EMBEDDED
61 • SETTEMBRE • 2016
92
SOFTWARE
|
SECURITY
I
sistemi embedded sono ormai onnipresenti nel-
la vita quotidiana. Per esempio costituiscono il cuo-
re di vari dispositivi tra cui stampanti, telefoni cel-
lulari, router domestici, componenti e periferiche
di computer. Ma sono presenti anche in dispositivi
meno orientati al consumer quali sistemi di video-
sorveglianza, impianti biomedicali, componenti di
automobili, dispositivi Scada (Supervisory control
and data acquisition) e Plc (Programmable Logic
Controller), e fondamentalmente in ogni elemento
denominato come “elettronico”. L’emergente feno-
meno dell’Internet-of-Things (IoT) li sta rendendo
ulteriormente diffusi e interconnessi. Tutti questi
sistemi contengono uno speciale software spesso
À >
immagine iniziale o aggiornamento. Inizialmente
usato per indicare il microcodice della Cpu esistente
>
>
À >
-
À $
come indicato dalla norma IEEE Std 610.12-1990:
“una combinazione tra dispositivo hardware e
istruzioni o dati di elaborazione che risiedono come
software in sola lettura sul dispositivo hardware”.
#
> À > ?
À
vulnerabilità per i dispositivi che li eseguono. A
seguito di alcune evidenze aneddotiche, i sistemi
embedded hanno acquisito una cattiva reputazione
in termini di sicurezza: il blocco o l’acquisizione da
hacker remoti del sistema di controllo di un’auto, la
presenza di una backdoor in un router domestico,
la possibilità di utilizzo da parte di malintenzio-
nati delle smart tv connesse a internet per spiare
il salotto di una abitazione, solo per citarne alcuni
$
- ?
-
re presente in diversi dispositivi, spesso quando
parecchi fornitori di integrazione si basano sugli
stessi fornitori in subappalto, strumenti o Sdk
(Software development kit). Dispositivi marchiati
À >
uguali o simili, e quindi essere affetti dalle stesse
vulnerabilità. Si possono citare, ad esempio, dispo-
sitivi con processori Arm e Mips, e sistemi operativi
embedded quali Linux (usato per la maggiore) o
proprietari (Vx-Works, Nucleus RTOS e Windows
À
> '
esempio /etc/passwd e /etc/shadow) sono presi di
mira dagli attaccanti perché utilizzabili a volte per
recuperare le password e accedere remotamente al
dispositivo in tempi successivi. L’analisi di questi
À
sia protetto, perché spesso le password usate
sono banali (es. parole come pass, logout, helpme,
admin) o addirittura nulle (un campo vuoto).
A causa di cattive abitudini nel disegno e nella
gestione del rilascio del software, alcuni fornitori
%
À >
À
-
vi private (ad esempio PEM o GPG). In alcuni
À
vengono rigenerati al primo boot dopo un aggior-
La sicurezza
nelle applicazioni
embedded
Con il crescere della
presenza dei Sistemi
embedded nella nostra
società, la loro sicurezza
sta diventando un fattore
sempre più importante
Silvano Iacobucci