Comment améliorer la sécurité des systèmes embarqués?
Cette présentation effectuée à l'occasion du salon RTS 2014, montre que l'analyse statique des logiciels est une des réponses à cette problématique
Intérêt de l'analyse statique pour la prévention des failles de sécurité
1. 22èmeédition -Conférences 2014
19 et 20 mars 2014
VIPARIS –CNIT –Paris La Défense
Utilisation de l’analyse statique de code pour améliorer la sécurité des applications embarquées
Jérôme d’ALDERETE
Email : jdalderete@antycip.com
Tél.: +33 6 08 95 79 64
2. 22èmeédition -Conférences 2014
19 et 20 mars 2014
VIPARIS –CNIT –Paris La Défense
Préambule
DO-178B | ED-12B
Aerospace
FDA | IEC 62304
Medical
ISO 26262
Automotive
IEC 61508
Industrial
CENELEC | EN 50128
Railway
Safety= sûreté (de fonctionnement) = fiabilité
Security = sécurité = protection contre les attaques malveillantes
4. 22èmeédition -Conférences 2014
19 et 20 mars 2014
VIPARIS –CNIT –Paris La Défense
Systèmes embarqués actuels…
Remote Control
Interconnections
…la connectivité accroit la vulnérabilité
5. 22èmeédition -Conférences 2014
19 et 20 mars 2014
VIPARIS –CNIT –Paris La Défense
D’oùviennentles attaques?
Source: Verizon 2012 Data Breach Investigations Report
En résumé:
1.Attaquesde l’extérieur
2.Pratiquedu hacking = exploitation des faillesdu logiciel
Source: Verizon 2012 Data Breach Investigations Report
6. 22èmeédition -Conférences 2014
19 et 20 mars 2014
VIPARIS –CNIT –Paris La Défense
La plupart des vulnérabilités logicielles sont répertoriées
SQL injections
buffer overflows
crashes
+ de 200 règles
+ de 800 règles
9. 22èmeédition -Conférences 2014
19 et 20 mars 2014
VIPARIS –CNIT –Paris La Défense
Méthodesde vérification/prévention
•Activitécomplexeà automatiser
•Couverturenon déterministe
Penetration Testing
•Faibleproductivité, limitesen volume de code
•Couverturenon déterministe
Manual Code Review
•Efficacesila menace (signature) estconnue
•Solution de contournementtemporaireseulement
Application Firewalls
•Couverturenon déterministe
Dynamic Application Security Testing
10. 22èmeédition -Conférences 2014
19 et 20 mars 2014
VIPARIS –CNIT –Paris La Défense
code
analysis
L’analyse statique améliore les revues de code
•Rapide
•Exhaustif
•Automatisable
•Large spectre de vérifications:
•Crashes
•Corruption mémoire
•Débordement de tableaux
•SQL injection
•DDoS
11. 22èmeédition -Conférences 2014
19 et 20 mars 2014
VIPARIS –CNIT –Paris La Défense
Technologies de pointe en analyse statique
Pour avoirle meilleurcompromisvitesse/ précision
•InterproceduralAnalysis
•Model Checking
•SMT solving
•Abstract Data Tracking
Tousles outilsontles mêmesprétentionssurle papier…
12. 22èmeédition -Conférences 2014
19 et 20 mars 2014
VIPARIS –CNIT –Paris La Défense
NIST/DHSStudy
Benchmark indépendantorganisépar le gouvernementUS
Généralités:
•Campagned’évaluationannuelle
•Sélectionde 5 à 10 outilscommerciauxouacadémiques
•Publication des résultats-> http://samate.nist.gov/
Base de test:
•Projetsopen source (Chromium, Wireshark, Dovecot, …)
•Suite de tests spécifiques(+ de 60.0000 casde test)
13. 22èmeédition -Conférences 2014
19 et 20 mars 2014
VIPARIS –CNIT –Paris La Défense
Synthèse du benchmark
tool A
tool B
tool C
tool D
tool E
14. 22èmeédition -Conférences 2014
19 et 20 mars 2014
VIPARIS –CNIT –Paris La Défense
Assez peu de recouvrement
Chaqueoutila sesproprespoints forts…
15. 22èmeédition -Conférences 2014
19 et 20 mars 2014
VIPARIS –CNIT –Paris La Défense
Working with security and defense agencies.
Moteurd’analyseC/C++ moderne
•Abstract data tracking
•model checking
•SMT solving
•Inter-procedural analysis
…Et complet
•Erreursd’exécution
•RèglesMISRA
•RèglesCERT, CWE
16. 22èmeédition -Conférences 2014
19 et 20 mars 2014
VIPARIS –CNIT –Paris La Défense
Conclusion
Les systèmesembarquésaffrontentles mêmesmenaces queles systèmesd’informationclassiques.
Maisavec un impact potentiellementplus grand
Pas de solution miracle pour les protéger:
•Conception orientéesécurité
•Revues de code
•Tests
L’analysestatiquede code estéconomique, car automatisable, et elleprémunitcontreun grand nombrede faillesconnues.
17. 22èmeédition -Conférences 2014
19 et 20 mars 2014
VIPARIS –CNIT –Paris La Défense
Crédits/ Références
Dr Ralf Huuck
Red Lizard Software / NICTA
https://www.securecoding.cert.org
http://cwe.mitre.org/
http://redlizards.com
jdalderete@antycip.com
Démonstration GOANNA:
Stand Antycip N°F19