Hardening dei sistemi operativi embedded - Salvaguardare i sistemi Linux e Android embedded

Indurimento del sistema operativo L4B

Android è costruito sul kernel di Linux, ma più si allontana dal nucleo del sistema operativo originale, più Google deve mantenere la sua base di codice e proteggere i dispositivi dalle minacce. Il kernel Linux stesso ha diverse caratteristiche di sicurezza, ma poiché è open-source, può essere modificato per creare una distribuzione alternativa. Tutti i produttori di dispositivi embedded Linux o Android (OEM) che offrono sistemi embedded basati su Android o sul kernel Linux di base devono rendere il loro sistema più sicuro per salvaguardare i dispositivi mobili e IoT.

Rischi di sicurezza con Linux embedded

Il rischio maggiore per la sicurezza degli utenti è un kernel non patchato dopo che una vulnerabilità è stata resa pubblica. La parte più difficile è che non tutte le patch di sicurezza di Linux ricevono un CVE, quindi spetta agli amministratori e agli sviluppatori sapere quando è disponibile una nuova patch. I sistemi di gestione delle patch di terze parti eseguono la scansione dei sistemi alla ricerca di vulnerabilità e installano automaticamente le patch di sicurezza, ma i sistemi Linux e Android embedded eseguono dispositivi mobili e IoT che non sono apertamente disponibili per gli scanner di vulnerabilità. Ciò significa che i sistemi Linux embedded sono un obiettivo importante per gli aggressori.

Un esempio della gravità dei sistemi embedded vulnerabili è CVE-2019-17666. La vulnerabilità riguarda tutti i sistemi che utilizzano il chip Wi-Fi e il driver del dispositivo Realtek. Sebbene sia stata rilasciata una patch, si stima che numerose Smart TV, serrature e migliaia di punti di accesso Wi-Fi personali siano rimasti senza patch e vulnerabili a un buffer overflow che potrebbe portare a un denial-of-service o a un possibile accesso alla shell. Con l'accesso alla shell, un aggressore potrebbe installare il proprio malware (ad esempio il codice di una botnet), modificare le impostazioni e potenzialmente origliare i dati degli utenti, causando una grave violazione dei dati.

Proteggere Android e altri dispositivi Linux integrati

La modifica di Linux per adattarsi a una distribuzione di un fornitore di terze parti richiede non solo gli sviluppatori giusti, ma anche gli esperti di sicurezza che comprendano il potenziale di vulnerabilità nel caso in cui venga apportata una modifica sbagliata al sistema operativo. Google ha annunciato che passerà Android a una versione più vicina al kernel Linux originale per ridurre il carico di lavoro degli sviluppatori e limitare l'accesso diretto al kernel da parte di driver di dispositivi personalizzati realizzati da sviluppatori di dispositivi di terze parti.

Per migliorare la sicurezza di Linux embedded, è essenziale che i produttori si rivolgano a fornitori che sappiano come fornire sistemi operativi Linux ottimizzati che supportino schede personalizzate e hardware proprietario. Noi di L4B Software abbiamo esperienza dal 2004 nello sviluppo di soluzioni Linux embedded sicure e protette per dispositivi mobili e IoT. Consideriamo la sicurezza di Linux embedded una priorità nel nostro ciclo di vita di sviluppo per garantire ai nostri clienti un sistema che non solo ottimizzi le prestazioni, ma che rimanga anche sicuro. Lo facciamo in diversi modi:

  • API personalizzate: Forniamo un'interfaccia con API in modo che i clienti possano eseguire una serie di comandi predefiniti.
  • Hardware Abstraction Layer (HAL): simile al modo in cui Android gestisce l'interfaccia dei dispositivi con il kernel, il nostro HAL consente ai driver di interfacciarsi con lo strato superiore di Linux senza interagire direttamente con il kernel.
  • SDK e wrapper: La documentazione e i wrapper offrono agli sviluppatori un modo sicuro e semplice per lavorare con il sistema.

Nuova call-to-action