在现实生活中,物联网设备面临很多安全问题,而且这些安全问题已经对个人信息安全构成威胁。
作为物联网开发技术负责人,我们肯定不想看到自己负责的产品和服务上负面新闻。为了跟用户建立信任,我们必须切实做好安全工作,打造可靠的产品和服务,保护数据不被泄露。
怎么做好技术保障呢?我们知道物联网从架构上可以分为三层,设备层、网络层和应用层,你可以从这三个层面入手来做好安全工作。
我们以共享单车为例做一个讲解。
第1步:分析安全需求
共享单车业务场景的安全需求:
保证单车资产的安全
确保开锁、计费等关键功能和数据的完整性
保证个人信息、轨迹信息等敏感信息的保密性
确保云平台、App 等整体系统的可用性
接着,我们细化这些需求,列出明确的指标,然后跟公司的安全基线对比,看是否符合安全基线的要求,对于不符合的部分是否可以放行。
公司的安全基线是从哪里来的呢?一是公司自己的实践经验,二是最佳安全实践指导文件。
这些指导文件来自安全公司或者安全组织,比如国内的绿盟,国外的 CSA(云安全联盟)、IIC(工业互联网联盟)和 IoTSF(物联网安全基金会)等。
另外,还有一些行业相关规范涉及的安全内容,包括隐私相关法律法规对于安全防护的要求,这也是公司安全基线的一个来源。
第2步:构建威胁模型
明确了安全需求之后,下一步就是构建共享单车系统的威胁模型。建模可以帮助我们全面地了解共享单车系统中各个角色、接口和数据流,然后分析清楚系统面临的攻击面和信任边界。基于攻击面和信任边界,我们就可以更好地识别系统的潜在威胁。
至于建模的具体方法,我们可以使用 OWASP 提出的威胁建模备忘清单。它的好处是有一个开源的工具可以使用,名称是Threat Dragon。
首先,我们基于共享单车系统的组成绘制出数据流图。下图是我使用 Threat Dragon 工具创建的共享单车系统的数据流图。
基于数据流图,我们就可以做威胁识别了。你可以借助微软的STRIDE 模型来完成,这也是 Threat Dragon 支持的威胁定义方法。STRIDE 模型将威胁分为六种不同的类型:欺骗、篡改、否认、信息泄露、拒绝服务和权限提升,它们在下面的威胁识别表格中都有体现。
识别完威胁以后,我们需要归档,然后根据发生概率和可能的危害程度,对它们进行评估。我们按照 5 个维度对一个威胁进行风险等级打分(分值范围 1~10),然后计算出平均值作为威胁的最后分数,分数越大风险越高。
对破坏车体二维码的威胁进行 DREAD 风险评分,可以得到表格所示的结果。
基于威胁评估的结果,我们可以对威胁的安全控制措施进行优先级排序,形成安全设计文档。然后我们把安全设计文档中的控制措施加入到产品的需求列表中进行跟踪,有计划地实施。
下面是我得到的共享单车系统的威胁矩阵,我按照物联网的三层架构进行了分组。
第3步:逐层技术防护
设备层安全:业务目标的关键
由于共享单车大多处于无人监控且恶劣的环境中,设备层的安全风险较为突出。
对于谎报电子锁故障,我们一方面可以在 App 中增加证据上报功能,比如图片、视频等,来增加谎报的难度;另一方面可以在电子锁上增加更准确和可靠的状态检测传感器,并且将这些信息上报服务器,这样就可以实现攻击识别的自动化,让攻击者不敢轻易尝试。
针对固件的攻击行为,实施成本较高,但对于专业人员来说也不是太大的难题,所以我们需要做好以下几个方面的防护措施:
采取物理防护措施,加大拆除电子锁和拆解锁体的难度,让攻击者无法轻易获取到电子锁。
采取篡改检测机制,通过传感器(比如压电薄膜)来检测破坏行为,然后声音报警,并且上报事件到云平台。
在可能的情况下,尽量不启用芯片的调试接口(比如 JTAG 和串口),从而防止攻击者获取固件文件和控制接口。
避免将敏感信息(比如加密私钥)硬编码到固件中,以防攻击者从硬件中获取到。
对于刚才提到的破坏二维码行为,最直接的方法当然是增加攻击难度,比如在车体多处增加二维码信息,采用更坚固的材料保护二维码。
不过,根本的办法还是寻找其他技术方案来替代二维码,或者作为二维码的备用方案,比如 NFC 和蓝牙技术。
网络层安全:加密通信是根本
网络层面临的是不可控的传输网络,和未正确使用的通信技术,所以在物联网上传输的数据包如果没有加密和签名,很容易发生被窃听、篡改、伪造以及发送者抵赖等问题。
在 2017 年的GeekPwn 大会上,就有安全人员通过截获 Wi-Fi 网络上的数据包,轻松地获取了别人在 4 款共享单车 App 上的账号权限。他们靠这些权限,不但可以开锁,还能掌握用户的 GPS 轨迹等信息。这跟上面表格提到的,通过手机 App 获取账号和伪造电子锁发送关锁信息,属于类似的实现方式。
所以我们需要对网络通信进行加密,采用 SSL/TLS 的方法进行安全通信。在 App 上,可以采用 SSL Pinning 的模式进行双向认证,保证通信双方传输交换安全;电子锁设备的通信也要加密,可以采用 MQTT 支持的 SSL/TLS 方式。
另外,蓝牙协议本身就支持很多安全机制,能够实现配对安全、数据防篡改和设备认证等特性。现在很多共享单车除了支持服务器下发命令开锁以外,还支持采用蓝牙协议来开锁。这时候一定要记得使用蓝牙的数据加密机制,保证开锁命令不会被攻击者轻易获取。
应用层安全:保证可用性和数据安全
应用层作为物联网业务服务平台,向用户提供相关业务及应用。同时,在这个过程中,它还会采集、存储和处理大量的敏感数据。所以,我们必须保证服务的可用性和安全性。
DDoS 攻击可以说是目前最难防御的攻击之一,还没有特别完美的解决方案。我们可以采取多种方案组合,结合攻击的实际情况灵活应对,达到减少损失的目的即可。常用的手段有增加带宽,通过防火墙清洗,过滤异常流量,以及与专业的提供抗 DDoS 服务的公司合作。
对于上面威胁矩阵中提到的防范恶意植入和 SQL 注入,我们需要做好下面几件事:
及时更新服务器操作系统和其他软件,尤其是出现严重漏洞的软件,不给攻击者可乘之机。
设置防火墙,同时关闭不需要的服务和网络端口。暴露越少,被攻击的可能性就越小。
定时对服务器和数据库做好备份,避免重要数据丢失或者服务不能及时恢复的情况。
做好系统安全监控,及时发现异常的攻击行为,为进一步的安全防护做好准备。
另外,服务器对外提供的开放接口也可能导致的 SQL 注入等安全问题,同样需要注意。对于这些问题,我们可以通过定期做渗透测试来防范。
3279916262