(er)不是(shi)RTOS本(ben)身。其中(zhong)(zhong)(zhong)一個(ge)原因是(shi)RTOS往(wang)往(w�������ang)是(shi)一個(ge)小(xiao)功能集(ji)合,它(ta)們(men)操縱(zong)低級硬(ying)件并(bing)且不會出現任何(he)(he)“低懸的(de)果實”。相反(fan),黑客更(geng)愿意首(shou)先查(cha)看可能為其提供(gong)(gong)設備管理(li)權(quan)限的(de)任何(he)(he)基于(yu)Web的(de)管理(li)代(dai)碼。
2.當心(xin)第三方代碼
據調查顯示,許多(duo)安(an)全漏洞是(shi)第(di)三(san)(san)方(fang)代(dai)碼的結導致(zhi)果,這(zhe)些代(dai)碼包含在(zai)為每個(ge)OEM修改過的設(she)備中。第(di)三(san)(san)方(fang)代(dai)碼應(ying)該針對任何(he)潛在(zai)的缺陷進行審(shen)查和審(shen)查,而(er)不僅僅是(shi)假(jia)設(she)它是(shi)�����完(wan)美無(wu)缺的。
3.分析工(gong)具很便宜
人(ren)們可能會認為下載,分析和發現(xian)安全漏洞所需的工(gong)具相(xiang)對(dui)昂貴,而且對������(dui)于許�����多潛在的黑(hei)客來說是遙(yao)不可及的。所以很(hen)多人(ren)會把這個過程去(qu)除。
4.禁(jin)用(yong)WAN訪問(wen)權限(xian)
嵌(qian)(qian)(qian)入式開發(fa)人(ren)員似乎(hu)認為他們的(de)嵌(qian)(qian)(qian)入式設(she)備(bei)(bei)位于本(ben)地網(wang)絡上并(bing)且禁止訪問(wen)WAN,那么為什(shen)么要關注可能(neng)存(cun)在的(de)安全漏洞呢?如果設(she)備(bei)(bei)無法訪問(wen)互(hu)聯(lian)網(wang),那么黑客(ke)(ke)就(jiu)無法訪問(wen)該(gai)設(she)備(bei)(bei),但卻不知(zhi)道該(gai)技術允(yun)許潛在的(de)黑客(ke)(ke)使用只(zhi)有圖像(xiang)標簽的(de)網(wang)頁(ye)來啟用嵌(qian)(qian)(qian)入式設(she)備(bei)(bei)中的(de)WAN訪問(wen)。然后,這允(yun)許黑客(ke)(ke)訪問(wen)設(she)備(bei)(����bei)和網(wang)絡的(de)其余(yu)部分(fen)。
5.注意文(wen)本字符(fu)串文(wen)本字符(fu)串的
任(ren)何有(you)興趣查看文本(ben)的人(ren)都可以(yi)輕松�������(song)閱讀和理解文本(ben)。所以(yi)開發人(ren)員����要非常(chang)小心設計中存儲的未加(jia)密的信(xin)息和數據(ju)。
6.保護固件
黑(hei)(hei)客(ke)(ke)需要(yao)能夠查(cha)看和反向(xiang)(xiang)工(gong)程代碼才(cai)能輕松找到漏洞。防止黑(hei)(hei)客(ke)(ke)以任何格式訪問(wen)代碼會使他(ta)們(men)的工(gong)作(zuo)變(bian)得更(geng)加困難(nan)。例如,不要(yao)提供可以下載(zai)并閃(shan)存(cun)到設備的完(wan)整二進制固件更(ge����ng)新映(ying)像。黑(hei)(hei)客(ke)(ke)也可以下載(zai)圖(tu)像,然后對其行為進行反向(xiang)(xiang)工(gong)程。
有時候,當更新圖(tu)像不可(ke)用時,黑客只會購買設備并從硬(ying)件下載(zai)代(dai)碼。防(fang)止黑客這(zhe)樣(������yang)做的(de)最好(hao)方(fang)法(fa)(fa)是(shi)保護嵌入式(shi)閃存。許多微控制器和微處理器具(ju)有固定閃存的(de)方(fang)法(fa)(fa),使(shi)其(qi)無法(fa)(fa)讀取。使(shi)用這(zhe)兩種(zhong)方(fang)法(fa)(fa)不會使(shi)設備絕對(dui)安全(quan),但它(ta)們將使(s�������hi)其(qi)更難以利(li)用。
7.嵌入式軟件工程師需要關注安全性
進(jin)入(ru)市場(chang),增加產(chan)品(pin)功能(neng)以及創建強大產(chan)品(pin)的壓力經常讓開發人員爭先恐后地將產(chan)品(pin)推向(xiang)市場(chang)。但是(shi),一旦該產(chan)品(pin)進(jin)入(ru)這個世界,就(jiu)不(bu)知(zhi)道它將會存在(zai)多長時間,或者它如何被用于惡意目的。即使是(shi)最簡單(dan)�������的連(lian)接設備(bei),忽略安全隱患也可能(neng)導致黑(hei)客獲得真正(zheng)造成麻煩所(suo)需的計算能(neng)力。
安全(quan)設計是一個動態(tai)的(de)、與具體的(de)系(xi)(xi)統(tong)(tong)相關的(de)過程,且(qie)往(wang)往(wang)很復雜(za)。對于(yu)本(ben)文中(zhong)談(tan)論的(de)每種安全(quan)話題,都有大量研(yan)究和(he)專門技術(shu)資料(liao)供設計師研(yan)究和(he)學習。在開(kai)始(s������hi)進行設計時,最(zui)重要的(de)事情就是盡(jin)早開(kai)始(shi)安全(quan)需求評估,定(ding)義(yi)系(xi)(xi)�����統(tong)(tong)安全(quan)目標,并經常性地根據系(xi)(xi)統(tong)(tong)用(yong)途及(ji)市場的(de)變化來確定(ding)是否最(zui)初的(de)威脅已經改變或(huo)擴展。
以上介紹的就是關于嵌入式安全性的7個要點了,在看過上面關于嵌入式的介紹之后,希望大家都能監督好嵌入式安全這塊。
