保护嵌入式设备正成为一个热门话题,尤其是当这些设备开始连接到Internet时。嵌入式软件设计人员可以做些什么来提高他们设备的安全性?以下是开发人员需要了解的七个关键事项。1.不是RTOS,而是用户代码许多RTOS供应商非常关心这些嵌入式系统中经常存在后门和缺陷的位置。安全漏洞通常出现在用户开发的代码中,而不是实时操作系统本身。这样做的一个原因是RTOS往往是一小部分函数,??它们操纵低级硬件并且不会呈现任何“容易实现的结果”。相反,黑客更愿意首先查看任何可能赋予他们设备管理权限的基于Web的管理代码。2.谨防第三方代码据调查,很多安全漏洞是由于每个OEM改装的设备中包含第三方代码造成的。第三方代码应该被审查和审查任何潜在的缺陷,而不仅仅是假设是完美无缺的。3.分析工具很便宜人们可能会认为下载、分析和发现安全漏洞所需的工具相对昂贵,而且对于许多准黑客来说是遥不可及的。所以很多人会去掉这个进程。4.禁用WAN访问嵌入式开发人员似乎认为他们的嵌入式设备在本地网络上并且禁止访问WAN,那么为什么要关心可能的安全漏洞呢?如果设备无法访问互联网,那么黑客就无法访问该设备,但不知道该技术允许潜在的黑客使用仅带有图像标签的网页来实现嵌入式设备的WAN访问。然后,这允许黑客访问设备和网络的其余部分。5.注意文本字符串文本字符串可以很容易地被任何有兴趣查看文本的人阅读和理解。因此,开发人员应该非常小心地在他们的设计中存储未加密的信息和数据。6.保护固件黑客需要能够查看和逆向工程代码以轻松找到漏洞。防止黑客访问任何格式的代码会使他们的工作变得更加困难。例如,不要提供可下载并刷入设备的完整二进制固件更新映像。黑客还可以下载图像,然后对其行为进行逆向工程。有时,当更新映像不可用时,黑客只需购买设备并从硬件下载代码。防止黑客这样做的方法是保护嵌入式闪存。许多微控制器和微处理器都有保护闪存的方法,使其无法读取。使用这两种方法不会使设备绝对安全,但会使其更难被利用。嵌入式软件工程师需要关注安全性。进入市场、添加产品功能和创建强大产品的压力常常让开发人员争先恐后地将他们的产品推向市场。但是,一旦产品进入世界,就不知道它会存在多久,也不知道它会如何被用于邪恶目的。即使是最简单的联网设备,如果忽视其安全隐患,也可能导致黑客获得真正制造麻烦所需的计算能力。
