EO_486

EDA/SW/T&M 62 - ELETTRONICA OGGI 486 - MAGGIO 2020 AUTOMOTIVE SECURITY TY di Green Hills Software permette di ottenere tale separazione in modo sicuro nel tempo e nello spazio, grazie alla sua architettura basata su microkernel. I canali di comunicazione tra i diversi spazi d’indiriz- zamento esistono solo se definiti e configurati in an- ticipo, il che permette di bloccare un aggressore che volesse forzare una connessione tra una funzione vulnerabile e una funzione critica o a dati sensibili, uno dei vettori più comuni delle minacce in altri si- stemi operativi. Oltre a questo vantaggio per la messa in sicurezza dell’architettura software, l’approccio di INTEGRITY basato su hypervisor di tipo 2 porta ulte- riori vantaggi: poiché il kernel di separazione è già sicuro, fornire la piena funzionalità dell’hypervisor in una partizione sicura significa meno complessità e meno codice rispetto ad una tipica soluzione basata su hypervisor di tipo 1 (Fig. 2). Questo, a sua volta, si- gnifica meno context-switching e, quindi, migliori pre- stazioni, meno latenza e migliore prevedibilità. Inoltre, con questa architettura software il danno potenziale è confinato nella specifica partizione software in cui è in esecuzione. Sistema operativo sicuro: perché la scelta è così importante Esaminando i vari vettori di attacco dei recenti tentativi di violazione dei sistemi, sono tutti rivolti a compromet- tere lo strato software più basso: il sistema operativo. Il sistema operativo è spesso l’ultima linea di difesa che impedisce a un aggressore di prendere il controllo o di accedere alle informazioni sicure del sistema. Si deve tener presente che il sistema operativo, mentre dovreb- be essere in grado di difendere il sistema dagli attac- chi provenienti da varie applicazioni, non solo controlla le risorse hardware del sistema e le interfacce tra le partizioni software, cioè gli spazi utente, ma può anche aggiungere – a seconda del tipo o della versione speci- fica del sistema operativo – un numero significativo di vulnerabilità. Quindi, è vivamente raccomandato valutare tutti i siste- mi operativi selezionati non solo in termini di funziona- lità offerte, ma anche per quanto riguarda le certifica- zioni di sicurezza, come quelle relative alle valutazioni della sicurezza secondo i Common Criteria. Per cose di alto valore esposte a rischi significativi, come ad esem- pio le automobili, soggette a una minaccia potenziale molto elevata, si raccomanda di utilizzare un sistema operativo che abbia una classificazione minima di li- vello EAL6 (Evaluation Assurance Level). Naturalmen- te, fare la scelta giusta per quanto riguarda un sistema operativo sicuro è solo un aspetto della sicurezza e non risolve tutti i problemi di sicurezza di un sistema – più impegno e cautela sono da impiegare a tutti i livelli nel progetto. Trascurare la necessità di utilizzare un siste- ma operativo sicuro equivale a costruire un grattacielo senza fondamenta adeguate. La domanda non è se, ma quando la sicurezza verrebbe violata. Fig. 2 – Confronto delle architetture di un hypervisor. INTEGRITY di Green Hills Software funziona come hypervisor di tipo 2, il che permette di ottenere i più alti livelli di sicurezza, protezione e prestazioni