Jesień Linuksowa - Embedded Linux Security

Podobne dokumenty

Router Fermio XL Karta katalogowa

Systemy wbudowane. Paweł Pełczyński

Linux - System Wbudowany

Spis treści. Wstęp... 10

U M L. System operacyjny Linux zagnieżdżony w zewnętrznym systemie operacyjnym (Linux)

Jak bezpieczne są Twoje dane w Internecie?

Tworzenie oprogramowania

bezpieczeństwo na wszystkich poziomach

Thinkcore W325A. Pełny opis produktu. Wbudowany komputer przemysłowy z GSM/GPRS, 1x LAN, 2x RS-232/422/485, SD, RISC CPU. [Nowy moduł GSM/GPRS]

EMBEDDED LINUX ON ARM9 CORE EMBEDDED LINUX NA PROCESORACH Z RODZINY ARM9

Rys. 1. Schemat ideowy karty przekaźników. AVT 5250 Karta przekaźników z interfejsem Ethernet

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

ABC systemu Windows 2016 PL / Danuta Mendrala, Marcin Szeliga. Gliwice, cop Spis treści

Szkolenia specjalistyczne

GSMONLINE.PL dla zainteresowanych nowymi technologiami

Wstęp do Informatyki. Klasyfikacja oprogramowania

Systemy na Chipie. Robert Czerwiński

Bezpieczne udostępnianie usług www. BłaŜej Miga Zespół Bezpieczeństwa PCSS

Openbox AS1 HD CXCI+ Dual Core Android, Kodi

1 /5 POLSKI. NPE X Programowalny kontroler automatyki (PAC) NPE X1000. NPE X Seria komputerów przemysłowych opartych o system Linux

Warstwy systemu Windows 2000

Ochrona biznesu w cyfrowej transformacji

Bezprzewodowa sieć kontrolno-sterująca z interfejsem Bluetooth dla urządzeń mobilnych z systemem Android

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Agenda. Quo vadis, security? Artur Maj, Prevenity

17-18 listopada, Warszawa

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

Politechnika Śląska Wydział Elektryczny Katedra Mechatroniki. Koncepcja przyłączania mikroinstalacji prosumenckich (gniazd) do laboratorium ilabepro

Axence nvision Nowe możliwości w zarządzaniu sieciami

Wymagane parametry techniczne laptopa

cat /agenda.txt /wybrane_fakty_i_mity grep zweryfikowane

Nowe spojrzenie na systemy monitoringu i sterowania sieciami ciepłowniczymi

WOJEWÓDZTWO PODKARPACKIE

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

Przetwarzanie danych w chmurze

Podstawy informatyki. System operacyjny. dr inż. Adam Klimowicz

Obsługa standardowych protokołów (np. Modbus, SNMP), możliwość instalacji dedykowanych protokołów użytkownika

WWQ. Wakacyjne Warsztaty QNAP. Zaczynamy o 11:00. Prowadzący: Łukasz Milic Certyfikowany Trener QNAP

Wykład 1 Wprowadzenie

Usługi sieciowe systemu Linux

NOWY OPIS TECHNICZNY PRZEDMIOTU ZAMÓWIENIA

Wprowadzenie do Kaspersky Value Added Services for xsps

OCHRONA URZĄDZEŃ MOBILNYCH PRZED CYBERZAGROŻENIAMI DLA INSTYTUCJI PAŃSTWOWYCH I KORPORACJI. Listopad 2017

27/13 ZAŁĄCZNIK NR 4 DO SIWZ. 1 Serwery przetwarzania danych. 1.1 Serwery. dostawa, rozmieszczenie i zainstalowanie 2. serwerów przetwarzania danych.

Program szkolenia: Bezpieczny kod - podstawy

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Krótka Historia. Co to jest NetBeans? Historia. NetBeans Platform NetBeans IDE NetBeans Mobility Pack Zintegrowane moduły. Paczki do NetBeans.

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Stan faktyczny bezpieczeństwa w polskich przedsiębiorstwach- 1/3

Aplikacja serwerowa Platformy Prezentacyjnej Opis produktu

I. KARTA PRZEDMIOTU CEL PRZEDMIOTU

Tworzenie aplikacji Web Alicja Zwiewka. Page 1

Suma: B) Oprogramowanie do wykonywania kopii bezpieczeństwa (1 licencja) Cena (zł/szt.) Cena łącznie. Suma:

DLoG AIM-35. Terminal mpos 8"

TEMAT SZKOLENIA: Organizator szkolenia: Compendium Centrum Edukacyjne Sp. z o.o. posiadająca status Novell Training Services Partner Platinum.

SYSTEMY OPERACYJNE WYKŁAD 1 INTEGRACJA ZE SPRZĘTEM

INFORMACJA O TREŚCI ZAPYTAŃ DOTYCZĄCYCH SIWZ WRAZ Z WYJAŚNIENIAMI ZAMAWIAJĄCEGO

Spis treści. Wykaz ważniejszych skrótów Wprowadzenie Rdzeń Cortex-M Rodzina mikrokontrolerów XMC

Obsługa standardowych protokołów (np. Modbus, SNMP, M-Bus), możliwość instalacji dedykowanych protokołów użytkownika

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Czy otwarte znaczy bezpieczne?

TERMINARZ SZKOLEŃ 2011

Uniwersytet Mikołaja Kopernika. Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej

Systemy operacyjne - rozkład godzin dla technikum informatycznego

IT4M+ nowoczesna aplikacja

Modele sprzedaży i dystrybucji oprogramowania Teoria a praktyka SaaS vs. BOX. Bartosz Marciniak. Actuality Sp. z o.o.

1. Etapy rozwoju systemów komputerowych

KURSY I SZKOLENIA REALIZOWANE W RAMACH PROJEKTU:

Systemy operacyjne. Informatyka Stosowana, I rok. Krzysztof Wilk. Katedra Informatyki Stosowanej i Modelowania

Openbox AS1 HD CXCI+ Dual Core Android, Kodi

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Produkt wycofany z oferty. W celu dobrania zamiennika prosimy o kontakt na

Nagios czyli jak mieć na oku zasoby sieci. Przygotował: Andrzej Nowrot Leon Sp. z o.o.

Zapytanie ofertowe. Dedykowana płyta serwerowa, dwuprocesorowa, wyprodukowana i zaprojektowana przez producenta serwera,

Zastosowania matematyki w systemie operacyjnym Linux

Przegląd rozwiązań z oferty firmy 4D Systems

Unocode 299. * * * Najlepsza do cięcia kluczy z kodu

Spis treści. O autorze 9. O recenzentach 10. Przedmowa 13. Rozdział 1. Oto Linux Mint 17_

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Instalacja/aktualizacja systemu Android na tablecie Plug Impact/3G.

strona z ogólnej liczby stron Opis przedmiotu zamówienia/specyfikacja techniczna. Część 1

Zabezpieczanie platformy Windows Server 2003

Parametry oferowanych komponentów lub oprogramowania, (wypełnia wykonawca)

SIŁA PROSTOTY. Business Suite

Zabezpieczanie platformy Windows Server 2003

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Stos TCP/IP. Warstwa aplikacji cz.2

Aplikacje internetowe - opis przedmiotu

Program nadzorczy - KaDe PREMIUM zawarty w cenie kontrolera. elshop

Agenda. Rys historyczny Mobilne systemy operacyjne

Obsługa standardowych protokołów (np. Modbus, SNMP), możliwość instalacji dedykowanych protokołów użytkownika

Biorąc udział w projekcie, możesz wybrać jedną z 8 bezpłatnych ścieżek egzaminacyjnych:

Technika mikroprocesorowa. Struktura programu użytkownika w systemie mikroprocesorowym

Komputer Dell Optiplex 780 w obudowie USFF (Ultra Small Form Factor)

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

Cloud Customers Relationships Wymagania wersja systemu:

Systemy zdalnego zarządzania i monitoringu: Carel platforma PRO. Tomasz Andracki, Bydgoszcz

Transkrypt:

Jesień Linuksowa - Embedded Linux Security Marcin Bis http://bis-linux.com marcin@bis-linux.com Szczyrk, Polska - 13 października 2013r. 1 / 23

O mnie Marcin Bis Embedded Linux System development, kernel development. Szkolenia, konsultacje, wsparcie (http://bis-linux.com) Linux + Real-Time - automatyka przemysłowa (i domowa). 2 / 23

O czym będzie? Kilka słów o bezpieczeństwie Bezpieczeństwo systemów wbudowanych. Wektory ataku. Podobieństwa i różnice z "normalnym" bezpieczeństwem. Praktyka - zabezpieczamy system wbudowany Definicja problemu (biznesowa). Bezpieczeństwo pasywne i aktywne. Praktyczny przykład - kilka pomysłów. O czym nie będzie: Android Aplikacje web-owe i dedykowane (np. dla Androida), cloud. Embedded Linux Security 3 / 23

Płaszczyzna ataku Jedna lub więcej metod dostępu do systemu. do których dostęp ma niezaufany użytkownik, lub ma tylko wpływ na nie. Embedded Linux Security Płaszczyzna ataku 4 / 23

Wektor ataku Oczywiste sieć (TCP/IP, Wi-Fi), aplikacja, port szeregowy. Mniej oczywiste USB, I2C, pamięć masowa (FLASH), Bluetooth (GPS, sieć komórkowa - dla telefonów). Im mniej oczywisty, tym groźniejszy. Embedded Linux Security Płaszczyzna ataku 5 / 23

Systemy embedded vs. normalne Wektory ataku niespotykane w innych systemach. Trudna aktualizacja (monokultura). Ludzie nie traktuja ich jako komputerów. Z drugiej strony te same aplikacje, co desktop/serwer. Dostęp do sieci. Apache, openssh, perl, avahi, dns, openssl itd. Embedded Linux Security Płaszczyzna ataku 6 / 23

Przykłady Stuxnet dostęp FTP do / admin:default ELC2009 "Security Issues for Embedded Devices" - Jake Edge http://lwn.net/talks/elc2009/. Przykłady (sprzed ponad 4 lat). Embedded Linux Security Płaszczyzna ataku 7 / 23

Jak się zabezpieczać? Na co zwrócić uwagę (trywialne). Dostęp do shell-a. Dostęp do funkcji systemu (web shell, ssh, telnet (!) itp.) (Nie)Trywialne hasła. Wszystko uruchamiane z root-a. Aktualne wersje komponentów (z bugfix-ami) Własny kod vs. standardowe aplikacje. Defensive programming. Embedded Linux Security Płaszczyzna ataku 8 / 23

Bezpieczeństwo pasywne Bezpieczeństwo pasywne 9 / 23

Jak inwestorzy widza produkt? Bezpieczeństwo pasywne Na czym polega problem? 10 / 23

Jak inwestorzy widza produkt? Sprzęt staje się coraz tańszy. Linux i wolne oprogramowanie - to znakomita baza do tworzenia produktu. Wolność używania kodu źródłowego: Każdy ma takie same prawa. Wolne oprogrmowanie wyrównuje szanse. Zarabiamy na wartości dodanej Zgodnie z licencja: GPL LGPL BSD Bezpieczeństwo pasywne Na czym polega problem? 11 / 23

Wartość dodana? Bezpieczeństwo pasywne Na czym polega problem? 12 / 23

Jak zabezpieczyć wartość dodana? ryzyko "TiVolizacji", czyli nie można przesadzić. Licencja GPLv3 Bezpieczeństwo pasywne Na czym polega problem? 13 / 23

Mimo wszystko - zabezpieczamy Nic nie chroni przed wylutowaniem elementu i podłaczeniem analizatora do jego pin-ów. W przypadku procesorów - jest to trudne, ale nie jest niemożliwe. Wszystko zależy od determinacji ($$$). Bezpieczeństwo pasywne Na czym polega problem? 14 / 23

Metody sprzętowe Jeżeli urzadzenie zbudowane jest w oparciu o więcej niż jeden mikrokontroler czy mikroprocesor, moga one wzajemnie się monitorować. (czas) Manipulujac położeniem ścieżek na poszczególnyc warstwach oraz stosujac odpowiednie typy obudów (BGA), można uniemożliwić dostęp do magistral danych, Wiele warstw PCB. Mieszanie ścieżek (przy czym debugowanie hardware-u i tak jest trudne). Bezpieczeństwo pasywne Na czym polega problem? 15 / 23

VIA (Wikipedia) Bezpieczeństwo pasywne Na czym polega problem? 16 / 23

Hidden Via (3) (Wikipedia) Bezpieczeństwo pasywne Na czym polega problem? 17 / 23

Zabezpieczamy dane dm-crypt, LUKS. man cryptsetup Jesień Linuksowa 2012 - Krzysztof Leszczyński: Szyfrowanie, zabezpiecz się przed złodziejem, prokuratorem, sadem - http://jesien.org/2012/materialy ecryptfs sudo mount -t ecryptfs tmp1 tmp2 To działa na urzadzenia blokowe! Bezpieczeństwo pasywne Na czym polega problem? 18 / 23

Pamięć NAND Jak działa NAND? Bezpieczeństwo pasywne Na czym polega problem? 19 / 23

JFFS2, YAFFS2, LogFS Bezpieczeństwo pasywne Na czym polega problem? 20 / 23

UBI Bezpieczeństwo pasywne Na czym polega problem? 21 / 23

UBI ma bardzo dobra wydajność...... dla dużych pamięci. http://elinux.org/flash_filesystem_benchmarks Jak dodać szyfrowanie do UBI? Funkcje sprzętu. DCP Odpowiednie algorytmy. Bezpieczeństwo pasywne Na czym polega problem? 22 / 23

Dziękuję! Co jest najważniejsze? Bezpieczeństwo nie jest gotowym produktem. Bezpieczeństwo to proces. Co jeszcze? Atak może nastapić z organizacji (internal). Pytania? Bezpieczeństwo pasywne Dziękuję! 23 / 23