Problématique des systèmes embarqués et appareils connectés

Nous sommes à un point de crise ou de rupture à l’égard de la sécurité des systèmes embarqués. L’informatique est intégrée dans le matériel lui-même à l’image de l’Internet des objets . Ces ordinateurs embarqués sont truffés de vulnérabilités  et on ne peut les corriger de manière pérenne.

C’est un peu ce qui s’est passé dans le milieu des années 1990 , quand l’insécurité des ordinateurs personnels a atteint un niveau critique . Logiciels et systèmes d’ exploitation ont été criblés de failles de sécurité  et il n’y avait pas de bonne façon de les corriger. Les entreprises ont essayé de dissimuler des failles et de ne pas diffuser les mises à jour de sécurité rapidement. Lorsque les mises à jour ont été libérés , il était difficile – voire impossible –  aux utilisateurs de les installer . Cela a changé au cours des vingt dernières années  en raison d’une combinaison des divulgations  des vulnérabilités d’édition – pour forcer les entreprises à publier des correctifs plus rapidement – et les mises à jour automatiques : l’automatisation du processus d’installation de mises à jour sur les ordis des utilisateurs . Les résultats ne sont pas parfaits , mais ils sont beaucoup mieux qu’auparavant .

Mais cette fois le problème est beaucoup plus grave car le monde est différent : tous ces dispositifs sont connectés à l’ Internet . Les ordinateurs de nos routeurs et les modems sont beaucoup plus puissants que les PC du milieu des années 1990 et les Internets des objets seront d’autant plus de puissants ordinateurs pour tous les types d’appareils de consommation. La difficulté ? les industries productrices de ces appareils sont encore moins capables de résoudre le problème que les secteurs de l’informatique et du développement logiciel .

En matière de sécurité que les pirates ont bien compris qu’il est plus facile de pirater les routeurs que les ordinateurs . Lors d’une récente Def Con , un chercheur a étudié  trente routeurs ou box sur le marché domestique. Il a  fait irruption dans la moitié d’entre eux – y compris certaines des marques les plus populaires et communes .

Pour comprendre le problème , vous devez comprendre le marché des systèmes embarqués.

Typiquement , ces systèmes sont alimentés par des puces spécialisées informatiques réalisés par les entreprises telles que Broadcom , Qualcomm , Marvell et . Ces puces sont pas cher , et les marges de profit mince . Mis à part le prix , la façon dont les fabricants se différencient les uns des autres par des caractéristiques est et la bande passante . Ils mettent généralement une version du système d’exploitation Linux sur les puces , ainsi qu’un tas d’autres open-source et propriétaires composants et les pilotes . Ils font aussi peu que possible l’ingénierie avant l’expédition , et il ya peu d’intérêt à mettre à jour leur « package de support de carte  » jusqu’à ce absolument nécessaire .

Les fabricants de systèmes – les fabricants d’appareils généralement d’origine (ODM ) qui ne reçoivent pas souvent leur nom de marque sur le produit fini – choisissent une puce basée sur le prix et les caractéristiques , puis construisent un routeur , serveur , ou que ce soit. Ils ne font pas beaucoup de génie , soit . La marque entreprise sur la boîte peut ajouter une interface utilisateur et peut-être quelques nouvelles fonctionnalités , assurez-vous que tout fonctionne , et ils sont fait , aussi.

Le problème avec ce processus est qu’aucune entité n’a aucune incitation , d’expertise , ou même la capacité de patcher le logiciel une fois qu’il est expédié . Le fabricant de puces est occupé à expédier sa prochaine version de  puce , et l’ODM est occupé à améliorer son produit et travailler avec cette nouvelle puce . Maintenir les puces plus âgées et ses produits dérivés n’est  tout simplement plus  une priorité .

Et le logiciel est vieux, même lorsque l’appareil est neuf . Par exemple , une enquête de routeurs à la maison commune a constaté que les composants logiciels étaient de quatre à cinq ans de plus que l’appareil. L’âge minimum du système d’exploitation Linux était de quatre ans . L’âge minimum du logiciel de système de fichiers Samba : six ans. Ils peuvent avoir eu tous les correctifs de sécurité appliqués , mais la plupart du temps probablement pas . Personne n’y travaille . Certains composants sont si vieux qu’ils ne sont plus patchés . Cette assignation est particulièrement important parce que les failles de sécurité se trouvent  » plus facilement  » sur  les systèmes âgé .

Pour aggraver les choses , il est souvent impossible de patcher le logiciel ou mettre à niveau les composants de la dernière version . Souvent , le code source complet n’est pas disponible . Oui , ils ont le code source pour Linux et d’autres composants open-source . Mais beaucoup de pilotes de périphériques et autres composants ne sont que des «blobs binaires » – aucun code source. C’est la partie la plus pernicieuse du problème : Personne ne peut patcher le code binaire qui est juste .

Même si un patch est possible , elle est rarement appliquée . Les utilisateurs ont généralement pour télécharger et installer manuellement les correctifs appropriés. Mais puisque les utilisateurs ne sont jamais alerté des mises à jour de sécurité , et n’ont pas l’expertise nécessaire pour gérer manuellement ces dispositifs , il ne le font pas . Parfois, les FAI ont la possibilité de patcher à distance des routeurs et des modems , mais c’est aussi rare.

Le résultat est que des centaines de millions d’appareils qui ont été assis sur Internet , non corrigée et « insécurisé » pour les cinq à dix dernières années .

Les actions ne sont font pas attendre . Malware « DNS Changer »  attaque routeurs à la maison ainsi que des ordinateurs . Au Brésil , 4,5 millions de routeurs DSL ont été compromis à des fins de fraude financière . Le mois dernier , Symantec a rapporté un ver qui cible Linux routeurs , caméras et autres appareils embarqués .

Ce n’est que le début . Tout ce qu’il aura est certains outils de piratage faciles à utiliser pour les script kiddies pour entrer sur le terrain.

Et l’internet des objets ne fera qu’aggraver ce problème , comme l’ Internet – ainsi que nos maisons et nos organismes – est inondé avec de nouveaux dispositifs embarqués qui seront tout aussi mal entretenus et unpatchable . Mais les routeurs et les modems posent un problème particulier , parce qu’ils sont : ( 1 ) entre les utilisateurs et l’ Internet , afin de les éteindre est de plus en plus pas une option ; ( 2 ) plus puissant et plus générale de la fonction que les autres appareils embarqués ; ( 3 ) l’appareil un 24/7 de l’informatique dans la maison , et sont un lieu naturel pour beaucoup de nouvelles fonctionnalités .

Nous étions ici avant avec des ordinateurs personnels , et nous avons corrigé le problème . Mais la publication des failles dans un effort pour forcer les fournisseurs à régler le problème ne fonctionnera pas de la même façon que pour les systèmes embarqués . La dernière fois , le problème était ordinateurs, ceux surtout non connectés à l’Internet , et les virus à propagation lente . L’échelle est différente aujourd’hui : plusieurs dispositifs , une plus grande vulnérabilité , virus à propagation rapide sur Internet , et de l’expertise technique moins sur le vendeur et l’utilisateur côtés . De plus les vulnérabilités qui sont impossibles à patcher .

Combiner la fonction complète avec le manque de mises à jour , ajouter dans une dynamique de marché pernicieuse qui a inhibé les mises à jour et empêché quiconque de mise à jour , et nous avons une catastrophe naissante en face de nous . C’est juste une question de quand .

Nous avons simplement à résoudre ce problème. Nous devons faire pression sur les fournisseurs de systèmes intégrés pour la conception de leurs systèmes mieux . Nous avons besoin de pilote open-source – blobs binaires plus ! – De sorte que les fournisseurs tiers et les FAI peuvent fournir des outils de sécurité et des mises à jour de logiciels pour aussi longtemps que l’appareil est en cours d’utilisation . Nous avons besoin de mécanismes de mise à jour automatique afin de s’assurer qu’ils sont installées .

Les incitations économiques pointent vers les grands FSI comme le moteur du changement . Qu’ils soient à blâmer ou pas , les FSI sont ceux qui obtiennent les appels de service pour les accidents . Ils ont souvent pour envoyer aux utilisateurs un nouveau matériel parce que c’est la seule façon de mettre à jour un routeur ou un modem , et qui peut facilement coûter la valeur du bénéfice d’une année à partir de ce client. Ce problème ne fera que s’aggraver , et plus cher . Payer le coût à l’avant pour l’amélioration des systèmes embarqués est beaucoup moins cher que de payer les coûts des catastrophes de sécurité qui en découlent.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *