นักวิจัยจาก ARM เสนอมาตรฐานการอัปเดตเฟิร์มแวร์ IoT อย่างมั่นคงปลอดภัย

เมื่อวันจันทร์ที่ผ่านมา 3 นักวิจัยด้านความมั่นคงปลอดภัยจาก ARM ได้ยื่นข้อเสนอต่อ Internet Engineering Task Force (IETF) เพื่อกำหนดกรอบการดำเนินการอัปเดตเฟิร์มแวร์อุปกรณ์ Internet of Things (IoT) อย่างมั่นคงปลอดภัย เตรียมออกเป็นมาตรฐานในอนาคต

Credit: Melpomene/ShutterStock

ข้อเสนอของ ARM นี้มีหัวข้อว่า “IoT Firmwar Update Architecture” ซึ่งถ้าได้รับการยืนยันจาก IETF จะกลายเป็นมาตรฐานหรือข้อบังคับพื้นฐาน (Baseline) สำหรับให้เจ้าของผลิตภัณฑ์นำไปใช้เพื่อออกแบบกระบวนการอัปเดตเฟิร์มเวอร์สำหรับอุปกรณ์ IoT ของตนที่จะวางขายในอนาคตทันที โดยเนื้อหาในข้อเสนอนี้ไม่ใช่เรื่องใหม่หรือมีเนื้อหาที่เฉพาะเจาะจงเป็นพิเศษ เจ้าของผลิตภัณฑ์บางรายก็มีกระบวนการในการอัปเดตตรงตามกับข้อเสนอชุดนี้เป็นที่เรียบร้อยแล้ว นอกจากนี้ หน่วยงานกำกับดูแลที่เกี่ยวข้องสามารถนำมาตรฐานดังกล่าวไปใช้เป็นแนวทางในการออกกฎหมายและข้อบังคับแก่ผู้ผลิตหรือองค์กรที่อยู่ภายใต้การกำกับดูแลได้

เนื้อหาของข้อเสนอสามารถกล่าวโดยสรุปได้ดังนี้

  • กลไกการอัปเดตต้องดำเนินไปในแบบเดียวกันทั้งการอัปเดตผ่านทาง Bluetooth, Wi-Fi, UART, USB หรือสื่อกลางอื่นๆ
  • กลไกการอัปเดตต้องดำเนินการผ่านการบรอดแคสต์ได้ ซึ่งช่วยให้สามารถอัปเดตอุปกรณ์ได้หลายๆ เครื่องพร้อมกันในทีเดียว
  • ต้องมีกระบวนการด้านความมั่นคงปลอดภัยแบบ End-to-end (Public Key Cryptography) สำหรับยืนยันและตรวจสอบ Image ของเฟิร์มแวร์
  • ต้องมีการป้องกันการโจมตีแบบ Rollback Attacks
  • ข้อมูลที่จำเป็นทั้งหมดสำหรับอุปกรณ์สำหรับใช้ในการตัดสินใจเกี่ยวกับการติดตั้งตัวอัปเดตจะต้องถูกจัดเก็บใน RAM ของอุปกรณ์ IoT อย่างเหมาะสมเพื่อป้องกันปัญหา Flash Write Exhaustion
  • ความล้มเหลวอันเนื่องจากแหล่งกำเนิดไฟขณะดำเนินการอัปเดตจะต้องไม่ก่อให้เกิดความล้มเหลวแก่อุปกรณ์
  • กลไกการอัปเดตเฟิร์มแวร์ต้องไม่ก่อให้เกิดการเปลี่ยนแปลงรูปแบบของไฟล์เฟิร์มแวร์ที่ใช้อยู่ ณ ปัจจุบัน
  • กลไกการอัปเดตเฟิร์มแวร์ใหม่ต้องสามารถทำงานบน Bootloader ขนาดเล็กซึ่งมักถูกใช้ในอุปกรณ์ IoT ส่วนใหญ่ได้
  • กลไกการอัปเดตต้องมีการพิจารณาสิทธิ์ (Permission) ต่างๆ เช่น การอัปเดตเฟิร์มแวร์สำหรับอุปกรณ์ใน Critical Infrastructure จะต้องถูกเซ็นชื่อดิจิทัลทั้งฝั่งผู้พัฒนาเฟิร์มแวร์และเจ้าของอุปกรณ์ เป็นต้น
  • สถาปัตยกรรมการอัปเดตเฟิร์มแวร์อุปกรณ์ IoT ใหม่ต้องรองรับ Manifest File ซึ่งประกอบด้วยข้อมูลดังต่อไปนี้
    • ข้อมูลเกี่ยวกับอุปกรณ์ที่จะทำการอัปเดตเฟิร์มแวร์
    • ข้อมูลเกี่ยวกับเวลาที่เฟิร์มแวร์ทำการอัปเดต
    • ข้อมูลเกี่ยวกับเวลาที่ Manifest File ถูกสร้างขึ้นมา
    • ความเชื่อมโยงกับ Manifest อื่นๆ
    • Pointer ที่ชี้ไปยัง Image ของเฟิร์มแวร์และข้อมูลเกี่ยวกับรูปแบบ
    • ข้อมูลเกี่ยวกับตำแหน่งที่จัดเก็บ Image ของเฟิร์มแวร์
    • ข้อมูลเกี่ยวกับการเข้ารหัสข้อมูล เช่น ลายเซ็นต์ดิจิทัล

Ken Munro นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ที่ปรึกษาด้านความมั่นคงปลอดภัยและการทดสอบเจาะระบบชื่อดังจากสหราชอาณาจักร ให้ความเห็นเกี่ยวกับข้อเสนอดังกล่าวว่า ทางทีมนักวิจัยและ IETF เริ่มต้นมาถูกทางแล้ว แต่อาจต้องมีการขยายคำจำกัดความบางอย่างเพิ่มเติม เช่น “การยืนยัน (Verify)” หรือ “การตรวจสอบ (Validate)” เพื่อเพิ่มความชัดเจน เนื่องจากถ้ามีความกำกวมเกิดขึ้น อาจก่อให้เกิดประเด็นด้านความมั่นคงปลอดภัยได้

การยื่นเรื่องเสนอต่อ IETF นี้นับว่าเป็นเฟสแรกจาก 3 เฟสสำหรับการทำเป็นมาตรฐานอย่างเป็นทางการที่จะใช้กันในอนาคต ผู้ที่สนใจสามารถดูข้อเสนอฉบับเต็มได้ที่: https://tools.ietf.org/html/draft-moran-suit-architecture-00

ที่มา: https://www.bleepingcomputer.com/news/security/experts-propose-standard-for-iot-firmware-updates/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

แนะนำ 9 เครื่องมือสำหรับงาน AI Governance

ประเด็นด้านการใช้งาน AI เริ่มเป็นที่ถกเถียงมากขึ้น จากชื่อเสียงและความเก่งกาจที่เพิ่มขึ้นทุกวัน หรือความเสี่ยงที่ผู้ให้บริการ AI อาจล่วงรู้ถึงข้อมูลที่ละเอียดอ่อน และการละเมิดลิขสิทธิ์ด้านข้อมูล นอกจากนี้ยังมีประเด็นที่คนร้ายสามารถใช้ประโยชน์จาก AI ได้ด้วย ด้วยเหตุนี้องค์กรในปัจจุบันที่ต้องการสร้างโปรเจ็คด้าน AI จึงต้องย้อนกลับมาตั้งต้นด้วยโจทย์ที่ว่า ท่านจะสร้าง …

Data warehouse คืออะไร?

การทำงานใดที่มีข้อมูลเกิดขึ้นและต้องนำข้อมูลไปใช้ประโยชน์ การทำงานนั้นย่อมมีระบบหรือวิธีการจัดเก็บข้อมูล ยกตัวอย่างเช่นฐานข้อมูล (database) ก็เป็นทางเลือกหนึ่ง ต่อมาหากต้องการมองภาพรวมของส่วนธุรกิจ องค์กรก็ต้องบูรณาการข้อมูลเข้าด้วยกันเพื่อวิเคราะห์แนวโน้มหรือสกัดคุณค่าบางอย่างออกมา โดย Data Warehouse คือกลยุทธ์หนึ่งที่ตอบโจทย์ความต้องการนี้ คำถามคือแล้ว Data Warehouse คืออะไรกันแน่?