Breaking News

นักวิจัยจาก ARM เสนอมาตรฐานการอัปเดตเฟิร์มแวร์ IoT อย่างมั่นคงปลอดภัย

เมื่อวันจันทร์ที่ผ่านมา 3 นักวิจัยด้านความมั่นคงปลอดภัยจาก ARM ได้ยื่นข้อเสนอต่อ Internet Engineering Task Force (IETF) เพื่อกำหนดกรอบการดำเนินการอัปเดตเฟิร์มแวร์อุปกรณ์ Internet of Things (IoT) อย่างมั่นคงปลอดภัย เตรียมออกเป็นมาตรฐานในอนาคต

Credit: Melpomene/ShutterStock

ข้อเสนอของ ARM นี้มีหัวข้อว่า “IoT Firmwar Update Architecture” ซึ่งถ้าได้รับการยืนยันจาก IETF จะกลายเป็นมาตรฐานหรือข้อบังคับพื้นฐาน (Baseline) สำหรับให้เจ้าของผลิตภัณฑ์นำไปใช้เพื่อออกแบบกระบวนการอัปเดตเฟิร์มเวอร์สำหรับอุปกรณ์ IoT ของตนที่จะวางขายในอนาคตทันที โดยเนื้อหาในข้อเสนอนี้ไม่ใช่เรื่องใหม่หรือมีเนื้อหาที่เฉพาะเจาะจงเป็นพิเศษ เจ้าของผลิตภัณฑ์บางรายก็มีกระบวนการในการอัปเดตตรงตามกับข้อเสนอชุดนี้เป็นที่เรียบร้อยแล้ว นอกจากนี้ หน่วยงานกำกับดูแลที่เกี่ยวข้องสามารถนำมาตรฐานดังกล่าวไปใช้เป็นแนวทางในการออกกฎหมายและข้อบังคับแก่ผู้ผลิตหรือองค์กรที่อยู่ภายใต้การกำกับดูแลได้

เนื้อหาของข้อเสนอสามารถกล่าวโดยสรุปได้ดังนี้

  • กลไกการอัปเดตต้องดำเนินไปในแบบเดียวกันทั้งการอัปเดตผ่านทาง Bluetooth, Wi-Fi, UART, USB หรือสื่อกลางอื่นๆ
  • กลไกการอัปเดตต้องดำเนินการผ่านการบรอดแคสต์ได้ ซึ่งช่วยให้สามารถอัปเดตอุปกรณ์ได้หลายๆ เครื่องพร้อมกันในทีเดียว
  • ต้องมีกระบวนการด้านความมั่นคงปลอดภัยแบบ End-to-end (Public Key Cryptography) สำหรับยืนยันและตรวจสอบ Image ของเฟิร์มแวร์
  • ต้องมีการป้องกันการโจมตีแบบ Rollback Attacks
  • ข้อมูลที่จำเป็นทั้งหมดสำหรับอุปกรณ์สำหรับใช้ในการตัดสินใจเกี่ยวกับการติดตั้งตัวอัปเดตจะต้องถูกจัดเก็บใน RAM ของอุปกรณ์ IoT อย่างเหมาะสมเพื่อป้องกันปัญหา Flash Write Exhaustion
  • ความล้มเหลวอันเนื่องจากแหล่งกำเนิดไฟขณะดำเนินการอัปเดตจะต้องไม่ก่อให้เกิดความล้มเหลวแก่อุปกรณ์
  • กลไกการอัปเดตเฟิร์มแวร์ต้องไม่ก่อให้เกิดการเปลี่ยนแปลงรูปแบบของไฟล์เฟิร์มแวร์ที่ใช้อยู่ ณ ปัจจุบัน
  • กลไกการอัปเดตเฟิร์มแวร์ใหม่ต้องสามารถทำงานบน Bootloader ขนาดเล็กซึ่งมักถูกใช้ในอุปกรณ์ IoT ส่วนใหญ่ได้
  • กลไกการอัปเดตต้องมีการพิจารณาสิทธิ์ (Permission) ต่างๆ เช่น การอัปเดตเฟิร์มแวร์สำหรับอุปกรณ์ใน Critical Infrastructure จะต้องถูกเซ็นชื่อดิจิทัลทั้งฝั่งผู้พัฒนาเฟิร์มแวร์และเจ้าของอุปกรณ์ เป็นต้น
  • สถาปัตยกรรมการอัปเดตเฟิร์มแวร์อุปกรณ์ IoT ใหม่ต้องรองรับ Manifest File ซึ่งประกอบด้วยข้อมูลดังต่อไปนี้
    • ข้อมูลเกี่ยวกับอุปกรณ์ที่จะทำการอัปเดตเฟิร์มแวร์
    • ข้อมูลเกี่ยวกับเวลาที่เฟิร์มแวร์ทำการอัปเดต
    • ข้อมูลเกี่ยวกับเวลาที่ Manifest File ถูกสร้างขึ้นมา
    • ความเชื่อมโยงกับ Manifest อื่นๆ
    • Pointer ที่ชี้ไปยัง Image ของเฟิร์มแวร์และข้อมูลเกี่ยวกับรูปแบบ
    • ข้อมูลเกี่ยวกับตำแหน่งที่จัดเก็บ Image ของเฟิร์มแวร์
    • ข้อมูลเกี่ยวกับการเข้ารหัสข้อมูล เช่น ลายเซ็นต์ดิจิทัล

Ken Munro นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ที่ปรึกษาด้านความมั่นคงปลอดภัยและการทดสอบเจาะระบบชื่อดังจากสหราชอาณาจักร ให้ความเห็นเกี่ยวกับข้อเสนอดังกล่าวว่า ทางทีมนักวิจัยและ IETF เริ่มต้นมาถูกทางแล้ว แต่อาจต้องมีการขยายคำจำกัดความบางอย่างเพิ่มเติม เช่น “การยืนยัน (Verify)” หรือ “การตรวจสอบ (Validate)” เพื่อเพิ่มความชัดเจน เนื่องจากถ้ามีความกำกวมเกิดขึ้น อาจก่อให้เกิดประเด็นด้านความมั่นคงปลอดภัยได้

การยื่นเรื่องเสนอต่อ IETF นี้นับว่าเป็นเฟสแรกจาก 3 เฟสสำหรับการทำเป็นมาตรฐานอย่างเป็นทางการที่จะใช้กันในอนาคต ผู้ที่สนใจสามารถดูข้อเสนอฉบับเต็มได้ที่: https://tools.ietf.org/html/draft-moran-suit-architecture-00

ที่มา: https://www.bleepingcomputer.com/news/security/experts-propose-standard-for-iot-firmware-updates/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ 0-Day ใน jQuery Plugin มีสอนใน Youtube มาแล้วหลายปีและแอปจำนวนหลายพันได้รับผลกระทบ

Larry Cashdollar นักวิจัยจาก Akamai ได้คนบนช่องโหว่บนปลั้กอิน jQuery File Upload ซึ่งพบว่าสามารถทำให้เกิดการอัปโหลด Web Shell และรันคำสั่งบนเซิร์ฟเวอร์ได้ ที่น่าตกใจคือช่องโหว่เกิดขึ้นมากว่า 8 ปีแล้วและมีวีดีโอสอนบนยูทูปมากว่า …

ปกป้อง Data Center และระบบ Cloud ด้วยโซลูชันแบบ All-in-one ของ Arcserve UDP 8000 Series

Arcserve UDP เป็น Appliance ที่ให้บริการฟีเจอร์ Backup & Recovery แบบ One Stop Shop กล่าวคือ ผสานรวมเทคโนโลยี Backup …