Internet der Dinge

Fünf Überlegungen zur Entwicklung sicherer IoT-Systeme

Seite: 2/5

Firma zum Thema

2. Verwenden Sie eine sichere Plattform-Architektur

Schaubild 1: Eine Architektur für IoT-Geräte wie etwa Point-of-Sale-Systeme. Die PoS-Architektur nutzt eine leichtgewichtige kritische Applikation, den Tokenizer, um die personenbezogenen Informationen zu verarbeiten. Der Tokenizer läuft direkt auf einem hochsicheren Mikrokernel-Hypervisor.
Schaubild 1: Eine Architektur für IoT-Geräte wie etwa Point-of-Sale-Systeme. Die PoS-Architektur nutzt eine leichtgewichtige kritische Applikation, den Tokenizer, um die personenbezogenen Informationen zu verarbeiten. Der Tokenizer läuft direkt auf einem hochsicheren Mikrokernel-Hypervisor.
(Bild: Green Hills Software)
Die Plattform-Sicherheit von IoT-Einrichtungen beginnt mit einer Hardware Root of Trust unterhalb jeglicher Softwareebene. Dabei handelt es sich im einfachsten Fall um einen manipulationssicheren Code-Schlüssel-Speicher, der zumindest ein sicheres Booten der Firmware und der zugehörigen sicherheitskritischen Komponenten garantiert.

Die Boot-Sequenz muss Hardware-rooted Code-Schlüssel verwenden, um diese Komponenten vor dem Start einer Signaturprüfung zu unterziehen. Anschließend kann die Hardware Root of Trust auch für die Fernabfrage und zum Schutz der Code-Schlüssel für die Authentifizierung und Verschlüsselung verwendet werden. Falls ein Angreifer versucht, kritische Software mit Schadcode zu überschreiben, wird der Beglaubigungsprozess dies erkennen.

Nach dem sicheren Start ist die ausführende Software (Betriebssystem, Hypervisor oder TEE) der wohl wichtigste Baustein für sichere IoT-Einrichtungen. Es lassen sich keine sicheren Anwendungen oder IoT-Einrichtungen auf einem unsicheren Betriebssystem oder Hypervisor entwickeln. Diese Software Root of Trust hat idealerweise folgende Eigenschaften:

  • Hohe Sicherheit: design- und implementierungs-zertifizierbar nach strengsten Sicherheitsstandards (etwa Common Criteria EAL 7), einschließlich formalem Sicherheitsnachweis;
  • Skalierbar: in der Lage, einfache Echtzeit-Lasten bis hin zu umfassenden Linux-Betriebssystemen und Stacks zu unterstützen (und beides gleichzeitig);
  • Offen: mit einer Laufzeitumgebung und API, die offenen Standards entspricht und Interoperabilität sowie Software-Wiederverwendung fördert.

Diese Prinzipien zur Plattform-Architektur geben Entwickler ein leistungsfähiges Tool-Paket an die Hand, mit dem sie sichere IoT-Systeme erstellen können. Um dies zu demonstrieren, dient der Hackerangriff auf die Target Corporation als Beispiel (der zweitgrößte Discount-Einzelhändler in den USA).

Wie hätte man diesen Angriff verhindern können? In die PoS-Terminals (Point of Sale) von Target und Home Depot (größte Baumarkt-Kette in den USA) wurde Schadsoftware eingeschleust, die Kontrolle über die Speicherinhalte (RAM) übernahm und so persönliche Informationen abgriff.

Eine fortschrittliche PoS-Architektur würde ein depriviligiertes OS und eine einfache sicherheitskritische Anwendung (Tokenizer) nutzen, um persönliche Informationen zu verarbeiten. Der Tokenizer läuft direkt auf einem Thingvisor, einem hochsicheren Mikrokernel-basierten Hypervisor, und verwaltet das Kartenlesegerät, über das die Zahlung erfolgt.

Der Tokenizer nutzt eine sichere Verbindung zu einem Backend-Web-Service, um persönliche Informationen abzugleichen, führt eine virtuelle Kartenabfrage durch und erstellt ein Token. Dieses wird an das OS des PoS-System weitergeleitet. Das OS kann zwar durch Schadsoftware infiltiert sein, es können jedoch keine persönlichen Informationen gestohlen werden.

Die Thingvisor-basierte PoS-Architektur ist in Schaubild 1 dargestellt und wurde auf der NRF Big Show (US National Retail Federation's Annual Convention & EXPO) demonstriert. Target hat dieses Konzept verpasst, aber es ist noch nicht zu spät für das Unternehmen und andere Einzelhändler, einen solchen vertrauenswürdigen Ansatz für PoS-Systeme zu installieren.

(ID:43115031)