מחשבים על מודול (Computer-On-Module) של חברת MSC Technologies מציעים מספר אפשרויות אבטחה, כמו למשל שילוב של תקן Trusted Platform Module, שימוש ב-Aptio UEFI Secure Boot של AMI ומימוש של תוכנת אבטחה של McAfee.
הנושא של אבטחת נתונים בתקשורת בעל עדיפות גבוהה למימוש מפעל ייצור חכם באמצעות האינטרנט של העצמים (the Internet Of Things – IoT), וכן, להגנה מפני ריגול והתקפות חיצוניות של פצחנים (hacker). מחד גיסא, יש לפתור את הנושא הזה באמצעות ארכיטקטורות תוכנה חדשות, ומאידך, החומרה יכולה אף היא לתרום באופן משמעותי לאבטחת המערכת. תכונות אבטחה מיוחדות נכנסות לשימוש כבר היום בהפעלתם של מודולים משובצים של מחשבים סטנדרטיים. חברת MSC Technologies היא אחת מבין חברות היצרנים של מודולים משובצים, אשר שיפרה את מוצריה המבוססים על טכנולוגיות מגוונות של מעבדים כדוגמת הדור הרביעי של ™Core של Intel וסדרת Atom E3xxx של Intel וכן על המערכות על שבב (SOC) בסדרת G המשובצת של AMD.
הגנה על נתונים באמצעות Trusted Platform Module
משפחות המודולים ™Qseven ו-™COM Express של החברה מצוידות בתקן (Trusted Platform Module (TPM. תקן זה מציע פונקציונליות של אבטחה, בהתאם למפרט (הגרסה הנוכחית שלו היא 1.2) של קבוצת Trusted Computing Group , המהווה גוף תקנים בינלאומי. תקן TPM הוא רכיב בלתי פעיל שיש להפוך אותו לפעיל בעזרת מערכת מארחת שאוכפת ומשתלטת על כמה משימות כמפורט להלן:
הקמה וניהול של שרשת אמון, בעזרתה אפשר להבטיח שהמערכת משולבת באופן מלא ומאובטח בתוך הרשת, החל באתחול ועד להפעלת מערכת ההפעלה, ובהמשך עד לטעינת תוכנת היישום המתאימה. מערכת ה-BIOS עצמה, רישום (סקטור) האתחול הראשי (MBR) של מדיית האחסון, מנהל האתחול (bootloader), וכן חלקים אחרים של מערכת ההפעלה הקשורים באבטחה והתוכנה של המשתמש יכולים אף הם להיות משולבים בשרשרת האמון.
יצירה וניהול של מפתחות הצפנה, אשר בעזרת מפתח ההתקן הראשי (DMK), יכולים לאפשר זיהוי ברור של התקן בתוך הרשת, ובמידת האפשר, כזה שגם יהיה חסין בפני חיקוי. פונקציה זו מיועדת למניעה של העתקה או התקנה לא חוקיות של תוכנה, אשר לאחר מכן יש להן אפשרות, בין עוד רבות אפשרויות אחרות, להתבצע על חומרה שאינה חלק מהמערכת.
איטום מדיית אחסון (למשל כוננים קשיחים – HD או כונני מצב מוצק – SSD) באמצעות תוכנת ההצפנה BitLocker של ®Microsoft, שקיימת כסטנדרט מאז מערכת ההפעלה Windows® Vista. התוכנה BitLocker משתמשת בתקן TPM עבור אחסון מאובטח של קודי המפתח שהיא יוצרת, על מנת להבטיח שאפשר יהיה לאתחל או לקרוא רק רכיבים בעלי מפתח BitLocker מתאים.
שילוב מאובטח של התקני רשת תקשורת מקומית (LAN) והתקני רשת אלחוטית (WLAN). גם כאן, הרכיב בתקן TPM מנהל את הקודים שנוצרו בצורה נכונה ומבטיח שרק רכיבי מערכת הידועים לרשת יוכלו להיות מעורבים באופן פעיל במערכת.
תהליך אתחול מאובטח
החברה היא היחידה שמשתמשת כיום ב-Aptio של חברת American Megatrends , המבוסס על ממשק הקושחה (Firmware) המאוחד שניתן להרחבה
(Unified Extensible Firmware Interface – UEFI), על מנת לשפר עוד יותר את אבטחת הנתונים של המודולים המשובצים שלה. בין היתר, מציע Aptio אפשרות של תהליך אתחול מאובטח (Secure Boot). הממשק UEFI הוא קושחה מתקדמת של מערכת ניהול הכניסות והיציאות הבסיסית (BIOS), אשר יצאה לשוק על ידי חברת המחשבים העסקיים הבינלאומית (IBM) בתחילת שנות השמונים. מערכת BIOS משמשת כקישור בין המחשב למערכת ההפעלה ובין הקושחה, בהתאמה למגוון רכיבים בדידים שנחוצים במהלך תהליך האתחול. ממשק UEFI הוא ממשק סטנדרטי בלתי תלוי בפלטפורמה. באמצעות שגרות קושחה, הוא מאפשר למערכת ההפעלה לגשת למשאבים השייכים למערכת במהלך תהליך הטעינה. את כל המשאבים האלו אפשר לחבר בהמשך, למערכת ההפעלה בהתניית מנהלי התקנים (driver). בהשוואה למערכת BIOS רגילה, תהליך האתחול באמצעות ממשק UEFI מהיר יותר באופן משמעותי ומציע למשתמשים את התכונות הבאות:
ממשק גרפי בעל רזולוציה גבוהה של תפריטי האתחול, המאפשר הפעלה פשוטה עם עכבר רגיל או עם מסך מגע רגיל.
תמיכה במעטפת ממשק קושחה ניתן להרחבה (EFI), כסביבה דמוית מערכת הפעלה, לצורך בדיקות ותחזוקה של המערכת.
תמיכה ביישומים להפעלה לפני האתחול, שבעזרתם אפשר לגשת לרכיבי מערכת חיוניים גם ללא מערכת ההפעלה.
תמיכת רשת עם מחסנית פרוטוקולים מלא.
תמיכה בטבלת חלוקה (GPT) עם מזהה ייחודי גלובלי (GUID) במקום בטבלת החלוקה עם רישום האתחול הראשי (MBR), כדי לנהל את מדיית האחסון בקיבולת אחסון של יותר מ-2.2 טרה-ביית.
פונקציונליות של אתחול מאובטח, אשר מבטיחה שרק תוכנה מאובטחת שנחתמה לפני כן, תופעל. בכך היא גם מונעת את הפעלתם של סוסים טרויאניים, וירוסים ותולעי רשת, אשר מבצעים כתיבה בסקטור האתחול ועוקפים את מערכת ההפעלה, ואינם מקבלים אפשרות כלשהי לביצוע תמרונים על מערכת ההפעלה. לכן, אתחול מאובטח UEFI יכול למנוע את תחילתו של מנהל אתחול לא חתום והטעינה של מערכת הפעלה שאינה ידועה למערכת. מימוש האתחול המאובטח (Secure Boot) המיועד להפעלה בטוחה של תהליך, מבוסס על השימוש במפתח פלטפורמה (PK), מפתח החלפת מפתח (Key Exchange Key – KEK) ומאגרי נתוני החתימה הקשורים אליו המשמשים לניהול קודי החתימה שנוצרו.
תוכנת ניהול יישומים
על מנת להשלים את תהליך האתחול המאובטח, שאותו אפשר לבצע רק במצב UEFI טהור, במצב פעולה שגרתית של מערכת ההפעלה, אפשר להשתמש למשל בתוכנה Application Control (בקרת יישומים) של McAfee. פתרון זה ליצירת “רשימה לבנה” (white listing) משתמש במודל אמון דינמי ופועל מבלי שיהיה לו צורך בניהול בריבוי עבודה. התוכנה Application Control של McAfee יכולה לסווג יישומים כמסוכנים או כלא מסוכנים עבור המערכת, וכאשר מתאים לחסום את הפעלתם. לכן, Application Control מציע לא רק הגנה מפני קובצי הפעלה המוכרים באופן ברור (קובצי *.exe), אלא מרחיב את הכיסוי מפני, למשל, פריטי בקרה מסוג ActiveX או יישומוני Java. כתוצאה מכך, מובטח כל הזמן ניהול נכון גם של תוכנה המיועדת להתקנה במערכות הפעלה של 32 או 64 סיביות.
MSC technologies is an Avnet company
המאמר נערך ע”י יאיר סהר ודניאל כץ
-
- משפחת המודולים המתקדמת ™C6B-8S COM Express של MSC מציעה מחשוב ברמה גבוהה וביצועי גרפיקה גבוהים, תוך כדי צריכת הספק נמוכה
-
- משפחת המודולים המתקדמת ™C6B-8S COM Express של MSC מציעה מחשוב ברמה גבוהה וביצועי גרפיקה גבוהים, תוך כדי צריכת הספק נמוכה
-
- משפחת המודולים המתקדמת ™C6B-8S COM Express של MSC מציעה מחשוב ברמה גבוהה וביצועי גרפיקה גבוהים, תוך כדי צריכת הספק נמוכה
