Breaking News

นักวิจัยจาก ARM เสนอมาตรฐานการอัปเดตเฟิร์มแวร์ IoT อย่างมั่นคงปลอดภัย

เมื่อวันจันทร์ที่ผ่านมา 3 นักวิจัยด้านความมั่นคงปลอดภัยจาก ARM ได้ยื่นข้อเสนอต่อ Internet Engineering Task Force (IETF) เพื่อกำหนดกรอบการดำเนินการอัปเดตเฟิร์มแวร์อุปกรณ์ Internet of Things (IoT) อย่างมั่นคงปลอดภัย เตรียมออกเป็นมาตรฐานในอนาคต

Credit: Melpomene/ShutterStock

ข้อเสนอของ ARM นี้มีหัวข้อว่า “IoT Firmwar Update Architecture” ซึ่งถ้าได้รับการยืนยันจาก IETF จะกลายเป็นมาตรฐานหรือข้อบังคับพื้นฐาน (Baseline) สำหรับให้เจ้าของผลิตภัณฑ์นำไปใช้เพื่อออกแบบกระบวนการอัปเดตเฟิร์มเวอร์สำหรับอุปกรณ์ IoT ของตนที่จะวางขายในอนาคตทันที โดยเนื้อหาในข้อเสนอนี้ไม่ใช่เรื่องใหม่หรือมีเนื้อหาที่เฉพาะเจาะจงเป็นพิเศษ เจ้าของผลิตภัณฑ์บางรายก็มีกระบวนการในการอัปเดตตรงตามกับข้อเสนอชุดนี้เป็นที่เรียบร้อยแล้ว นอกจากนี้ หน่วยงานกำกับดูแลที่เกี่ยวข้องสามารถนำมาตรฐานดังกล่าวไปใช้เป็นแนวทางในการออกกฎหมายและข้อบังคับแก่ผู้ผลิตหรือองค์กรที่อยู่ภายใต้การกำกับดูแลได้

เนื้อหาของข้อเสนอสามารถกล่าวโดยสรุปได้ดังนี้

  • กลไกการอัปเดตต้องดำเนินไปในแบบเดียวกันทั้งการอัปเดตผ่านทาง Bluetooth, Wi-Fi, UART, USB หรือสื่อกลางอื่นๆ
  • กลไกการอัปเดตต้องดำเนินการผ่านการบรอดแคสต์ได้ ซึ่งช่วยให้สามารถอัปเดตอุปกรณ์ได้หลายๆ เครื่องพร้อมกันในทีเดียว
  • ต้องมีกระบวนการด้านความมั่นคงปลอดภัยแบบ End-to-end (Public Key Cryptography) สำหรับยืนยันและตรวจสอบ Image ของเฟิร์มแวร์
  • ต้องมีการป้องกันการโจมตีแบบ Rollback Attacks
  • ข้อมูลที่จำเป็นทั้งหมดสำหรับอุปกรณ์สำหรับใช้ในการตัดสินใจเกี่ยวกับการติดตั้งตัวอัปเดตจะต้องถูกจัดเก็บใน RAM ของอุปกรณ์ IoT อย่างเหมาะสมเพื่อป้องกันปัญหา Flash Write Exhaustion
  • ความล้มเหลวอันเนื่องจากแหล่งกำเนิดไฟขณะดำเนินการอัปเดตจะต้องไม่ก่อให้เกิดความล้มเหลวแก่อุปกรณ์
  • กลไกการอัปเดตเฟิร์มแวร์ต้องไม่ก่อให้เกิดการเปลี่ยนแปลงรูปแบบของไฟล์เฟิร์มแวร์ที่ใช้อยู่ ณ ปัจจุบัน
  • กลไกการอัปเดตเฟิร์มแวร์ใหม่ต้องสามารถทำงานบน Bootloader ขนาดเล็กซึ่งมักถูกใช้ในอุปกรณ์ IoT ส่วนใหญ่ได้
  • กลไกการอัปเดตต้องมีการพิจารณาสิทธิ์ (Permission) ต่างๆ เช่น การอัปเดตเฟิร์มแวร์สำหรับอุปกรณ์ใน Critical Infrastructure จะต้องถูกเซ็นชื่อดิจิทัลทั้งฝั่งผู้พัฒนาเฟิร์มแวร์และเจ้าของอุปกรณ์ เป็นต้น
  • สถาปัตยกรรมการอัปเดตเฟิร์มแวร์อุปกรณ์ IoT ใหม่ต้องรองรับ Manifest File ซึ่งประกอบด้วยข้อมูลดังต่อไปนี้
    • ข้อมูลเกี่ยวกับอุปกรณ์ที่จะทำการอัปเดตเฟิร์มแวร์
    • ข้อมูลเกี่ยวกับเวลาที่เฟิร์มแวร์ทำการอัปเดต
    • ข้อมูลเกี่ยวกับเวลาที่ Manifest File ถูกสร้างขึ้นมา
    • ความเชื่อมโยงกับ Manifest อื่นๆ
    • Pointer ที่ชี้ไปยัง Image ของเฟิร์มแวร์และข้อมูลเกี่ยวกับรูปแบบ
    • ข้อมูลเกี่ยวกับตำแหน่งที่จัดเก็บ Image ของเฟิร์มแวร์
    • ข้อมูลเกี่ยวกับการเข้ารหัสข้อมูล เช่น ลายเซ็นต์ดิจิทัล

Ken Munro นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ที่ปรึกษาด้านความมั่นคงปลอดภัยและการทดสอบเจาะระบบชื่อดังจากสหราชอาณาจักร ให้ความเห็นเกี่ยวกับข้อเสนอดังกล่าวว่า ทางทีมนักวิจัยและ IETF เริ่มต้นมาถูกทางแล้ว แต่อาจต้องมีการขยายคำจำกัดความบางอย่างเพิ่มเติม เช่น “การยืนยัน (Verify)” หรือ “การตรวจสอบ (Validate)” เพื่อเพิ่มความชัดเจน เนื่องจากถ้ามีความกำกวมเกิดขึ้น อาจก่อให้เกิดประเด็นด้านความมั่นคงปลอดภัยได้

การยื่นเรื่องเสนอต่อ IETF นี้นับว่าเป็นเฟสแรกจาก 3 เฟสสำหรับการทำเป็นมาตรฐานอย่างเป็นทางการที่จะใช้กันในอนาคต ผู้ที่สนใจสามารถดูข้อเสนอฉบับเต็มได้ที่: https://tools.ietf.org/html/draft-moran-suit-architecture-00

ที่มา: https://www.bleepingcomputer.com/news/security/experts-propose-standard-for-iot-firmware-updates/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VMUG Webinar: แม่นยำขึ้น ฉลาดขึ้น ในการตรวจสอบปัญหาและการใช้ทรัพยากรในระบบ VMware HCI, Private Cloud, Hybrid Cloud, Multi-Cloud โดย VMware

VMware User Group Thailand ขอเรียนเชิญผู้บริหารฝ่าย IT, ผู้จัดการ IT, Cloud Engineer, System Engineer และผู้ดูแลระบบ IT เข้าร่วมฟัง Webinar ในหัวข้อเรื่อง "แม่นยำขึ้น ฉลาดขึ้น ในการตรวจสอบปัญหาและการใช้ทรัพยากรในระบบ VMware HCI, Private Cloud, Hybrid Cloud, Multi-Cloud โดย VMware" เพื่อรู้จักกับแนวคิด Self-Driving Operation ที่ต่อยอดจากความสามารถของ VMware vRealize Operation 8.0 โดยทีมงาน VMware โดยตรง ในวันจันทร์ที่ 25 พฤศจิกายน 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

TechTalk Webinar: HTTP/3, How Cloudflare Help to Make the Internet Better โดย Cloudflare APAC

TechTalkThai ขอเรียนเชิญทุกท่านในสายงานด้าน IT เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "TechTalk Webinar: HTTP/3, How Cloudflare Help to Make the Internet Better โดย Cloudflare APAC" เพื่อรู้จักกับแนวคิดและการทำงานของ HTTP/3 อย่างเจาะลึก พร้อมกับโซลูชันของ Cloudflare ที่จะช่วยให้ Web Application ของคุณสามารถเริ่มต้นรองรับ HTTP/3 ได้ทันที ในวันอังคารที่ 26 พฤศจิกายน 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้