Get in touch!

Use the form on the right to contact us.

We answer emails as soon as we can. See the contact page for more information.

           

123 Street Avenue, City Town, 99999

(123) 555-6789

[email protected]

 

You can set your address, phone number, email and site description in the settings tab.
Link to read me page with more information.

Blog

Workshop om programuppdateringar i IoT-enheter

Joachim Strömbergson

En av de riktigt kritiska besluten vid design av ett inbyggt system är huruvida programvaran (ofta kallad firmware) ska kunna uppdateras efter att saken datorn/processorn sitter i har producerats och levererats. Och om det ska kunna ske, på vilket sätt det ska ske.

Ska uppdateringar kunna ske på avstånd, eller måste en tekniker koppla upp sig till enheten med en sladd lokalt? Ska det gå att gå tillbaka till en gammal version av programvaran om den nya visar sig inte fungera? Detta är exempel på frågor som för med sig stora säkerhetsmässiga aspekter. Svaren på dessa frågor kan även driva komponentkostnader, genom att exempelvis ställa krav på större mängd minne, stöd för olika algoritmer.

Livslängden på de saker ett inbyggt system sitter i kan variera högst väsentligt. Men att det i dag skruvas upp saker som förväntas användas under 30 år är inte ovanligt. På den tiden hinner det ske stora förändringar i hur saker kommunicerar, vilka datorresurser som kan finnas etc. Att kunna uppdatera systemet för att svara upp mot förändringar blir viktigt.

Speciellt för Internet of Things (IoT) blir detta väldigt tydligt. När vi pratar om IoT handlar det ofta om ytterst små, kostnadspressade system med relativt lång förväntad livstid avsedda att kommunicera över publikt Internet. IoT närmast kräver att systemen kan uppdateras för att anpassas till förändrad omvärld och hotbild.

Tyvärr ser jag i min roll som säkerhetsexpert ofta exempel på uppdateringsmekanismer som ger inget eller verkningslöst skydd (vilket enbart driver kostnad i onödan), eller mekanismer med grava svagheter. Inte sällan är dessa uppdateringsmekanismer skapade av konstruktören av det inbyggda systemet. Men även färdiga lösningar från leverantörer av processorer för inbyggda system (Microcontrollers - MCU) eller moduler är tyvärr inte sällan utan mer eller mindre allvarliga brister. I de fallen riskerar dessutom flera olika system och olika företags produkter att bli sårbara.

Med denna problemsituation var det därför glädjande att se ett intressant initiativ för att förbättra situationen. Internet of Things Software Update Workshop (IoTSU) är en workshop anordnad av IETF och IPSO. Syftet är att diskutera dagens situation samt standardisering av protokoll, dataformat och underliggande mekanismer för att ta skapa bra lösningar för programuppdateringsmekanismer. Workshopen går den 13-14 juni Dublin. Fokusområden för workshopen är:

  • Protocol mechanisms for distributing software updates.
  • Securing software updates.
  • Meta-data about software / firmware packages.
  • Implications of operating system and hardware design on the software update mechanisms.
  • Installation of software updates (in context of software and hardware security of IoT devices).
  • Privacy implications of software update mechanisms.
  • Seeking input on experience and state-of-the-art.
  • Implications of device ownership and control for software updat
 

Jag hoppas kunna vara där, men kommer oavsett att bevaka de diskussioner som garanterat kommer att skapas på ett antal maillistor.