長期以來,反駭客防禦主要集中在保護家庭和辦公室中的個人計算機和伺服器。然而,隨著微晶片變得越來越小、功能越來越強大,駭客的新目標正變得日益普遍——嵌入式計算機,例如處理汽車發動機、剎車和車門鎖的電子裝置;構成網際網路骨幹網的路由器;執行發電廠、鐵路線和監獄牢房門的機器;甚至可植入的醫療裝置,例如除顫器和胰島素泵。許多這些嵌入式裝置現在可以與其他計算機連線,使它們同樣面臨入侵者的風險。事實上,在10月份,國防部長利昂·帕內塔警告說,如果美國未能充分保護這些系統,它將面臨“網路珍珠港”的威脅,這與中央情報局局長約翰·多伊奇在1996年向國會發出的關於電子珍珠港的警告(pdf)相呼應。
現在,計算機科學家正在設計他們稱之為共生體的守護程式,這些守護程式可以在嵌入式計算機上執行,而無需考慮底層作業系統。研究人員表示,這樣做不僅可以幫助保護國家和公司的關鍵基礎設施,還可以揭示針對這些裝置的戰爭可能已經秘密進行了多年。
問題比您想象的還要嚴重。已經有研究表明,大量機器完全暴露在攻擊之下。例如,在2011年,在掃描了網際網路的大部分割槽域後,哥倫比亞大學的計算機科學家Ang Cui和Sal Stolfo在144個國家/地區發現了超過140萬臺公開可訪問的嵌入式計算機,這些計算機仍然具有出廠預設密碼,這將使任何具有線上訪問許可權的人都可以完全控制這些機器。這些裝置約佔他們發現的嵌入式計算機的五分之一(pdf),包括路由器、視訊會議單元、有線電視機頂盒和用於防禦計算機網路的防火牆。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們當今世界的發現和想法的具有影響力的故事的未來。
這些漏洞構成了一系列危險。在2011年,Cui和Stolfo透露,他們可以透過受感染的文件或透過線上連線來入侵惠普(Hewlett-Packard)製造的印表機(pdf),從而監視使用這些機器列印的所有內容,併入侵連線到印表機的每臺計算機。(惠普此後修復了此漏洞。)Cui還解釋說,開發惡意軟體或惡意程式可能很容易,這些軟體或惡意程式將允許駭客僅透過向受感染的路由器傳送無害的資料包來關閉它們。
Cui說,針對嵌入式系統的攻擊不是“犯罪分子試圖獲取信用卡資料”的那種。“它們更隱蔽。更復雜。這是企業間諜級別的。網路戰爭級別的。 那些試圖攻擊這些系統的人不是為了引起轟動,而是可能旨在摧毀一個國家的關鍵基礎設施。”
研究人員在為這些漏洞設計安全措施時面臨的一個問題是,執行嵌入式計算機的程式中發現了令人難以置信的多樣性。例如,Cui指出,僅思科製造的路由器就擁有大約30萬個不同的韌體映像——嵌入式計算機的作業系統及其隨附的程式。
現在,Cui和他的同事們開發了反惡意軟體系統,他們說這些系統可以在大量嵌入式計算機上工作,而無需考慮它們執行什麼系統。
“Ang發現了一個尚未被認真考慮的嚴重問題,並提供了具體的解決方案來嘗試解決這個問題,” Twitter的安全研究員查理·米勒說,他曾是國家安全域性的分析師,因公開揭露蘋果產品(如iPhone和MacBook Air)中的漏洞而聞名。
這些防禦系統不是在嵌入式計算機的韌體映像中執行,而是在其外部直接在計算機的中央處理器 (CPU) 上執行。共生體(pdf)——延續了計算機病毒提出的生物學類比——持續掃描韌體映像程式碼的大量隨機塊,以檢查可能表明發生入侵的異常情況。“我們花了很多精力來確保共生體不會因佔用太多處理能力而使CPU崩潰,”Cui說。
共生體獨立於其保護的程式執行這一事實意味著,為一種型別的CPU(例如,許多智慧手機中使用的ARM,或許多路由器中使用的MIPS)設計的共生體可以在可能在這些CPU上執行的任何作業系統上工作。“它不需要知道它監視的程式是如何工作的,只需要知道它們是否已被修改,”Cui說。他們計劃在2012年底之前交付一個原型供美國政府測試,並與他們創立的公司Red Balloon Security一起將其工作商業化。
非營利組織美國網路後果部門主任斯科特·博格表示,儘管Stolfo和Cui的方法“非常有希望”,但他警告說,仍然很難判斷入侵者可能多麼容易繞過這些防禦措施。例如,可能有一些方法可以阻止共生體將破壞性程式識別為惡意軟體。“從計算機的角度來看,太多的破壞性行為可能看起來像是正常行為,”博格說。“一項網路安全措施需要在概念上和物理上進行一段時間的推敲,才能有信心地說它將有多有效。”
賽門鐵克研究實驗室高階主管馬克·達西耶稱共生體為“一項非常出色的工作”,但他指出,它面臨的一個主要障礙是讓公司實際使用它升級所有裝置。五角大樓目前正在推動立法,要求關鍵私營部門基礎設施(如發電廠、水處理中心和天然氣管道)達到基線網路安全標準。帕內塔在10月份的演講中說,如果沒有這樣的立法,“我們現在和將來都會很脆弱。”
這些共生體不僅可以作為其裝置的免疫系統,還可以幫助揭示嵌入式計算機中潛在的巨大惡意軟體生態系統,這是迄今為止沒有人能夠注意到的。“如果這些漏洞多年來一直沒有在野外被利用,我們會感到驚訝,”Cui說。“我們可以揭示網際網路戰爭史上一個不為人知的篇章。”