Zabezpieczenie przed atakami Rootkit/Bootkit do systemów uruchamianych z zewnętrznej pamięci Flash

Szczególnie podstępną formą złośliwego oprogramowania jest rootkit. Przenika on do urządzenia jeszcze przed załadowaniem systemu operacyjnego, dzięki czemu może ukryć się przed zwykłym oprogramowaniem antywirusowym i jest niezwykle trudny do wykrycia. Jednym ze sposobów obrony przed tego typu atakami jest bezpieczny rozruch. Realizuje to najnowszy mikrokontroler kryptograficzny CEC1712 MCU firmy Microchip z oprogramowaniem firmware Soteria-G2. Zapewnia on skuteczne zabezpieczenie przed złośliwym oprogramowaniem Rootkit i Bootkit w systemach mikroprocesorowych uruchamianych z zewnętrznej pamięci Flash.

Opracowane przez Microchip oprogramowanie firmware Soteria-G2, pracujące na mikroprocesorze CEC1712, zapewnia rozruch systemu ze sprzętowym zabezpieczeniem root of trust w trybie pre-boot w systemach uruchamianych z zewnętrznej pamięci SPI. Dodatkowo, CEC1712 umożliwia unieważnienie klucza i zapewnia zabezpieczenie code rollback przez cały czas życia, co pozwala na przeprowadzanie aktualizacji w terenie. Zgodny z wytycznymi NIST 800-193, mikrokontroler CEC1712 chroni, wykrywa i odzyskuje dane po uszkodzeniu, zapewniając całkowitą odporność oprogramowania firmware na ataki. Bezpieczny rozruch ze sprzętowym zabezpieczeniem root of trust ma kluczowe znaczenie dla ochrony przed zagrożeniami, jeszcze zanim będą one mogły zostać załadowane do systemu oraz pozwala na rozruch tylko przy użyciu oprogramowania zaufanego przez producenta.

Oprogramowanie firmware Soteria-G2 zostało opracowane specjalnie do współpracy z mikrokontrolerem CEC1712, aby przyspieszyć implementację mechanizmu secure boot, ułatwiając opracowywanie kodu i redukując ryzyko. Soteria-G2 wykorzystuje niezmienny, bezpieczny bootloader CEC1712 zaimplementowany w pamięci ROM, jako systemowe źródło root of trust.

Bezpieczny bootloader w CEC1712 zapewnia ładowanie, deszyfrowanie i autoryzację oprogramowania firmware wprowadzanego do CEC1712 z zewnętrznej pamięci SPI Flash. Zatwierdzony kod CEC1712 w dalszej kolejności autoryzuje oprogramowanie firmware do pierwszego procesora aplikacyjnego, przechowywane w pamięci SPI Flash. Obsługiwane są maksymalnie dwa procesory aplikacyjne z maksymalnie dwiema pamięciami Flash podłączonymi do każdego z nich.

Poza zabezpieczeniem przed złośliwym oprogramowaniem w sieciach 5G i systemach operacyjnych w centrach danych, CEC1712 z oprogramowaniem Soteria-G2 mogą też znaleźć zastosowanie w systemach operacyjnych pojazdów autonomicznych oraz samochodowych systemach wspomagania kierowcy (ADAS) i wszelkiego typu systemach, w których rozruch odbywa się z zewnętrznej pamięci SPI Flash.

Mikrokontroler CEC1712 i pakiet Soteria-G2 są objęte wsparciem projektowym w zakresie sprzętu i oprogramowania. Wsparcie programowe obejmuje środowiska MPLAB X IDE i MPLAB Xpress oraz kompilatory MPLABXC32. Wsparcie sprzętowe zapewniają programatory i debuggery m.in. MPLAB ICD 4 i PICkit 4.

Cena układu CEC1712H-S2-I/SX wraz z oprogramowaniem Soteria-G2 wynosi 4,02 USD przy zamówieniach 10 tys. sztuk.