Security patterns for AMP-based embedded systems

Schnarz, Pierre GND

The consolidation of diverse functionalities onto a single platform is an ongoing, and still emerging, trend in the development of automotive electronic control units. More and more, these software-intensive functions imply different requirements concerning their system quality. In the future, this so-called mixed-criticality systems will emerge and consolidate even more functions, towards large computational platforms. Through the advent of hardware virtualization features into automotive-grade microcontrollers, software partitioning on hardware-level has been made possible. Particularly, asynchronous multiprocessing (AMP) is suitable to host several domains "bare-metal" by utilising these hardware virtualization capabilities. The AMP paradigm aims to assign a group of hardware elements statically to a single software partition. This composition is referred to as asynchronous domain. AMP is considered to be very performance effective, while the effort of realising hypervisors is kept at a minimum. However, an important requirement of mixed-criticality systems is to provide a platform to consolidate functions with a high degree of freedom of interference, dependability and security. Particularly, the availability and integrity aspect of co-hosted functions need to be enforced. Notwithstanding the utilisation of a common hardware platform, side-effects might end up in severe vulnerabilities. This work elaborates on security patterns considering the specific construction paradigm of AMP-based systems. The patterns include security problems and solutions describing the offensive and defensive aspects of the given context. A tailored security assessment methodology combines methods and tools to analyse, quantify and evaluate the particular artefacts. The vulnerability assessment conducted in this work revealed a surface for denial-of-service of shared last-level caches (LLC) and elevation-of-privilege and tampering threats by misusing co-processors. Accordingly, the exploitability of these threats is demonstrated by penetration tests. The strategy to solve these issues, a reordering of the system memory map is proposed. A domain-block based mapping is shown to partition the LLC, which limits in this way the interference of adjacent domains. Furthermore, memory-map shuffling is proposed, to limit the exploitability of elevation-of-privilege threats by obfuscating the target memory structure. The findings of the security problems are transferred into rules to detect the issues in system architecture models. Furthermore, it is proposed to implement on each system layer primary and secondary security countermeasures. Particularly, systems utilizing hardware protection capabilities this leads to an extensive defence-in-depth security architecture. Therefore, the concepts contribute to the deterrence and the prevention of adverse actions to physical memory.

Die Konsolidierung diverser Funktionalitäten auf eine einzelne Plattform ist ein wachsender Trend in der Entwicklung von automotiven Steuergeräten. Softwareintensive Funktionen implizieren hier immer mehr verschiedene Anforderungen an die Systemqualiät. In der Zukunft werden solche sogenannten mixed-criticality Systeme immer mehr Funktionen vereinen und zu großen Rechenplattformen. Durch die Einführung von Hardwarevirtualisierungs-Unterstützung in automobil-geeigneten Mikrokontrollern, wird eine Softwarepartitionierung auf Hardwareebene ermöglicht. Dessen Benutzung ermöglicht es durch asynchronous multiprocessing (AMP) mehrere Partitionen direkt auf der Hardware auszuführen. Das AMP-Paradigma ermöglicht es Hardwareelemente einer Softwaredomäne statisch zuzuordnen. Dies geschieht Rechenleistungsneutral, bei geringem Entwicklungsaufwand. Jedoch spielen die Rückwirkungsfreiheit, Verlässlichkeit und Cyber-Sicherheit eine gewichtige Rolle, wenn es um Plattformen mit konsolidierten Funktionen geht. Gerade die Verfügbarkeit und Integrität von benachbarten Funktionen müssen sichergestellt werden. Trotz der Verwendung einer gemeinsamen Hardwareplattform können Seiteneffekte zu schwerwiegenden Schwachstellen führen. Diese Arbeit behandelt Security-Muster, welche sich auf das spezifische Konstruktionsparadigma eines AMP-basiertem Systems bezieht. Diese Muster beinhalten Sicherheitsprobleme und Lösungen und beschreiben damit die offensiven und defensiven Aspekte in einem gegebenen Kontext. Eine speziell zugeschnittene Security-Auswertungs-Methodik kombiniert Methoden und Werkzeuge zur Analyse, Quantifizierung und Evaluation der hervorgebrachten Ergebnisartefakte. Eine Schwachstellenanalyse bringt eine Angriffsfläche für die Verfügbarkeit von Last-Level Caches (LLC) und Rechteausweitungs- und Datenmanipulations-Bedrohungen durch den Missbrauch von Co-Prozessoren, hervor. Dementsprechend demonstrieren Penetrationstests die Ausnutzbarkeit dieser Bedrohungen. Als Lösungsstrategie wird eine Reorganisation der System-Speicherzuordung vorgeschlagen. Eine domänenweise Zuordnung des Speichers, limitiert so die Angriffsfläche für benachbarte Domänen. Des Weiteren wird eine zufällige Vermischung der Speicherzuordung vorgeschlagen. Dies limitiert die Ausnutzbarkeit von Rechteausweitungsbedrohungen, indem die Angriffszielstruktur verschleiert wird. Die Ergebnisse der Security Probleme fließen als Regeln zur Analyse von arbiträren System-Architekturmodellen. Darüber hinaus wird vorgeschlagen auf allen Systemebenen primäre und sekundäre Security Maßnahmen vorzusehen. Gerade in Systemen welche Hardwareschutzmaßnahmen verwenden, wird dies zu einer verbesserten defence-in-depth Security Architektur beitragen. Somit tragen die hier gezeigten Konzepte auch zur Abschreckung und Verhinderung von bösartigen Aktivitäten auf physikalischen Speicher bei.

Vorschau

Zitieren

Zitierform:

Schnarz, Pierre: Security patterns for AMP-based embedded systems. Clausthal 2019.

Zugriffsstatistik

Gesamt:
Volltextzugriffe:
Metadatenansicht:
12 Monate:
Volltextzugriffe:
Metadatenansicht:

Grafik öffnen

Rechte

Nutzung und Vervielfältigung:
Alle Rechte vorbehalten

Export