Linus Thorvalds om Linux och IoT säkerhet

På en konferens i San Diego berättade Linus Thorvalds om sin förvåning när han först fick se Linux i inbyggda system. När det gällde säkerhet i systemen tog han en avspänd attityd och sa att det viktigaste var att prylarna utförde det de skulle. Han såg däremot problemen att patcha i IoT system, och att det sällan skedde i äldre system.

Läs hela artikeln här..

Vad gäller säkerhet i Linux-system, så visades på DEF CON 24 Hacking Conference i Paris nyligen hur enkelt det kan vara att kidnappa ett IoT-system som en värmestyrning för hem. Säkerhetsforskare patchade koden på den ARM-baserade kontrollenheten. Därmed kunde de låsa husägaren ute från kontroll, begära lösen för att återställa, eller t.o.m sabotera värmesystemet genom att pendla mellan värme och kyla.

Nya MISRA C – dokument

MISRA kommittén har släppt ett antal dokument som beskriver

– MISRA riktlinjer för överensstämmelse och avvikelser
– MISRA för cyber-säkerhet

Du finner press releasen här och dokumenten här.

Finding Bugs is Only the Beginning

CodeSonar discovers and explains software defects and provides code understanding capabilities that assist with investigation of defects.

How does one judge the quality of a static analysis tool? It’s meaningful to talk about the quality of the lists produced by the tool. What is the precision? The recall?

Säkerhet för Industriell IoT

Vi fortsätter diskutera hur vi skyddar kritisk infrastruktur och produktion. Här är en intressant genomgång på temat från Renesas och Icon Labs. Den behandlar saker från säker uppdatering av firmware och kryptering, till hur du upptäcker olika former av attacker.

Nu kan IoT-enheter även hantera säkerhetscertifikat

Icon Labs, Renesas och Verizon har gjort en lösning som tillåter IoT-enheter att skaffa egna säkerhetscertifikat. Dessutom innehåller lösningen ett antal funktioner som Secure Boot, Secure firmware update, säker lagring av nycklar och certifikat, samt en brandvägg.

IconLabs Floodgate Key Manager är en klient som automatiskt kan ansluta till utgivare av certifikat med en unik RTOS-kompatibel implementering av SCEP-protokollet. Det fungerar tillsammans med Linux och en rad olika RTOS t.ex uC/OS-III, ThreadX och VxWorks.

Testautomation på ett enklare sätt – SeqZap

Med det nya verktyget SeqZap blir det mycket enklare att sätta upp en testmiljö för inbyggda system. SeqZap kräver ingen avancerad programmering och klarar att testa ett systems samtliga I/O-funktioner.

Det vi ser är att verktyget sparar mycket tid genom automattester som kan integreras i din Jenkins/Hudson CI-miljö.

“It doesn’t take many minutes from an idea for a new test to having it automated in SeqZap. That’s really great.”

– Allan Juul Larsen, Research Engineer, Man Diesel & Turbo A/S.

Hur motiverar man bra verktyg?

Jacob Beningo bloggar på  Design News web “Varje embedded-utvecklare vet att cheferna mycket lättare godkänner ett köp av en spektrumanalysator för $50,000 än en debugger med ETM trace för $1,200. Ett köp av en kompilator, trace mjukvara, analysatorer eller andra verktyg som kan göra programutvecklingen enklare, snabbare eller billigare resulterar obönhörligen i att cheferna undrar varför man inte kan använda ett open source verktyg, eller om man verkligen inte kan klara sig utan.”

Han fortsätter med 5 argument hur man kan motivera en investering i bra verktyg. Det är trist att det fortsätter vara så här. En utvecklare kostar företaget närmare en miljon om året, men anses inte värd att köra med de bästa verktygen. Många får nöja sig med de gratisverktyg som chip-tillverkarna tillhandahåller när du utvärderar deras processorer. Men vilka andra yrkesgrupper skulle välja  teknik efter var man får gratis verktyg? Skulle du vilja att din läkare eller bilmekare gjorde det?

De flesta embedded-system är idag affärskritiska, om inte t.o.m. säkerhetskritiska, så samma fråga borde ställas till utvecklare.

Vi på Nohau anser att varje utvecklare förtjänar de bästa verktygen.

Här är en länk till Beningos 5 argument.

Now IoT-devices also manage security certificates

Floodgate IoT Security Toolkit

The Floodgate IoT Security Toolkit provides engineers developing IoT devices a comprehensive security solution allowing them to build secure, authenticated, and trusted devices.

Lauterbach-support för Processor-In-the-Loop (PIL) med Simulink

Vill du köra riktiga enhetstester och systemtester på din hårdvara? Med en Lauterbach kan du verifiera din Simulink-modell genom att köra den i target. Många användare kör på detta sätt regressionstest som en del av sin CI-miljö.

PIL-test är ett kraftfullt verktyg som används för att tidigt upptäcka mjukvarufel och konstruktionsfel redan under enhetstestning. Genom att använda PIL kan ni, så tidigt som möjligt verifiera er mjukvara, vilket självklart höjer kvalitén och kortar utvecklingstiden. TRACE32 PIL finns som en fullständigt integrerad plugin för Simulink.

Lauterbach has provided its Simulink plug-in for PIL (Processor-in-the-Loop) simulation. With this new plug-in, the modeling environment
can communicate directly with the target through a TRACE32 debugger.

Over the course of the last few years, model-based methods have become more and more important in software development. The advantage of model-based
methods is the continuous verifi cation of the software design. The Processor-in-the-Loop simulation has become an important step in the design verifi cation.

PIL Simulation

PIL simulations are performed to ensure the developed algorithms provide the correct functionality in the target environment. This verifi cation step can be
executed on one of the following target systems:

• Final target hardware / evaluation board
• Virtual target / core simulator
• TRACE32 Instruction Set Simulator

ARM Introduces MDK-Plus Edition

ARM® Keil® MDK Version 5.20 is the industry-leading standard software development solution for ARM Cortex® microcontrollers. For Cortex-M devices, the new MDK-Plus edition adds comprehensive middleware for applications that require File System, Graphics, TCP/IP Networking, or USB Device interfaces.