Cyberattacker mot kritisk infrastruktur ökar och är ett växande problem för både systemansvariga och hårdvarutillverkare som levererar denna typ av system. Attacker mot infrastrukturen kan ge mycket allvarliga påföljder.
Till testsystemet SeqZap finns nu ett nytt verktyg för att automatisera test av web-applikationer och cloud-baserade IoT-system.
Då allt fler apparater blir uppkopplade till internet och till olika server/cloud-lösningar finns ett behov av att testa hela systemets funktion. Genom att använda SeqZap kan du skapa testsekvenser för både det inbyggda systemet i sig, och för ett web-gränssnitt eller en server.
I ett system som på bilden kan testaren skapa tester för att:
Svaret på denna fråga är ganska enkel: “när koden håller på att utvecklas”. Detta är dock en förenkling. Ett längre svar är “som en del av en strukturerad och säker utvecklingsprocess.”
Statisk analys är en viktig del av en modern verktygssvit för mjukvaruutveckling som när den tillämpas på rätt sätt och i tillräckligt god tid kan ha en stor inverkan på kod kvalitet, säkerhet och säkerhet.
Behöver du skydda uppkopplade styr- eller kontrollsystem, t.ex SCADA? FloodGate Defender är en liten men kraftfull brandvägg som monteras på DIN-skena, och kostar inte mer än SEK 5950;-.
Installation och konfiguration är snabbt gjort och skyddar sedan mot olika hacker-attacker som Denial-of-Service attacker, automatiserade hacker bots eller sabotageförsök.
De flesta uppkopplade system tar bara hänsyn till någon enstaka aspekt på cyber-säkerhet. Visst är det olika risknivå på ett kärnkraftverk och en enkel sensor.
Vi kan kallt räkna med att all utrustning som är uppkopplad mot nätet kommer att utsättas för någon form av hackerattack, om inte förr så senare. Framför allt är vår infrastruktur sårbar, elnät, vatten- och avlopp, kommunikationslänkar. En stor del av Ukrainas elnät slogs ut av en sofistikerad attack 2015.
Det gäller alltså att minimera attackytorna i våra system. Ett hjälpmedel för att täppa de värsta luckorna i apparna är statisk kodanalys.
På en konferens i San Diego berättade Linus Thorvalds om sin förvåning när han först fick se Linux i inbyggda system. När det gällde säkerhet i systemen tog han en avspänd attityd och sa att det viktigaste var att prylarna utförde det de skulle. Han såg däremot problemen att patcha i IoT system, och att det sällan skedde i äldre system.
Läs hela artikeln här..
Vad gäller säkerhet i Linux-system, så visades på DEF CON 24 Hacking Conference i Paris nyligen hur enkelt det kan vara att kidnappa ett IoT-system som en värmestyrning för hem. Säkerhetsforskare patchade koden på den ARM-baserade kontrollenheten. Därmed kunde de låsa husägaren ute från kontroll, begära lösen för att återställa, eller t.o.m sabotera värmesystemet genom att pendla mellan värme och kyla.
CodeSonar discovers and explains software defects and provides code understanding capabilities that assist with investigation of defects.
How does one judge the quality of a static analysis tool? It’s meaningful to talk about the quality of the lists produced by the tool. What is the precision? The recall?
Vi fortsätter diskutera hur vi skyddar kritisk infrastruktur och produktion. Här är en intressant genomgång på temat från Renesas och Icon Labs. Den behandlar saker från säker uppdatering av firmware och kryptering, till hur du upptäcker olika former av attacker.
