Schutz vor Rootkit- und Bootkit-Malware in Systemen, die über externem SPI-Flash-Speicher booten
12. März 2020
über
über
Mit dem rasanten Wachstum von 5G, einschließlich der neuen Mobilfunk-Infrastruktur sowie der zunehmenden Zahl von Netzwerken und Rechenzentren, die den Ausbau des Cloud-Computing unterstützen, suchen Entwickler nach neuen Wegen, um sicherzustellen, dass Betriebssysteme sicher und kompromisslos bleiben. Microchip Technology (Nasdaq: MCHP) stellt dafür einen neuen Mikrocontroller (MCU) mit Verschlüsselung vor: den CEC1712 mit kundenspezifischer Soteria-G2-Firmware, der bösartige Malware wie Rootkits und Bootkits für Systeme stoppt, die über einen externen SPI-Flash-Speicher (Serial Peripheral Interface) gebootet werden.
Microchips Soteria-G2-Firmware auf der voll ausgestatteten Arm® Cortex®-M4-basierten MCU CEC1712 sorgt für ein sicheres Booten mit Hardware-Root-of-Trust-Schutz im Pre-Boot-Modus für Betriebssysteme, die über einen externen SPI-Flash-Speicher gebootet werden. Darüber hinaus bietet der CEC1712 während des Betriebs einen Schutz vor Schlüsselwiderruf und Code-Rollback, was Sicherheitsupdates vor Ort ermöglicht. Gemäß den NIST-800-193-Richtlinien schützt, erkennt und behebt der CEC1712 Beschädigungen, um die Ausfallsicherheit der gesamten System-Firmware zu gewährleisten. Das sichere Booten mit Hardware Root of Trust ist entscheidend für den Schutz des Systems vor Bedrohungen, bevor diese in das System geladen werden können. Damit bootet das System nur mit Software, die vom Hersteller als vertrauenswürdig eingestuft wird.
Die Soteria-G2-Firmware wurde für den Einsatz mit dem CEC1712 entwickelt, um sicheres Booten schneller einzuführen und umzusetzen, indem die Codeentwicklung vereinfacht und das Risiko verringert wird. Soteria-G2 verwendet den unveränderlichen sicheren Bootloader des CEC1712 im Read-Only-Speicher (ROM) als System Root of Trust.
„Eine besonders heimtückische Form von Malware ist ein Rootkit, da es vor dem Booten des Betriebssystems geladen wird und sich vor gewöhnlicher Anti-Malware-Software verstecken kann und daher schwer zu erkennen ist“, erklärte Ian Harris, Vice President der Computing Products Group bei Microchip. „Eine Möglichkeit, sich gegen Rootkits zu wehren, ist das sichere Booten. Der CEC1712 und die Soteria-G2-Firmware schützen vor Bedrohungen, bevor sie geladen werden können.“
Der sichere Bootloader des CEC1712 lädt, entschlüsselt und authentifiziert die Firmware, die auf dem CEC1712 ausgeführt werden soll – vom externen SPI-Flash aus. Der validierte CEC1712-Code authentifiziert anschließend die im SPI-Flash gespeicherte Firmware für den ersten Anwendungsprozessor. Es werden bis zu zwei Anwendungsprozessoren mit jeweils zwei unterstützten Flash-Komponenten unterstützt. Die Vorabbereitstellung (Pre-Provisioning) kundenspezifischer Daten ist eine Option von Microchip oder Arrow Electronics. Dabei handelt es sich um eine sichere Fertigungslösung, um Overbuilding und Fälschung zu verhindern. Die Lösung spart nicht nur mehrere Monate Entwicklungszeit, sondern vereinfacht auch die Provisioning-Logik, sodass Kunden die Geräte ohne Gemeinkosten für Bereitstellungsdienste Dritter oder Zertifizierungsstellen einfach sichern und verwalten können.
„Die sichere Bereitstellung einiger der Vorzeigeprodukte von Microchip ist ein wichtiger Bestandteil unseres Angebots“, so Aiden Mitchell, Vice President IoT bei Arrow Electronics. „Die Soteria-G2-Firmware und der Mikrocontroller CEC1712 sind darauf ausgerichtet, Systeme zu schützen. Kunden werden zunehmend nach solchen Angeboten suchen, wenn wir uns dem 5G-Zeitalter nähern und immer mehr auf vernetzte Lösungen und autonome Maschinen setzen.“
Die Kombination aus CEC1712 und Soteria-G2 verhindert nicht nur schädliche Malware während des Pre-Bootens von Betriebssystemen für 5G-Systeme und Rechenzentren, sondern ist auch ein Sicherheitsfaktor für vernetzte autonome Fahrzeugbetriebssysteme, ADAS (Advanced Driver Assisted Systems) und andere Systeme, die aus externem SPI-Flash gebootet werden.
Entwicklungstools
Microchips CEC1712- und Soteria-G2-Set bietet verschiedene Optionen für die Software- und Hardware-Unterstützung. Die Software-Unterstützung umfasst MPLAB® X IDE, MPLAB Xpress, und das MPLABXC32 compilers. Die Hardware-Unterstützung ist im MPLAB ICD 4 und PICkit™ 4 Programmer/Debugger enthalten.
Microchips Soteria-G2-Firmware auf der voll ausgestatteten Arm® Cortex®-M4-basierten MCU CEC1712 sorgt für ein sicheres Booten mit Hardware-Root-of-Trust-Schutz im Pre-Boot-Modus für Betriebssysteme, die über einen externen SPI-Flash-Speicher gebootet werden. Darüber hinaus bietet der CEC1712 während des Betriebs einen Schutz vor Schlüsselwiderruf und Code-Rollback, was Sicherheitsupdates vor Ort ermöglicht. Gemäß den NIST-800-193-Richtlinien schützt, erkennt und behebt der CEC1712 Beschädigungen, um die Ausfallsicherheit der gesamten System-Firmware zu gewährleisten. Das sichere Booten mit Hardware Root of Trust ist entscheidend für den Schutz des Systems vor Bedrohungen, bevor diese in das System geladen werden können. Damit bootet das System nur mit Software, die vom Hersteller als vertrauenswürdig eingestuft wird.
Die Soteria-G2-Firmware wurde für den Einsatz mit dem CEC1712 entwickelt, um sicheres Booten schneller einzuführen und umzusetzen, indem die Codeentwicklung vereinfacht und das Risiko verringert wird. Soteria-G2 verwendet den unveränderlichen sicheren Bootloader des CEC1712 im Read-Only-Speicher (ROM) als System Root of Trust.
„Eine besonders heimtückische Form von Malware ist ein Rootkit, da es vor dem Booten des Betriebssystems geladen wird und sich vor gewöhnlicher Anti-Malware-Software verstecken kann und daher schwer zu erkennen ist“, erklärte Ian Harris, Vice President der Computing Products Group bei Microchip. „Eine Möglichkeit, sich gegen Rootkits zu wehren, ist das sichere Booten. Der CEC1712 und die Soteria-G2-Firmware schützen vor Bedrohungen, bevor sie geladen werden können.“
Der sichere Bootloader des CEC1712 lädt, entschlüsselt und authentifiziert die Firmware, die auf dem CEC1712 ausgeführt werden soll – vom externen SPI-Flash aus. Der validierte CEC1712-Code authentifiziert anschließend die im SPI-Flash gespeicherte Firmware für den ersten Anwendungsprozessor. Es werden bis zu zwei Anwendungsprozessoren mit jeweils zwei unterstützten Flash-Komponenten unterstützt. Die Vorabbereitstellung (Pre-Provisioning) kundenspezifischer Daten ist eine Option von Microchip oder Arrow Electronics. Dabei handelt es sich um eine sichere Fertigungslösung, um Overbuilding und Fälschung zu verhindern. Die Lösung spart nicht nur mehrere Monate Entwicklungszeit, sondern vereinfacht auch die Provisioning-Logik, sodass Kunden die Geräte ohne Gemeinkosten für Bereitstellungsdienste Dritter oder Zertifizierungsstellen einfach sichern und verwalten können.
„Die sichere Bereitstellung einiger der Vorzeigeprodukte von Microchip ist ein wichtiger Bestandteil unseres Angebots“, so Aiden Mitchell, Vice President IoT bei Arrow Electronics. „Die Soteria-G2-Firmware und der Mikrocontroller CEC1712 sind darauf ausgerichtet, Systeme zu schützen. Kunden werden zunehmend nach solchen Angeboten suchen, wenn wir uns dem 5G-Zeitalter nähern und immer mehr auf vernetzte Lösungen und autonome Maschinen setzen.“
Die Kombination aus CEC1712 und Soteria-G2 verhindert nicht nur schädliche Malware während des Pre-Bootens von Betriebssystemen für 5G-Systeme und Rechenzentren, sondern ist auch ein Sicherheitsfaktor für vernetzte autonome Fahrzeugbetriebssysteme, ADAS (Advanced Driver Assisted Systems) und andere Systeme, die aus externem SPI-Flash gebootet werden.
Entwicklungstools
Microchips CEC1712- und Soteria-G2-Set bietet verschiedene Optionen für die Software- und Hardware-Unterstützung. Die Software-Unterstützung umfasst MPLAB® X IDE, MPLAB Xpress, und das MPLABXC32 compilers. Die Hardware-Unterstützung ist im MPLAB ICD 4 und PICkit™ 4 Programmer/Debugger enthalten.
Mehr anzeigen
Weniger anzeigen
Diskussion (0 Kommentare)