Pesquisadores visam melhorar formas de aplicar correções em código de sistemas embarcados
Três pesquisadores da Purdue University e seus colegas de equipe da University of California, Santa Barbara e do Swiss Federal Institute of Technology Lausanne receberam uma bolsa da DARPA para financiar pesquisas que irão melhorar o processo de patching de código em sistemas embarcados vulneráveis.
“Muitos sistemas embarcados, como sistemas de computador executados em caminhões, aviões e dispositivos médicos, executam código antigo para o qual o código-fonte e a cadeia de ferramentas de compilação original não estão disponíveis”, disse Antonio Bianchi , professor assistente de ciência da computação na Purdue University .
“Muitos componentes de software antigos em execução nesses sistemas são conhecidos por conter vulnerabilidades; no entanto, corrigi-los para corrigir essas vulnerabilidades nem sempre é possível ou fácil. ”
Sem o código-fonte, corrigir uma vulnerabilidade exige a edição direta do código binário, disse Bianchi. Além disso, mesmo em um sistema que foi corrigido, não há garantia de que o patch não interferirá na funcionalidade original do dispositivo. Por causa dessas dificuldades, disse ele, o código em execução em sistemas embarcados muitas vezes não é corrigido, mesmo quando é conhecido como vulnerável.
Garantir que o patch não interfira na funcionalidade do dispositivo
A abordagem proposta pela equipe envolve definir e verificar um conjunto de propriedades que um patch deve ter para garantir que não interfira com a funcionalidade original do dispositivo. A pesquisa também visa desenvolver patching de código automático e mínimo para dispositivos que podem ser vulneráveis a ataques cibernéticos.
Minimizar as modificações, disse Bianchi, exigirá recursos mínimos para verificar o código corrigido e evitar que a funcionalidade do dispositivo seja prejudicada. Além disso, eles também desenvolverão novas maneiras de testar o código corrigido, o que não exige sua execução em hardware real.
Fonte: https://www.helpnetsecurity.com/2020/08/26/code-patching-embedded-systems/