Thema: Grundlagen der Sicherheit bei Embedded-Software

erstellt am: 31.05.2012 11:41

Antworten: 2

Diskussion zum Artikel


Software-Design
Grundlagen der Sicherheit bei Embedded-Software


Schutzmaßnahmen auf der Betriebssystem- und Hardwareebene gegen Hackerangriffe sind alles andere als perfekt. Daher müssen Entwickler selbst gegen Schwachstellen der Embedded-Software vorgehen.

zum Artikel

Antworten

jkie





dabei seit: 02.06.2010

Beiträge: 4

Kommentar zu: Grundlagen der Sicherheit bei Embedded-Software
31.05.2012 11:41

Sie schreiben...Der Angreifer könnte nun darauf setzen, dass Ihre Software die ADC-Daten in einem Stapelspeicher (Stack) sichert (vielleicht indem Sie alloca() oder malloca() verwenden). Wenn er Glück hat, könnte er einen Array-Überlauf verursachen, vielleicht indem er den Hardware-Timer manipuliert, der die ADC-Abfrage steuert.

Das sollten Sie schon genauer erklären!

Wie soll er ohne physischen Zugriff die Timer manipulieren??? und dann noch punktgenau Code irgentwohin schreiben???
Bewegen wir uns im Bereich der Esotherik oder gibt es für solche Zwecke spezielle Controller?

MfG
jens Kielmann.

Antworten

nicht registrierter User


RE: Grundlagen der Sicherheit bei Embedded-Software
01.06.2012 15:38

Sehr geehrter Herr Kielmann:

ein paar Worte der Erläuterung: Ziel des Artikels war es, die Vorstellungskraft der Softwareentwickler anzustacheln und sie für die Art und Weise zu sensibilisieren, wie Angreifer eingebettete Systeme attackieren. Ich möchte hier den Autor David Kalinsky gerne zu Wort kommen lassen:
Die Leser sollten sich fragen, ob ihre Embedded-Devices durch Netzwerkverbindungen, Bussysteme, SPI, I2C, CAN etc. angegriffen werden können und dann sollten sie sich fragen, wie ein cleverer Angreifer eine Attacke über diese Kanäle ausführen würde und wie man sich dagegen wehren könnte (...)

Mir geht es darum, dass Angreifer NACH ESOTERISCHEN TECHNIKEN SUCHEN, um eingebettete Computer anzugreifen. Ich bin mir sicher, dass die meisten Embedded-Programmierer noch nie über eine solche Attacke nachgedacht haben, wie ich sie bschrieben habe. Es ist deshalb um so wichtiger, dass sie über mögliche Bedrohungen wie diese nachdenken (...)
Es ist leicht (und NICHT esoretisch) einen Timer zu manipulieren, ohne physikalischen Zugriff darauf zu haben. In vielen eingebetteten Geräten sind Timer für jede Art von Software zugänglich, etwa durch das Software/Hardware-Interface, das oft als memory-mapped I/O implementiert ist. Auf einem solchen Gerät kann jede Art von Software auf das Konfigurations-Interface des Timers zugreifen und mit Parametern herumspielen (...)

Wenn der Angreifer ein verärgerter früherer Mitarbeiter ist, kann er den Code punktgenau einschleusen, weil er eine Kopie gezogen hat, bevor er entlassen wurde. Wenn der Angreifer keinen Zugang zum Code hat, kann er immer noch seine Geduld einsetzen, um Schwachstellen im Code zu finden.

Ich hoffe, ich konnte Ihre Fragen damit einigermaßen beantworten.

Mit freundlichen Grüßem,

Franz Graser, Redakteur ELEKTRONIKPRAXIS

Antworten

Antwort schreiben

Titel:


Nachricht:

 




Thema abonnieren:

Email:
*Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung und AGB einverstanden.
Antwort abschicken