构建安全且功能丰富的生态系统的首要规则是软件管理——通过应用程序商店机制从可信的来源推送和拉出软件更新和软件发现。
然而,在物联网的市场竞争中,这种情况往往不会发生。许多物联网(IoT)产品开发者忽视了微软Windows、Android和网络平台的痛苦早期历史,而物联网设备的展示——因为软件更新还没有被设计进来——经常被报道。
+也在网络世界:有个足球雷竞技app如何提高物联网安全+
这些早期的平台已经加固,更新已经自动化,应用程序的发现和安装已经变得值得信赖。物联网开发者需要跟随他们的脚步。
时髦的的软件部署和包管理系统Ubuntu操作系统,可能是构建可信物联网应用程序的捷径。
集成Snappy软件管理系统所需的ubuntu内核使用612MB,与Snappy交互所需的端点软件管理服务snapd使用15MB。这款名为snap的物联网应用需要627mb以上的内存。由于内存和计算方面的限制,它不是超低功耗、内存小的微控制器设备的解决方案,但可以用于诸如Raspberry Pi之类的32位设备。然而,对Snappy的回顾是值得的,因为它清楚地解释了可信软件管理和分发问题的一个相当完整的方法。
时髦的及其组件源代码存储库可在Github根据bsd样式的许可证。开源提供了额外的安全性,因为开发人员社区可以查看代码来验证其完整性和没有恶意软件,并且可以对其进行编译和修改,以适应Ubuntu不支持的设备。Snapd将在另一个上运行Linux发行版但是,除了发行版之外,它还依赖于安装Ubuntu-Core来增加内存大小。
系统组件和应用程序是自包含的(除了最基本的操作系统功能,如网络访问)只读映像称为snaps。
Snappy使用限制和安全模型。
snapcraft.io
Snaps在与其他Snaps隔离的安全存储区域中运行。Snaps可以相互通信,可以自动通信,也可以使用手动设置的特权通信,以防止使用使用者和提供者体系结构进行攻击。大多数接口都是为强大的应用程序隔离和用户控制而设计的,因此自动连接的接口被认为是安全的,产品设计和开发团队通过手动连接的接口来选择要信任哪些应用程序以及信任到什么程度。
不幸的是,Snappy不支持地址空间布局随机化(ASLR)。Ubuntu只支持i386和AMD64处理器上的ASLR。ASLR很重要,因为它通过随机地址将可执行文件存储在系统内存中,因此使用内存损坏漏洞的攻击者无法预测其位置并利用诸如升级特权之类的功能。
Ubuntu有一个用于发现、发布和更新的snap store。物联网开发商不需要使用它。开发者可以用Snappy创建自己的商店,设备可以每天自动获取更新。使用简单的事务性更新系统,snaps也可以轻松地卸载或回滚。
每个单元以只读压缩文件的形式提供,在预算设备内存时也需要考虑到这一点。更新的类型有内核、操作系统、小工具或应用程序快照。可以选择将snap存储在公共的多版本可写空间中,以便进行版本回滚。存储多个修订需要在内存预算中考虑。
如果配置为多个存储修订,则通过在设备上存储只读映像并在设备上增加修订号来更新snap。将为更新创建新的可写空间,并将以前版本的可写空间复制到新的可写空间。公共空间中的数据不会以任何方式改变。新的snap被Ubuntu-Core解释为使用符号链接的当前运行时模块。
snapcraft.io
对于更新后的应用程序快照,用户可执行应用程序的新版本将在下一次运行该命令时或在更新刷新期间重新启动后台应用程序守护进程时可用。更新的内核、操作系统和小部件快照要求设备在更新生效之前启动。
信任时髦的商店
Snappy商店的概念可以扩展,以提高物联网应用的整体信任度。就像Windows、谷歌Play和浏览器扩展商店一样,人们对这些商店和更新机制的信任已经取代了单个应用程序开发人员的可信度,从而为从这些商店获得的应用程序创造了更高层次的信任。
例如,Android的谷歌Play会扫描新上传的应用程序中的恶意软件,并执行静态代码分析。机器学习模型识别与恶意软件相关的开发人员签名的良性代码,提醒安全专家团队手动检查应用程序并使用动态分析工具进行测试。Android手机上的Play应用程序会检查潜在的有害应用程序,向用户发出警告,在极端情况下,还会卸载应用程序。
Linux是一个健壮的开发环境,具有丰富的开发工具链,并且它已经被移植到许多处理器体系结构中以执行应用程序,这为系统设计者提供了许多计算上的选择——从Raspberry Pi到云。
与受到电池或小型太阳能电池提供的有限电力和它们可能能够负担的廉价组件成本预算的限制的设计者相比,Linux需要更多的计算资源。这是一次有价值的回顾,因为所有物联网设备的设计者都面临着同样的设计和安全问题——即使是低成本、低功耗的微控制器设计。
阅读更多: