BSI публікує дослідження про можливі атаки на мікроконтролери, які встановлені в промисловому IoT в авіаційному чи автомобільному секторах, зокрема. Дослідження показує, що кілька атак на мікроконтролери можливі, але їх можна запобігти за допомогою правильного програмного забезпечення.
Інститут Фраунгофера AISEC підготував дослідження «Дослідження апаратних атак на мікроконтролери» від імені Федерального відомства інформаційної безпеки (BSI), в якому представлено поточний стан апаратних атак на мікроконтролери.
Дослідження показує можливості атаки
У публікації описуються прості у реалізації контрзаходи, які можуть запобігти багатьом атакам або значно збільшити зусилля зловмисників. Мета дослідження — привернути увагу розробників і виробників продуктів до існуючих ризиків, показати їм способи захисту продуктів і зробити контрзаходи доступними для широкої аудиторії.
Мікроконтролери використовуються в багатьох областях, наприклад, в авіації або в автомобільному секторі. Інтернет речей (IoT) також означає, що мікроконтролери все частіше використовуються в промислових продуктах і витратних матеріалах. Крім того, вони все частіше використовуються в додатках, пов’язаних із безпекою, таких як системи доступу або електронні гаманці (гаманці). У таких програмах конфіденційні дані, такі як криптографічні ключі, часто зберігаються в контролерах. Це робить їх привабливою мішенню для нападу.
Апаратні атаки вимагають захисних заходів
Завдяки своїй мобільності пристрої з мікроконтролерами піддаються не тільки класичним атакам. До них належать переповнення буфера, яке в основному спричинене віддаленим доступом через програмне забезпечення. Також можуть бути здійснені спеціальні атаки, спрямовані не на вразливості програмного забезпечення, а на властивості самого апаратного забезпечення. Такі атаки на апаратне забезпечення включають, але не обмежуються ними, атаки на сторонні канали та атаки з впровадженням помилок.
У минулому при розробці продукту недостатньо враховувалася безпека основного обладнання. Тому багато сучасних продуктів мають уразливості та вектори атак. Контрзаходи часто можна застосувати на ранній стадії. Атаки, продемонстровані в цьому звіті, повинні бути практично можливими на всіх мікроконтролерах в огляді ринку. Це означає, що продукти мікроконтролерів повинні мати спеціальні програмні засоби протидії.
Більше на BSI.Bund.de
Про Федеральне відомство з інформаційної безпеки (BSI) Федеральне відомство з інформаційної безпеки (BSI) є федеральним органом з кібербезпеки та розробником безпечної цифровізації в Німеччині. Заява місії: BSI, як федеральний орган кібербезпеки, розробляє інформаційну безпеку в оцифровці шляхом запобігання, виявлення та реагування для держави, бізнесу та суспільства.