אף לא יצרן אחד של התקנים משובצים היה טוען שהחשיפה של התקנים מחוברים לאיומי אבטחה היא תוצאה ממצבי פגיעות ברכיבי האבטחה הקיימים בשוק כיום. מצב כזה יכול להיות מגוחך: קל למצוא רכיבים מקצועיים כגון מרכיבים של אבטחה או מערכות על שבב (SoC) מהשורה הראשונה אשר יממשו צורות מתוחכמות של הצפנה, אחסון מפתח מאובטח על שבב (https://www.winbond.com/hq/support/online-learning/articles-item/articles00016.html?__locale=en), ניתוח הספקים ופונקציות אבטחה אחרות. כאשר הרכיבים האלו משולבים בצורה נכונה בתכנונים של מערכות, הם מספקים הגנה חזקה להתקן שמאחסן אותם.
אם כך, אם יש רכיבי אבטחה קיימים מן המוכן, מדוע אנו עדים להתקפות על התקנים מחוברים על בסיס יומי? ככלות הכל, העדויות להתקפות ברשת (התקפות סייבר) על מערכות אלקטרוניות מובאות בשפע. מחקר עצמאי מראה שמספר ההתקפות ברשת על התקנים מסוג האינטרנט של הדברים (IoT) בארה”ב זינק בשנת 2019 ב- 300% בהשוואה לשנה הקודמת. בה בעת, קיימת הערכה ש- 57% מהתקני IoT בארה”ב בערך נתונים לפגיעות של התקפות בחומרה בינונית או גבוהה ועלות כל פריצה להתקן IoT בנקודת קצה היא 9 מיליון דולר, בממוצע.
העלות הכספית של התקפת רשת מוצלחת לא נגזרת רק מאובדן הכנסות שנגרם כתוצאה מהפסקת השירות. עלויות נוספות כוללות נזק למותג של היצרן, עונשים אפשריים מצד רשויות ממשלתיות עקב חריגה מתקנות אבטחה, והפנייה של עובדי הנדסה מיומנים מעבודת פיתוח יצרנית לפעולות שיקום ותיקון בשעת חירום. התקינה בתחום זה ממשיכה להתהדק ומאלצת את היצרנים של התקני IoT להקדיש תשומת לב לדרישות התאימות. התקנה של האיחוד האירופי לעניין האבטחה במרחב האבטחה(Cybersecurity) והחוק הסיני בנושא זה כופים דרישות עם טווח רחב, עם גיבוי של בדיקות עצמאיות לגבי מידת הפגיעות של התקנים, והתקנה הקיימת במדינת קליפורניה לגבי פרטיות צרכנים משיתה קנסות בגובה של 2,500 דולר על חברות בגין כל הפרה לא מכוונת.
ואולם, על אף כל העלויות והחוקים האלו, נקודות קצה שאבטחתן פגומה נותרות פגיעות. במקרים מסוימים, מצב זה מתקיים עקב הפגיעות בחלקים מסוימים של המערכת מעבר לחלק המשמש לאבטחה או מערכת על שבב (SoC) לאבטחה. לעתים קרובות ביותר, פגיעות כזו נמצאת בזיכרון FLASH (Flash) חיצוני סטנדרטי שמאחסן קוד או נתונים קריטיים.
במקרים אחרים, התקן יכול להיות חשוף להתקפה ברשת מפני שחסר למערכת אלמנט אבטחה או מערכת SoC לאבטחה, והיא חסרה לכן את ההגנה המתוחכמת שהייתה אמורה לספק.
בשני המקרים, המחסומים העומדים בפני מימוש אבטחה ברמת חומרה הם בדרך כלל עלות וקושי. ואכן רכיבי אבטחה מהרמה הראשונה בדירוג פיננסי המיועדים למוצרים הקשורים בכסף כגון מסופי תשלום וטלפונים ניידים, יהיו מורכבים וקשים למימוש מבחינה טכנית עבור מהנדסים שאינם מומחים בתחום האבטחה.
אבל כיום חברת WINBOND הוציאה לשוק דור חדש של מוצרי זיכרון FLASHמאובטחים שבא לספק יסוד חומרה מאובטח לאותם התקנים משובצים שלא נדרשת להם הגנה ברמה של תשלום בכסף. זיכרונות FLASH מאובטחים אלו, אשר לעתים קרובות מתאפיינים בעקבת מעגל וסידור פינים של מארז זיכרון FLASH סטנדרטי ומבוקרים באמצעות ערכת הפקודות הרגילה SPI NOR Flash, קלים למימוש על ידי אנשי תכנון רגילים של התקנים משובצים, ועם זאת מספקים ערכה מקיפה של פונקציות אבטחה כדי להגן על התקנים מחוברים מפני התקפה על שלמות המערכת או על פרטיות הנתונים.
מדוע כדאי לממש אבטחה בהתקן זיכרון?
באפן מסורתי זיכרון לא נדיף נחשב להתקן פשוט: סיביות נכתבות בתוכו ואותן סיביות נקראות לאחר מכן. הוא נחשב באופן כללי כהתקן אחסון ולא כמעבד.
למעשה, מובן שכל זיכרון FLASH מסוג NOR המשמש לקוד או לנתונים של יישום יכלול לוגיקה לצורך בקרה של פעולות הזיכרון ושל התקשורת עם המחשב המארח דרך ממשק טורי של התקנים היקפיים. התקני FLASH לאבטחה מתבססים על בלוק לוגיקה זה ומרחיבים אותו כדי לספק פונקציות אבטחה יחד עם פונקציות הבקרה של הזיכרון.
יצרנים של זיכרונות FLASH כדוגמת Winbond פיתחו את הדור החדש הזה של מוצרי FLASH לאבטחה בגלל מגבלות התקנות לגבי זיכרונות הflash המשובצים בבקרי מיקרו ובמערכות על שבב. בעוד בקרי מיקרו ומערכות על שבב עברו לתהליכי ייצור בפרוסות (wafer) בצמתים קטנים מ- 20 ננו מטר, הדירוג של זיכרונות FLASH NOR לא עקב אחריהם. המשמעות היא שביחידות MCU ובמערכות SoC המתקדמות ביותר, התהליך המשובץ של FLASH שער צף (embedded floating-gate flash process) לא קיים והקיבול לעתים קרובות אינו גדול דיו כדי לאחסן את קוד התוכנה המתוחכם שהן מיועדות להפעיל.
לכן, היום, בתכנונים של התקנים משובצים, קוד היישום מאוחסן בדרך כלל בהתקן חיצוני של זיכרון FLASH. ואולם, אם ההתקן מחובר – במיוחד אם מדובר בהתקן IoT המחובר לרשת האינטרנט – קוד האתחול המאוחסן בהתקן חיצוני פגיע להתקפות, והנתונים חשופים לגניבה או לחדירה מבחוץ, אלא אם התקן הזיכרון עצמו יהיו מוגן באמצעות פונקציונליות אבטחה מקיפה. וכאן בא לידי ביטוי הערך של התקן אבטחה בזיכרון FLASH אשר משלים את האבטחה של המערכת על שבב/ יחידת MCU.
היכולות העיקריות של אבטחה בזיכרון FLASH
עם כן, הסיבה להחלפת זיכרון FLASH חיצוני מסוג NOR בנקודת הקצה של IoT, בזיכרון FLASH מאובטח, תהיה כדי להגן על השלמות של קוד אתחול ושל נתוני יישום. התקנים מאובטחים שונים של זיכרון FLASH מספקים סוג מסוים של אחסון מאובטח. בצורתה הבסיסית ביותר, פונקציונליות מאובטחת זו מאפשרת אימות מאובטח ומוצפן: המשמעות היא שהתקן הFLASH יאפשר רק למחשב המארח המורשה לבצע פעולות קריאה וכתיבה ויגן בכך על הנתונים, כדי שלא תהיה אליהם גישה מכל התקן שאינו המערכת על שבב במחשב המארח.
איור W77Q :1 יכול ליצור ערוץ
מאובטח אל מרכז אבטחה בענן לצורך
העברת עדכוני תוכנה באופן אלחוטי, גם
כאשר יש פגיעה באבטחה של המערכת
על שבב במחשב המארח.
מקור התמונה: (Winbond)
ואולם, האמור לעיל מספק רק צורה מוגבלת של הגנת אבטחה. כדי ליצור הגנה מפני סוגים רבים של התקפות רשת, ועל מנת לאפשר תאימות לתקנות כמו פונקציונליות האבטחה ברמות הבסיסית והמהותית לפי חוק האבטחה ברשת של האיחוד האירופי, Winbond פיתחה זיכרון FLASH מסוג NOR, דגם W77Q, שהוא חלק ממשפחת TrustME של זיכרונות FLASH לאבטחה.
בנוסף לאימות מאובטח, W77Q מספק:
- חוסן (Resilience): הגנה גילוי ושיקום, כדי להבטיח שאפשר יהיה לאתחל את התקן IoT באופן אוטומטי בתוך קוד מאובטח וידוע, גם לאחר שבוצעה התקפה ברשת כדי לבטל את פעולתה.
- בסיס אמון (Root-of-trust): מאפשר תקשורת אימות עם המערכת על שבב שבמחשב המארח ועם מערכות חיצוניות כגון שירותי מחשוב בענן.
- אחסון נתונים מאובטח
- ערוץ מאובטח מזיכרון הFLASH אל סמכות אמינה בענן המחשוב לקבלת עדכוני קושחה באופן אלחוטי. המשמעות של ערוץ זה היא שאפשר לעדכן את הזיכרון בגרסה חדשה של קוד האתחול באופן עצמאי דרך המערכת על שבב, גם כאשר יש פגיעת אבטחה במערכת על שבב עצמה (עיין באיור 1).
W77Q עבר הערכה במעבדה חיצונית מוסמכת. הוא נמצא תואם לדרישות חקיקת הפרטיות GDPR של האיחוד האירופי ומספק את רמת ההגנה ‘המהותית’, כפי שהיא מוגדרת על ידי תקנת האבטחה ברשת של האיחוד האירופי. הוענקו לו אישורי אבטחה לרבות CC EAL2 (VAN.2), IEC2443, SESIP ואישור ארכיטקטורת Arm לאבטחת פלטפורמות (PSA).
לחוסן יש חשיבות מיוחדת מבחינת התקני IoT – והיא אותה יכולת שחסרה לרוב מוצרי הFLASH המאובטחים. בהתקנים מסוימים, כדוגמת מודדים של אספקת שירותים, חדירה פיסית (חבלה) היא צורה נפוצה של התקפה שנגדה נדרשת הגנה. נכסים גדולים בעלי ערך רב כדוגמת תחנות כוח או בסיסים צבאיים עלולים להיות חשופים לחדירה פיסית לרשתות המקומיות שלהם.
עם זאת, מבחינת התקני IoT, האיום העיקרי הוא התקפת רשת מדורגת המנצלת חיבור מרוחק דרך רשת האינטרנט אל האוכלוסייה של ההתקנים המותקנים כולה. התקן SP 800-193 של המכון הלאומי לתקנים ולטכנולוגיה (NIST) של ארה”ב מגדיר מנגנונים אשר מגינים על נתוני קושחה והגדרת קונפיגורציה מפני התקפות כאלו, אשר יכולים לזהות התקפות מוצלחות ולאפשר התאוששות מהן. W77Q מספק פונקציות שמעניקות את החוסן הנדרש כדי לעמוד בתקנים אלו. חוסן זה מורכב משלושה יסודות: הגנה מפני התקפה, גילוי התקפות ושיקום מהתקפות (עיין באיור 2).
איור 2. עם W77Q אפשר תמיד להיות בטוח שתתקיים השמירה על בריאות הפלטפורמה באמצעות הגנה, גילוי ושיקום. (מקור התמונה: Winbond)
פונקציות כדוגמת אימות מוצפן המיועד למנוע ניסיונות גישה אל נתונים מהתקנים לא מורשים, מספקות הגנה מפני התקפות. עם זאת, התקפה יכולה להתבצע בהצלחה על מערכת SoC של מארח, כך ש- W77Q שומר על היכולת לגלות מתי התרחשה התקפה. לדוגמה, הוא בודק שקוד מאוחסן לא הושחת באופן אוטומטי, בין אם בוצע עדכון של הקוד או שהייתה אליו גישה. הוא יכול גם לסרוק קוד בפקודה של ההתקן המארח.
אם W77Q מגלה שהתקפה שהתרחשה הייתה מוצלחת ושמערכת SoC המאומתת שנפגעה השחיתה את קוד האתחול של עצמה, התקן הFLASH ישקם את קושחת הפלטפורמה באופן אוטומטי ועם האימות המתאים. פעולה זו מתבצעת דרך פונקצית נסיגה בטוחה (safe Fallback), אשר משקמת את קוד האתחול לגרסה בטוחה ידועה. לפונקצית הנסיגה הבטוחה הזו יש גיבוי באמצעות קוצב זמן מאומת “בכלב שמירה” (watchdog timer), אשר יכול לאלץ את מערכת SoC המארח לעבור לאתחול “נקי” דרך קוד ידוע מאובטח.
אבטחה מקצה לקצה “מהקופסה” עוזרת במניעת התקפות רשת על התקני האינטרנט של הדברים
(מקור התמונה: Winbond).
איור 3. להגנה מקיפה מפני התקפות ברשת יש צורך לממש ערכת יכולות אבטחה בשכבות.
הגישה של Winbond בפיתוח של W77Q הייתה לספק ערכה של יכולות אבטחה בשכבות מן המדף כדי לאפשר ללקוחות לבצע פרישה קלה (עיין באיור 3). עם W77Q, Winbond מספקת:
- אבטחה מקצה לקצה “מהקופסה”, ללא צורך במומחיות קודמת בתחום האבטחה
- פרישה מהירה
- פתרון שלם עם גיבוי של מוצרים משלימים מאת ספקי תוכנת אבטחה
- התעדה (certification) פשוטה של אבטחה
- יכולת השגה (affordability)
דרך אספקה של קבוצת היכולות המקיפה הזו במארז רכיבי FLASH SPI NOR המוכר עם עקבת מעגל רגילה, חברת Winbond יכולה לעזור ולהבטיח שאף לא התקן IoT אחד יצא לשוק בלי הגנה מתאימה מפני התקפות ברשת.
מאת הונג ווי שן [Hung-Wei Chen]
מנהל חטיבת השיווק והיישום של פתרונות אבטחה בחברת Winbond
מר הונג ווי שן משמש מנהל השיווק של פתרונות אבטחה בחברת Winbond ונמצא בקבוצת האבטחה של החברה מאז שנת 2015. למר שן ניסיון בטכנולוגיה ובשיווק. על שמו רשומים 32 פטנטים בארה”ב ולזכותו עומדת כתיבה של 27 מאמרים טכניים בתחום טכנולוגיית המוליכים למחצה.
לפרטים נוספים ניתן להתקשר לחברת JCE–DATA נציגה רשמית
יואל פיטרו COM.JCE–DATA@YOELP
