Cyber angreb i mod infrastrukturen vokser og er et voksende problem for både den systemansvarlige og hardwareproducenterne der levere denne type udstyr. Angreb mod infrastrukturen kan påfører meget store skader og omkostninger.
Ny teknik kan nu også anvendes til at teste Cloud-baserede IoT-systemer
Til testsystemet SeqZap kan man nu også teste web-løsninger og cloud baserede IoT-systemer. Da flere og flere systemer/apparater bliver opkoblet til internettet og til forskellige former for server/cloudløsninger, opstår der et behov for at kunne teste hele systemets funktion.
Ved at anvende SeqZap kan du lave testsekvenser både til at teste det embeddede system i sig selv, og igennem et web-interface eller direkte på serveren.
I et system som det der er illustreret ovenfor kan testeren lave test til at:
Simulere eksempelvis indkomne temperaturvariationer vha. en analog føler.
Verificere at det embeddede system har registreret den nye temperatur.
Verificere at server/cloud-delen har læst den nye værdi gennem SQL eller REST
Verificere at den nye temperatur vises i web-applikationen.
Svaret på dette er ganske enkel: ”når koden bliver udviklet”. Dette er måske nok en forenkling. Et lidt mere detaljeret svar er: ”som en del af en struktureret og sikker udviklingsproces.”
Statisk kodeanalyse er en vigtig del af et modernet ”værktøjssæt” til software udvikling, som hvis den tilpasses på den rigtige måde og i god tid, kan få en stor indflydelse på kode kvaliteten og sikkerheden.
Hvordan motiverer man en investering i gode værktøjer?
Jacob Beningo blogger på Design News web. ”Enhver embedded udvikler ved, at det er meget lettere at få chefen til at godkende et køb af en spektrum-analysator til $ 50.000, end at købe en debugger med ETM trace til $1.200. Ethvert køb af en compiler, trace software, analysatorer eller andre værktøjer, der kan gøre softwareudviklingen enklere, hurtigere eller billigere resultere ubønhørligt i, at cheferne undrer sig over, hvorfor man ikke kan anvende open source eller om man virkelig ikke kan klare sig uden.”
Jacob har på sin blog 5 gode argumenter for, hvordan man motiverer en investering i gode værktøjer. Det er faktisk trist, at det forsat er sådan. En udvikler koster firmaet tæt på 1 million kr. pr. år, men det anses ikke nødvendigt at give ham eller hende de bedste værktøjer, der er til rådighed på markedet. Mange må klare sig med ”gratis værktøjer” som de får fra chip producenterne i forbindelse med, at de evaluerer deres produkter. Men indenfor hvilke andre fagområder ville du vælge tekniske løsninger efter om du får det gratis. Ville du acceptere, hvis din læge eller bilmekaniker gjorde det samme? Nej vel.
De fleste embeddede systemer er utrolig kritiske for virksomheden og specielt software i disse systemer får større og større betydning. Nogle af dem er tilmed sikkerhedskritiske. Så mon ikke vi skulle til at få øjnene op for, at der også skal investeres i de værktøjer som vores softwareudviklere anvender.
Vores motto er: ”All developers deserves the best Tools”
Vi forsætter med at diskutere, hvordan vi beskytter kritisk infrastruktur og produktion. Her er en interessant gennemgang af temaet fra IconLabs og Renesas. Den behandler bl.a. emner som sikker opdatering af firmware, og hvordan du opdager forskellige former for angreb / attacks.
Nohau har flere andre produkter og ydelser til at sikre og teste cyber-sikkerheden i jeres IoT produkter.
Nu kan IoT- enheder også håndtere sikkerhedscertifikater
Icon Labs, Renesas og Verizon har sammen lavet en løsning, som tillader IoT-enheder at skaffe sig egne sikkerhedscertifikater. Derudover indeholder løsningen et antal funktioner såsom Secure Boot, Secure Firmware Update, sikker lagring af nøgler og certifikat, samt firewall.
IconLabs Floodgate Key Manager er en klient, der automatisk kan koble sig op mod udstedere af certifikater med en unik RTOS-kompatibel implementering af SCEP-protokollen. Den fungerer sammen med Linux, og en række forskellige RTOS som f.eks. uC/OSII, ThreadX og VxWorks.
Med SeqZap er det meget lettere at opsætte et testmiljø for dit embeddede system. SeqZap kræver ikke avanceret programmering og er især rettet mod løbende og repeterbare tests af systemet igennem hele udviklingsprocessen og resten af livscyklen.
Værktøjet vil spare dig for masser af tid, ved at automatisere dine tests og kan integreres i dit Jenkins/Hudson miljø.
It doesn’t take many minutes from an idea for a new test to having it automated in SeqZap. That’s really great.
– Allan Juul Larsen, Research Engineer, Man Diesel & Turbo A/S.
CodeSonar discovers and explains software defects and provides code understanding capabilities that assist with investigation of defects.
How does one judge the quality of a static analysis tool? It’s meaningful to talk about the quality of the lists produced by the tool. What is the precision? The recall?
The Floodgate IoT Security Toolkit provides engineers developing IoT devices a comprehensive security solution allowing them to build secure, authenticated, and trusted devices.