1 68 Table of Contents 70 104

EO_470

EDA/SW/T&M CYBER SECURITY 69 - ELETTRONICA OGGI 470 - MAGGIO 2018 utilizzati per lo scambio dei dati tra i box. Non è permesso un salto arbitrario a una locazione di codice random così come l’accesso diretto alle risorse di un altro box (Fig. 4). Ovviamente questo framework (o qualsiasi altro, anche con supporto hardware come una MMU o TrustZone) non contribuisce ad arricchire le competenze degli sviluppa- tori e neppure a trasformare un software contenente er- rori in un’applicazione “bug-free”, ma serve ad attenuare i rischi di attacco descritti in precedenza: una vulnerabilità in un’applicazione non mette a rischio l’intero firmware. L’errore resta confinato nel proprio box quindi la perico- losità del bug diminuisce in maniera drastica. L’enorme vantaggio di una soluzione di questo tipo è rappresentata dal fatto che, grazie ad essa, è possibile ospitare molteplici applicazioni di numerosi fornitori con differenti livelli di affidabilità e robustezza su un singolo dispositivo. Il pos- sessore di un’applicazione particolarmente complessa può accettare altre applicazioni sullo stesso dispositivo hardware senza correre il rischio di rendere vulnerabile la propria applicazione ed esporre le proprie risorse. Vantaggi L’elevato livello di controllo garantito da un’architettu- ra che prevede l’uso di box e il partizionamento delle risorse consente di aggiornare le applicazioni in modo semplice e sicuro. Le applicazioni sono completamente controllate dall’hypervisor, che può modificarle, aggior- narle oppure rimuoverle attraverso semplici operazioni senza incidere sul funzionamento delle altre. Oltre a ciò, con un aggiornamento sicuro è possibile proporre al- tri servizi come la crittografia, senza esporre le chiavi a nessun altro box. Poiché l’esecuzione in un box non ostacola l’esecuzione in un altro box, qualsiasi certifi- cazione ottenuta per un box non è influenzata dalla mo- difica di un altro box: in altre parole la certificazione re- sta valida. Da un singolo software di natura monolitica, dove qualsiasi modifica ha un impatto sulla robustezza complessiva e sulle certificazioni di alcune sezioni del software stesso, si può dunque passare a un insieme di immagini isolate e indipendenti che mantengono inalte- rate le loro proprietà, bug compresi.

RkJQdWJsaXNoZXIy MTg0NzE=