PLAR：建立一个保护物联 设备的可插拔软件体系结构

Uzma Maroof
uzma.maroof@unsw.edu.au
UNSW Sydney, Australia
Cyber Security Cooperative Research Centre

Arash Shaghaghi
a.shaghaghi@deakin.edu.au
Deakin University, Australia
UNSW Sydney, Australia

Sanjay Jha
sanjay.jha@unsw.edu.au
UNSW Sydney, Australia
Cyber Security Cooperative Research Centre

摘要

关键词： 物联 ；安全；可插拔架构

1 简介

2 相关工作

近年来，物联 安全受到了研究人员的广泛关注，特别是在物联 僵尸 络Mirai针对13000个物联 设备发起大规模攻击后[10]。Mirai产生的流量超过30gbps，比目前淘汰大多数服务器所需的流量大很多个数量级。在这里，我们提供了与我们的工作相关的现有文献的简明概述，其中我们将相关工作大致分类为物联 设备的离线或实时分析。

2.1 离线分析

通过在受控环境下对嵌入式固件进行离线程序分析，出现了大量的文献。为了满足各种物联 设备的需求，人们设计了一些工具来自动进行静态、动态或符 分析。Costin等人[6]提出了一项开创性的工作，利用静态分析开发了物联 设备中基于 络的漏洞大规模检测框架。然而，物联 固件源代码大多是专有的，不易获得。Zaddach等人[8]提出了基于使用实际设备的动态分析的技术，然而，这种方法给大规模分析带来了巨大的财政负担。Chen等人[9]通过使用设备模拟器改进了这一点。类似地，Shoshitaishvili等人[5]和Davidson等人[7]的工作基于符 分析。通常，离线分析技术在自动化程度、准确性、脆弱性类别和架构覆盖率方面有所不同。一方面，其中一些工作受到专有固件代码不可用性的限制，另一些工作则受到为大量专有物联 硬件设计精确仿真器的艰巨任务的限制。 可靠性缓解在大多数情况下需要重新编译和重新安装固件，使其成为动态物联 生态系统不可行的解决方案。

2.2 实时分析

为了进行实时的安全分析，很多研究者都采用了 络流量监控。这包括基于观察 络流量的被动分析，以及需要与设备交换质询和响应消息的主动探测。许多研究人员使用物联 设备的独特流量模式来训练分类器，从而识别恶意活动或漏洞。Meidan等人[11]在他们的工作中展示了通过对物联 设备的真实数据进行流量分析来检测两个著名的物联 僵尸 络：Mirai和BASH LITE。Koroniotis等人。[12] 使用基于异常的分类器识别僵尸 络流量，然后将其与源目标IP地址和端口相结合，以识别恶意物联 设备。同样，Jia等人。[13] 使用基于图的技术分析物联 中的 络流量跟踪以揭示漏洞。
大量相关工作采用的一种通用方法是添加一个专用的“中间盒”设备，负责 络中部署的所有物联 设备的安全管理[14–20]。IoTAegis[14]使用各种端口扫描工具和服务发现协议进行设备指纹识别。然后通过查询公共可用的公共漏洞和暴露（CVE）数据库来分析设备。它提供了自动设备配置和安全更新的机制。然而，由于物联 设备大多是无头的，这种方法只能减轻设备提供远程用户界面的那些漏洞。这意味着，如果设备本身不提供用于更改密码或使用不同密码的接口，则由于它不可编程，因此无法缓解弱cre-dentials和密码漏洞。哈达尔等人。[15] 不过，使用了类似的中间盒作为被动监视解决方案。因此，缓解技术仅限于阻止恶意IP域或匹配的签名流量。类似地，Rullo等人[19]提出了一个被动中间盒，它自动地从嗅探的流量中学习物联 设备使用的各种协议，然后动态地配置特定于协议的漏洞检测模块来监控 络流量。
这些 络流量监控方法的主要缺点是，它们完全基于从 络中嗅出的流量进行分析，而不依赖于设备。因此，他们不知道设备的内部解剖结构。这些设备是不可重新编程的，同样，缓解方案通常也仅限于过滤恶意流量或完全隔离 络中的设备。该设备可能被标记为易受攻击，但几乎没有任何机制可用于动态修复该设备。

3 威胁模型&评估

我们假设带到我们 络中的任何设备都可能已经被破坏，但是，在健全性检查和重新编程过程中（见第4.3.4和4.3.5节），攻击者不能篡改设备。一旦健全性检查和重新编程过程结束，该设备就可以连接到任何公共 络。因此，攻击者现在可以发动任何攻击来利用设备内部的任何漏洞。
正如我们将在第4节中讨论的，启用PLAR的物联 设备可以在整个设备生命周期中重新编程。后者要求设备和加载的模块相互验证。在这里，我们假设已经存在这样一种机制，例如，海伦等人提出的远程认证机制。[21]利用各种设备的资源和计算能力的差异。现在我们假设加载的模块是可信和安全的。我们还假设对于这种架构，条件是集线器和设备之间的通信是安全的（例如使用TLS）。
另一个假设是关于组织的安全策略，该策略定义组织所需的安全级别，以及如何处理易受攻击的设备。一个安全模块，比如智能手表的基于生物测量的认证，可能比基于挑战长度/响应的认证更可靠。然而，后者可能比前者更具成本效益。同样，不同的应用程序在不同的部署冲突下可能有不同的安全需求。在这个可插拔的物联 生态系统中，手动处理这些异常是不可能的。假设系统管理员已经提供了这样一个安全策略，并且为组织生成安全策略的模块的扩展被视为可能的未来工作。Rez vani等人为web应用程序提供了类似的策略。

4 可插可重编程（PLAR）体系结构

4.1 概述

现在，我们将概述所提出的可插可编程体系结构（PLAR）。在这里，我们将安全性作为一个用例来讨论，尽管体系结构的范围涵盖了物联 设备的每个功能模块。例如，这将使系统管理员能够以系统的方式用定制的旋转模块替换IP摄像机的内置旋转模块。
该框架使系统管理员能够重新远程与接入其 络的任何设备进行交互，对其进行评估并重新编程，以符合企业 络的安全标准。为了实现这个目标，PLAR在 络中有一个监视设备，我们称之为中央集线器。中央集线器负责管理所有设备的安全性，现在是启用PLAR的物联 设备，部署在 络工作中。图1展示了一个智能家庭 络，该 络配备了三个支持PLAR的物联 设备以及中央集线器。

物联 设备在硬件资源方面有着广泛的应用。例如，在一些物联 设备中，可用内存低于2MB。为了满足这些异构的资源需求，系统需要以弹性的方式设计，也就是说，它能够根据设备的能力在设备的一侧进行自我拉伸。因此，在向上加载模块之前，评估设备能力。因此，根据设备能力和安全策略确定加载模块的大小、功能和数量。这可以从高端设备（例如 络打印机）的主要修改到资源有限的设备（例如温度传感器）的一些次要修改。
PLAR由两个主要组件组成：支持PLAR的物联 设备和一个中心集线器，在下面讨论。

4.2 启用PLAR的物联 设备

为了满足PLAR架构的需求，我们需要升级核心的物联 软件架构。如图2所示，它由一个可插入的中间件组成，该中间件提供设备功能所需的核心服务。它还导出两个接口，允许模块与内核的运行时集成，而无需重新编译。一个接口是设备所需的插件应用程序和服务。另一个接口用于为安全模块提供一个包装器，该包装器在设备内部动态连接。对于某些漏洞，需要持续监视，例如，可以通过在基于Linux的内核中的sys_read（）和sys_write（）系统的调用处理程序中插入安全模块来监视签名流量或恶意程序。这种动机来自内核rootkit，它们通过修改系统调用表来执行恶意活动[24]。另一方面，有些模块只在需要时才需要，例如，每当任何应用程序或服务需要身份验证时，它的请求将被转发到独立运行的身份验证模块。

4.3 中心集线器

中心集线器是负责管理 络中部署的所有物联 设备的安全性的设备。它使用第2.2节中讨论的中间框所采用的方法部分地实现了这一点。除此之外，它还利用了物联 设备的可插拔架构，在设备本身部分上传安全模块，并从内部检索信息。因此，增加了检测漏洞和可能的修复的机会。中心枢纽主要部件如图3所示，说明如下：

5.3 开发

在开发阶段，不使用中心集线器。为了捕获凭据，攻击者连接到AP并在打开监视模式的情况下启动Wireshark。攻击者需要捕获AP和移动用户之间的初始4路WPA握手消息，因为使用这4条消息可以解密整个会话。稍后，当移动用户试图访问相机流时，它会传递凭据，这可以在攻击者系统上Wireshark捕获的TCP/IP转储中以明文形式看到。然后，攻击者打开浏览器并使用捕获的凭据成功登录到相机。它现在可以以任何理想的方式控制摄像机及其视频流。

5.4 健康检查和重编程

为了系统地打击这种利用，我们引入了中央集线器来演示我们的PLAR架构。IP摄像机一通电，它就连接到中央集线器，然后中央集线器使用insmod（）命令动态插入一个配置文件模块。然后，中心集线器将对生成的设备配置文件进行评估，以确定是否存在任何现有漏洞。如果是真正的IP摄像机，设备配置文件会提到设备制造商和型 为D-link DCS 936L，然后可以直接连接到CVE-2018-7698。然而，即使是我们定制的物联 摄像头，设备配置文件的以下部分也很有趣：
资源：
服务：nginx；远程访问：HTTP；
开放端口：80 nginx
有关详细的设备配置文件，请参阅附录。在健全性检查过程中，对不安全的基于HTTP的NginX web服务器进行了保护。为了在运行时减轻此漏洞，需要将基于HTTP的NginX服务器替换为基于HTTPS的服务器。因此，创建了一个补丁，其中包括创建SSL证书、使用SSL配置NginX，然后将HTTP重定向到HTTPS。此修补程序是从中央集线器上载到相机并在相机上执行的。同一次攻击再次启动，这一次攻击者无法检索用户凭据，从而确认已成功缓解该漏洞。

6 总结和展望