服務熱線 :0591-22850016 |
新聞分類
News center
|
強化嵌入式係統安全 應對故障注入攻擊 |
||
作者
:admin 來源
:本站 發表時間
:2013/2/26 9:27:09 點擊
:2390
|
||
2012年末 ,嵌入式係統的被攻擊的新聞在媒體上頻繁出現 ,許多嵌入式設備均傳出被發現安全漏洞 ,進而遭到攻擊 ,並導致嚴重的後果 。這些設備包括打印機 、門市收銀係統或大型的SCADA係統 。攻擊造成的危害包括打印機可能被更改係統設定值 、被存取欲打印的敏感數據 ;而結賬用的芯片卡片閱讀機一旦被黑客攻破 ,將導致消費者的信用卡 、結賬卡資料外泄等情形 。 提供金融終端的安全芯片廠商Maxim Integrated營銷經理christophe Tremlet認為 ,在目前針對嵌入式設備而來的攻擊當中 ,故障注入攻擊(Faultinjectionattacks)算是較難應付的一種 ,它會改變設備的正常運作 。攻擊者可以借助製造微控製器的主電源引腳上的毛刺 ,來修改執行程序 。因此一個安全的微控製器必須能確保執行程序不被改變 。 Tremlet也對嵌入式設備商提出建議 ,若要提升係統安全可以從以下四方麵著手 :首先 ,對要被保護的資產以及潛在的威脅作一個徹底的分析 。“聚星撲克要保護什麽且為什麽要保護它 ?” ,“攻擊者的預算與技能是什麽 ?”--這些問題都是應該去討論的部分 。因為這將決定所需的保護等級 。 當以上的問題已有答案 ,此時就可建立安全目標和安全功能 ,且也將在此時確定預期的強度 。舉例來說 ,加密算法密鑰長度的選擇取決於期望的對抗性(resistance)水平 。通常使用公認和公開技術(如標準算法)是比較好的方式 。 一旦上述條件已建立 ,下一步就該執行先前確定的功能 ,並進行全麵測試 。許多安全弱點來自於執行錯誤(bugs)或漏洞 ,使用加密庫或安全IC可降低這種風險發生 。最後一個步驟就是檢查驗證所有涵蓋的威脅 。將係統交由外部安全實驗室來進行檢測 ,會是較理想的做法 。 |
||
|
||
Copyright 2003 -2018 TSheng All Rights Reserved 版權所有: 聚星撲克電氣集團-福州聚星撲克自動化工程有限公司
聯係電話
:0591-22850050 E-mail
:768608509@qq.com 訪問量 :5156753 閩ICP備19020641號-1 |