Een vergelijking tussen software- en hardware-hacking

Door: Carolyn Mathas 2019-12-04
Tags
Technische branche
‎Ingebouwde verwerking
Draadloze communicatie
Beveiliging
‎IoT Internet of Things
Halfgeleiders en ontwikkelingstools
RF en draadloos

Encryptie, op hardware- of softwareniveau, beperkt inbreuken op de beveiliging tot het minimum en voegt beschermingslagen toe om gegevens te beschermen. Er zijn echter verschillen met betrekking tot wanneer hardware- en software-encryptie wordt gebruikt, en waarom.

Software-encryptie wordt, met het oog op de kosteneffectiviteit en het gemak van upgraden/bijwerken, doorgaans gebruikt om de apparaten van een organisatie te beschermen. Dit type versleuteling beschermt gegevens in rust en opslag en tijdens gegevensoverdracht en wordt vaak ondersteund door functies die de encryptie versterken en aanvullen.

Op hardware gebaseerde encryptie daarentegen maakt deel uit van de beveiliging binnen het apparaat zelf, en voert versleuteling/ontsleuteling uit zonder extra software, en zorgt dat het apparaat vrij wordt gehouden van besmetting, infectie door kwaadaardige codes of kwetsbare punten. Deze encryptie wordt het meest gebruikt om gevoelige gegevens op draagbare apparaten te beschermen en beschermt ook gegevens in rust. Drives met gevoelige gegevens worden het best beschermd via hardwaresleutels, die de gegevens ook beschermen als de drives worden gestolen. Hardware-oplossingen zijn duurder en vereisen upgrades van het hardwareplatform, heel wat anders dan de upgrades/updates van software, een veel goedkopere optie.

Kwetsbare punten bij software

Zelfs nu, op het moment dat deze eeuw alweer twee decennia oud is, zijn er nog steeds bedrijven die ervoor kiezen hun gegevens niet afdoende te beveiligen. We hebben het bijvoorbeeld over het niet bijwerken, upgraden of wijzigen van wachtwoorden, het niet gebruiken van meerdere verschillende beveiligingsmethoden en zelfs, iets wat heel vaak voorkomt, het niet wijzigen van de residente wachtwoordcodes op apparaten die ze op hun netwerk aansluiten. Deze wel heel gemakkelijke prooien voor hackers vertegenwoordigen een groot percentage van zwakke plekken in de beveiliging die gemakkelijk vermeden kunnen worden.

Andere zwakke punten (maar er zijn er nog veel meer):

  • Het ontbreken van sterke encryptie op opgeslagen gegevens
  • Teveel gegevens in een te klein geheugen proppen, met name bij mobiele apps die zijn geschreven in C/C++ , dat bijzonder kwetsbaar is voor buffer-overflows
  • Directe toegang tot gegevens via onveilige diensten en API's
  • Geen controle van toegang tot logbestanden, waardoor hackers in staat worden gesteld om kwetsbare punten in de beveiliging te traceren
  • Hergebruik van codes, waardoor parasitaire codes uit andere bronnen de organisatie binnen kunnen komen
  • Hackers die gebruik maken van path traversal, en zo een dot-dot-slash aanval creëren
  • Cross-site scripting, waarbij aanvallers code uitvoeren in de browsers van uw websitebezoekers
  • Onvoldoende authenticatie anders dan aanmelden

Kwetsbare punten van hardware

Kwetsbare punten in hardware hangen grotendeels af van hoe goed het circuit is ontworpen om privésleutels tegen aanvallen te beschermen. Redenen waarom aanvallen door de beveiliging komen (maar ook hier zijn er nog veel meer te noemen):

  • Onderschepping van elektromagnetische golven in een elektromagnetische zijkanaal-aanval
  • Er wordt geen gebruik gemaakt van een MCU met een veilige debug-functie
  • Afwezigheid van anti-sabotagetechnieken die sabotage detecteren en een privésleutel uit het geheugen wissen als sabotage optreedt
  • Geen beveiligde opstart (secure boot)

Mogelijke oplossingen

Er bestaan verschillende beveiligingsgebaseerde oplossingen op de markt en hun aantal groeit voortdurend. We geven hier een aantal suggesties. Een op hardware gebaseerde beveiligingskern gebruiken. De Wireless Gecko Series 2 van Silicon Labs is bijvoorbeeld uitgerust met een geïntegreerde security core, oftewel beveiligingskern. Bekijk First Look Video over deze recent aangekondigde technologie.

Neem bijvoorbeeld de CryptoAuthentication SOIC XPro-starterkit met een printplaat met SAMD21-XPRO- en een AT88CKSCKTSOIC-XPRO-aansluiting en Crypto Authentication-voorbeeldapparaten van Microchip. De kit, gebruikt in combinatie met Crypto Evaluation Studio (ACES) van Microchip, ondersteunt alle Crypto Authentication-apparaten inclusief de ATECC608A, ATECC508A, ATECC108A, ATSHA204A en ATAES132A.

De AWS Zero Touch Secure Provisioning Kit, ook van Microchip, is voorzien van een compleet ontwikkelings- en prototyperingsplatform voor provisioning van AWS IoT-apparaten. Zoals getoond op Afbeelding 1 bevat de kit drie aangepaste (ATCRYPTOAUTH-XAWS) add-on printplaten, elk met een AWS-geconfigureerde ECC508 voor provisioning ter plekke door het signer-script van de kit. De kit bevat ook Secure Root- en Signer Provisioning-scripts. De kit is gebouwd op het modulaire Xplained PRO-platform en biedt de mogelijkheid om met verschillende processors, connectiviteit en interfacemodules voor interactiviteit met mensen te experimenteren.

Afbeelding 1: de AWS Zero Touch Secure Provisioning-kit van Microchip voor snel en gemakkelijk ontwerp van IoT-apparaten die aan de nieuwe AWS-regelgeving voor beveiliging voldoen. (Bron afbeelding: Microchip)

De NXP OM-SE050ARD-ontwikkelingskit dient voor de evaluatie van de functies van de SE050-productfamilie en vereenvoudigt de ontwikkeling van veilige IoT-toepassingen (Afbeelding 2). Het veilige EdgeLock-element voor IoT-apparaten biedt een root of trust op het niveau van de IC en biedt reële end-to-end beveiliging, van edge tot cloud, zonder de noodzaak tot het schrijven van een beveiligingscode.

Afbeelding 2: de NXP OM-SE050ARD is een flexibele en gebruikersvriendelijke ontwikkelingskit voor de EdgeLock SE050-productfamilie. (Bron afbeelding: NXP)

Een andere kit die u helpt uw ontwerp te beveiligen is de Blockchain Security 2Go-starterkit van Infineon Technologies die een snelle en gemakkelijke manier biedt om optimale beveiliging in te bouwen. De kit bevat kant-en-klare NFC-kaarten voor het veilig genereren van sleutels; ondertekeningsmethodes en pinbescherming; software op de kaart die opdrachten voor sleutelbeheer ondersteunt; en creatie van handtekeningen en PIN-authenticatie en toegang tot de blockchain-hub van Infineon. Een mogelijke blockchain-toepassing is identiteitsbeheer, dat als basis voor een authenticatiesysteem wordt gebruikt.

Aanvallen komen maar al te vaak voor en worden steeds vernuftiger. Begin met beveiliging op zowel software- als hardwareniveau en wees niet die gemakkelijke prooi die als eerste en snel wordt geraakt. Bedenk wat uw meest kwetsbare punt is, en overweeg de opties, die in steeds grotere aantallen beschikbaar zijn.

Achtergrondinformatie over deze auteur

Image of Carolyn Mathas

Carolyn Mathas draagt al meer dan 20 jaar redacteur-/schrijverhoeden bij publicaties als EDN, EE Times Designlines, Light Reading, Lightwave en Electronic Products. Ze levert ook aangepaste inhoud en marketingdiensten aan verschillende bedrijven.

More posts by Carolyn Mathas
 TechForum

Have questions or comments? Continue the conversation on TechForum, DigiKey's online community and technical resource.

Visit TechForum

Gerelateerde blogs

5 Leading IoT Security Breaches and What We Can Learn From Them Interesting Engineering News 5 Leading IoT Security Breaches and What We Can Learn From Them Author Maker.io Staff
How to Use Cloud Storage for Memory Interesting Engineering News How to Use Cloud Storage for Memory Author Maker.io Staff

Meer blogs van deze auteur

Image of Maxim's MAXQ1061 DeepCover Cryptographic Controller Interesting Engineering News Laat hackers jouw systeem voorbijgaan Author Carolyn Mathas
Image of The Industrial Internet of Things (IIoT) Interesting Engineering News Machine-learning is werkelijkheid geworden – Gebruik het verstandig Author Carolyn Mathas

Related Videos

Silicon Labs Wireless Gecko Series 2 First Look Video
Silicon Labs Wireless Gecko Series 2 First Look Video

Publicatiedatum: 2019-10-30

Blockchain Security 2Go starter kit
Blockchain Security 2Go starter kit

Publicatiedatum: 2019-08-30

Blockchain Security 2Go
Blockchain Security 2Go

Publicatiedatum: 2019-08-30

Related Product Highlight

EV75S95A SAM-IoT WG Development Board Microchip's EV75S95A development board features an on-board debugger allowing users to program and debug the MCU without any additional hardware.
Connected Secure and Wearable Electrocardiogram (ECG) Design Microchip’s Connected, Wearable ECG Demonstration Board can be designed in advanced fitness tracking devices and medical wearable monitoring/diagnostic systems.
Smart Connected Wearable Activity Monitor Microchip's ULP (ultra-low-power) connected reference design can be used as the starting point for the design of patient monitoring devices.

Related Articles and Blogs

Hoe de beveiliging van ingebedde systemen te garanderen met behulp van DSC's en MCU's die worden ondersteund door specifieke beveiligings-IC's Gebruik een combinatie van beveiligings-IC's met krachtige DSC's en energiezuinige MCU's om een effectief beveiligingsplatform voor ingebedde systemen te implementeren.
Hoe snel en efficiënt flexibele EV-oplaadsystemen implementeren Met behulp van een platform van gespecialiseerde apparaten en kaarten kunnen ontwerpers snel en efficiënt uiterst flexibele EV-laadstations ontwikkelen en implementeren.
Tighten Security with Secure Provisioning Secure provisioning is essential to protect secret keys and trusted firmware underlying secure systems, and there are a variety of solutions for this.

Related Product Training Modules

ECC508A CryptoAuthentication TLS is a secure communication protocol and secure connection between clients and servers.
CryptoAuthentication Devices Overview Covering important modern security standards and giving designers more choices for easy implementation of standards-based hardware security.
CryptoAuthentication™ ATSHA204 The CryptoAuthentication ATSHA204 IC including architectural features and the various kits available to help developers working with the ATSHA204.