位置:编程技术网 > 编程语言 > 正文 >

物联网供应商应该怎样进行安全的测试(2)

2019年09月18日 19:58来源:未知手机版

什么牌子左旋肉碱好,伦敦与北京的时差,跨越障碍物

物联网固件安全问题

不过,CITL 的研究也发现了一些惊喜 物联网供应商应该知道的级联故障点。编译器和固件工具链(如buildroot)是关键的上游依赖项,可以更好地帮助开发人员在编译时标记安全问题。此外,MIPS 仍然是一个问题,且需要特殊处理。

MIPS 的意思 无内部互锁流水级的微处理器 ,其机制是尽量利用软件办法避免流水线中的数据相关问题。MIPS 采用精简指令系统计算结构 (RISC) 来设计芯片。

MIPS 架构优势:

(1)支持 64Bit 指令和操作;

(2)MIPS 有专门的除法器,可以执行除法指令;

(3)MIPS 内核寄存器比 ARM 多一倍,也就是说在同样性能下,MIPS 功耗比 ARM 更低,同样功耗下性能比 ARM 更高;

(4)MIPS 指令比 ARM 多一些,执行部分运算时更灵活。

MIPS 架构缺点:

(1)MIPS 内存地址起始有问题,这就导致 MIPS 在内存和 cache 的支持方面受限,单内核无法承受高容量内存配置;

(2)MIPS 技术大发展方向是并行线程,从核心移动设备的发展趋势来看,并不是未来主流;

(3)MIPS 虽然结构更简单,但采用顺序单/双发射,执行指令流水线周期远不如 ARM 高效;

(4)商业化进程落后,至今还停留在高清盒子打印机之类的产品上;

(5)软件平台落后,应用软件少。

如今,很多人错误地以为 MISP 正在步入淘汰行列,但该硬件架构已经在物联网领域卷土重来,且事实证明,该架构正是 CITL 在大规模模糊测试中遇到的最常见的架构。他们发现,问题在于,从安全的角度来看,并非每个架构都是相同的。

许多人认为,如果你采用相同的源代码并将其转移到不同的芯片或不同的架构中,其仍然能发挥相同的安全特性和功能。但是事实并非如此,就安全方面而言,必须要考虑整体情况。

事实证明,为 Linux MIPS 版本启用 ASLR 和 DEP 编译时功能无法正常工作,消除、部署和完全修复该问题可能需要花费数年的时间。十多年来,Linux MIPS 二进制文件一直很容易被经典的堆栈溢出攻击利用,而且根据 CITL 对工具链补丁的检测结果显示,这种情况仍在持续。

更糟糕的是,物联网固件领域似乎正存在大量无意义的代码重用现象,且每个人都想当然地以为其他人已经做了安全审计工作。当查看不同的产品时,实际上出现了很多共同的二进制文件,这表明许多不同的供应商正在使用相同的框架来构建他们的物联网平台。

开发人员用户界面 编译器和固件构建工具链 中的敏感安全默认值将流向下游并影响使用这些产品的供应商,以及随后将使用这些设备的数百万用户。

编译器本身可以提供更好的报告,说明在编译过程结束时实施了哪些安全功能。此外,编译器也很容易提供透明度,并为开发人员提供有关刚刚生成的内容的更好反馈。

来源:安全牛

本文地址:http://www.reviewcode.cn/bianchengyuyan/76800.html 转载请注明出处!

今日热点资讯