АНАЛІЗ ЗАГРОЗ БЕЗПЕКИ МІКРОКОНТРОЛЕРІВ
DOI:
https://doi.org/10.31649/1999-9941-2022-55-3-21-32Ключові слова:
кіберзахист, кіберзагроза, інформаційна безпека, вразливість, мікроконтролерАнотація
В статті розглянуто і приведено матеріали окремих досліджень щодо основних проблем безпеки у мікроконтролерах, які функціонують в складі систем управління як загальних, так і спеціалізованих пристроїв. Зокрема в матеріалах досліджень проаналізовані основні тенденції розвитку загроз безпеки і наведено основні вектори атак. Проаналізовано закордонний та вітчизняний досвід прояву несанкціонованих впливів та кіберзагроз в основні найбільш критичні місця архітектури мікроконтролерів. Аналіз показав, що базовими точками прояву загроз безпеки втручань в роботу мікроконтролера є: регістри, стек, АЛП, пам’ять (EEPROM та Flash), порти введення-виведення, схеми та інтерфейси передачі даних в МК, схеми додаткового функціоналу підключення до зовнішніх периферійних пристроїв і канали підключення осцилятора тактової частоти. Крім того, проведено дослідження основних загроз пам'яті мікроконтролерної системи, а саме: втручання із прямим доступом до пам’яті, доступ до регістрів керування і доступ до буфера мікроконтролера, переповнення стеку буфера, віддалений запуск коду, зовнішній доступ та атаки по вторинним каналам (в т.ч. по зовнішнім лініям передачі даних у МК), зміна порядку адресації в МК, зміна/підміна значень адрес і нумерації стеку, втручання в роботу регістрів даних та індикації стану портів введення/виведення мікроконтролера. Також досліджено ряд механізмів захисту мікроконтролерів, які у комплексі дозволяють знизити ризики несанкціонованих впливів на мікроконтролерну систему. До них відносяться такі: циклічний контроль надмірності коду, моніторинг живлення і моніторинг ресурсів, використання ізольованості і контролю функціональності системи тактування, контроль цілісності та достовірності вмісту пам'яті, контроль зовнішніх фізичних і електричних параметрів МК, віртуалізація основного обчислювального процесу та його багаторівневе резервування копіюванням і відновленням попередніх станів, Використання криптографічних систем і алгоритмів обробки даних, використання багаторівневої програмно-апаратної ізоляції.
Посилання
V. A. Luzhetskyi, A. D. Kozhukhivskyi, O. P. Voitovych, Osnovy informatsiinoi bezpeky. Vinny-tsia: VNTU, 2013, 221 p. [in Ukrainian].
Kontseptsiia tekhnichnoho zakhystu informatsii v haluzi zviazku Ukrainy. [Online]. Available: https://zakon.rada.gov.ua/laws/show/1126-97-%D0%BF#Text. Accessed on: August 15, 2022.
John R. Vacca, Computer and Information Security Handbook. Burlington, USA: Morgan Kauf-mann Publishers, 2017, 1280 p.
S.H. Antonov, S.M. Klymov, “Metodyka otsenky ryskov narushenyia ustoichyvosty funktsyony-rovanyia prohrammno-apparatnыkh kompleksov v uslovyiakh ynformatsyonno-tekhnycheskykh vozdeistvyi”, Nadezhnost, Tom 17, №1, 32-39 рр. 2017 [in Russian].
Software Security Guidance. [Online]. Available: https://www.intel.com/content/www/us /en/developer/topic-technology/software-security-guidance/overview.html. Accessed on: Au-gust 15, 2022.
V. S . Kharchenko, Internet of Things for Industry and Human Application. In Volumes 1-3. Vol-ume 1. Fundamentals and Technologies. Ministry of Education and Science of Ukraine, National Aerospace University KhAI, 2019, 605p.
V. V. Sklyar, V. V. Yatskiv, N. G. Yatskiv, Dependability and Security Internet of Things: Practi-cum. Ministry of Education and Science of Ukraine, National Aerospace University “KhAI”, Ternopil National Economic University, 2019, 98 p.
Cisco cybersecurity reports [Online]. Available: https://www.cisco.com/c/en_hk/products/security/ security-reports.html. Accessed on: August 15, 2022.
Meltdown and Spectre: Which systems are affected by Meltdown? [Online]. Available: https://meltdownattack.com/#faq-systems-meltdown. Accessed on: August 15, 2022.
The Anatomy of Security Microcontrollers for IoT Applications. [Online]. Available: https://www.digikey.com/en/articles/the-anatomy-of-security-microcontrollers-for-iot-applications. Accessed on: August 15, 2022.
Speculative Processor Vulnerability. [Online] Available: https://developer.arm.com/Arm% 20Security%20Center/Speculative%20Processor%20Vulnerability. Accessed on: August 15, 2022.
Cache Speculation Side-channels white paper. ARM Developer Forum. Specification. [Online]. Available: https://developer.arm.com/documentation/102816/0205. Accessed on: March 8, 2022.
Kernel Side-Channel Attack using Speculative Store Bypass - CVE-2018-3639 [Online]. Availa-ble: https://access.redhat.com/security/vulnerabilities/ssbd. Accessed on: March 8, 2022.
ISO/IEC, «Information technology − Security techniques-Information security risk management» ISO/IEC FIDIS 27005:2008. [Online]. Available: https://www.iso.org/standard/42107.html. Ac-cessed on: August 15, 2022.
. Modern security for microcontrollers. [Online]. Available: https://get.meriac.com/docs/eSAME-MicrocontrollerSecurity.pdf. Accessed on: August 15, 2022.
S. Yegulalp. Rowhammer hardware bug threatens to smash notebook security. [Online]. Availa-ble: https://www.infoworld.com/article/2894497/rowhammer-hardware-bug-threatens-to-smash-notebook-security.html. Accessed on: August 15, 2022.
K. Bains, J. Halbert, C. Mozak, T. Schoenborn and etc., “Row hammer refresh command”, U.S. Patent Appl. 2014/0059287 A1, Feb. 27, 2014. [Online]. Available: https://patents.google.com/patent/US 20140059287. Accessed on: August 15, 2022.
Cisco Systems security advisory. Row Hammer Privilege Escalation Vulnerability. [Online]. Available: https://training.ti.com/core-cybersecurity-concepts-and-their-relation-microcontroller-security-hardware Accessed on: August 15, 2022.
Core cybersecurity concepts and their relation to microcontroller security hardware. [Online]. Available: https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20150309-rowhammer.html. Accessed on: August 15, 2022.
S. Govindavajhala, A. W. Appel. “Using Memory Errors to Attack a Virtual Machine”. [Online]. Available: https://www.cs.princeton.edu/~appel/papers/memerr.pdf. html. Accessed on: August 15, 2022.
Yuan Xiao, Yinqian Zhang, Radu Teodorescu, Speechminer: a Framework for investigating and measuring speculative execution vulnerabilities. [Online]. Available: https://arxiv.org/pdf/ 1912.00329.pdf. Accessed on: August 15, 2022.
Introduction to STM32 microcontrollers security. [Online]. Available: https://www.st.com/resource /en/application_note/dm00493651-introduction-to-stm32-microcontrollers-security-stmicroelectronics.pdf. Accessed on: August 15, 2022.
##submission.downloads##
-
PDF
Завантажень: 175