Анализ защищенности программно-аппаратного комплекса
Назначение
Будьте уверены в безопасности компонентов и устройств, лежащих в основе новой разработки
Предотвратите возможные сбои в работе ПАК
Защитите интеллектуальную собственность и обезопасьте ваши продукты от пиратства и подделки
Усильте конкурентные преимущества, подняв уровень защищенности разрабатываемых устройств
Возможности
Даем независимую оценку защищенности ПАК
Сопровождаем процесс разработки устройств на всех этапах
Помогаем получить сертификаты для разрабатываемых устройств
Разрабатываем защитные меры и рекомендации для повышения уровня безопасности ПАК
Этапы работы
-
Выбираем подход к проведению исследования для решения ваших задач
-
Собираем данные об исследуемом ПАК
-
Анализируем защищенность комплекса или его компонентов
-
Проверяем возможность эксплуатации выявленных уязвимостей
-
Разрабатываем рекомендации по устранению уязвимостей и повышению уровня защищенности ПАК
Наши проекты
Производители устройств могут зарабатывать на своих продуктах несколькими способами. Один из них — продажа аппаратов с разными характеристиками: дорогие будут мощнее бюджетных. Следующий шаг — выпуск лицензий, определяющих число функций.
Обход механизмов защиты в прошивках позволяет разблокировать даже неоплаченные возможности устройств. Однако это прямое нарушение авторских прав — пиратство, от которого производитель несет убытки.
Отладчик микроконтроллеров J-Link, который компания SEGGER выпускает с 2004 года, сочетает вышеописанные модели монетизации. Как утверждает производитель, устройство стало отраслевым стандартом для разработки под ARM.
Мы проанализировали защищенность отладчика J-Link EDU — младшей модели с урезанным набором лицензий, предназначенной для некоммерческого использования. Ее аппаратная начинка совпадает c J-Link BASE, оснащенной основными функциями, и J-Link PLUS. Отличает их лишь набор лицензий, возможность технической поддержки и стоимость: версия PLUS в 10 раз дороже EDU.
В рамках исследования мы обнаружили две ошибки в прошивке. Первая позволяла обходить систему лицензирования и повышать уровень устройства с EDU до PLUS. Вторая давала злоумышленникам возможность выполнять на нем произвольный код. Мы сообщили SEGGER о недостатках безопасности, и через 2 недели производитель их частично исправил. Частично — потому, что устройства уже находятся на руках у пользователей, а выпуск патча вызовет проблемы с обратной совместимостью.
«Исследователи из лаборатории BI.ZONE продемонстрировали этичность в своей работе и открытость в обсуждении нее с нами. Мы впечатлены тем, что они проделали, а также глубиной их анализа», — отмечают представители SEGGER.
Проверить безопасность информационных систем для обслуживания клиентов сети:
- мобильного приложения на базе Android и iOS (2,7 млн пользователей)
- приложения и ПО для киосков самообслуживания (330 тыс. заказов в сутки)
- Провели анализ защищенности, сымитировав сценарии действий потенциального злоумышленника
- Выявили уязвимости, разработали рекомендации по их устранению и повышению общего уровня защищенности
За месяц помогли сети с миллионами клиентов выявить слабые места в безопасности систем обслуживания, а также повысить уровень их защищенности
«В рамках проекта эксперты BI.ZONE выявили наиболее вероятные направления атак и дали рекомендации по устранению уязвимых мест не только в самой инфраструктуре, но и на уровне бизнес-процессов», — отметил Вольтерс Мальте Херманн Вилли (Malte Wolters), директор по информационным технологиям и цифровым сервисам компании «Ям Ресторантс Раша», управляющей сетью ресторанов KFC в России
Отзывы
Наша команда
Задайте вопрос нашим экспертам
Вам также может подойти
Описание работ
- Выявляем уязвимости и недостатки программно-аппаратного комплекса, его компонентов
- Обнаруживаем архитектурные и логические уязвимости системы, в которой функционирует ПАК
- Определяем возможности получения доступа к конфиденциальным и персональным данным пользователей
- Прогнозируем последствия эксплуатации обнаруженных уязвимостей
- Демонстрируем эксплуатацию наиболее критических уязвимостей
- Разрабатываем рекомендации по устранению выявленных уязвимостей и повышению защищенности комплекса
Предметы исследования
- Банкоматы
- Терминалы самообслуживания
- POS-системы
- Платежные терминалы
- Биометрические системы и речевые технологии
- Технологии для проведения бесконтактных платежей со встроенным NFC-чипом
- VR-/AR-решения
- IoT-устройства
- Системы менеджмента (АСУ ТП, САУ, АСУ РЗА и др.)
- Промышленные межсетевые экраны
- Промышленная робототехника
- Носимая электроника
- Аддитивные технологии
- Биометрические системы и речевые технологии
- Медицинская робототехника
- Эндоскопические устройства
- IoT-решения для диагностики заболеваний
- Устройства для удаленного контроля состояния пациентов
- Речевые технологии
- Носимые устройства (кардиостимуляторы, инсулиновые помпы и др.)
- IoT-решения для грузоперевозок
- Умные замки, фары и др.
- Устройства управления автомобилем
- Биометрические системы и речевые технологии
- VR-/AR-решения
- Мультимедийные системы автомобилей
- Системы безопасности автомобилей
- IoT-решения для улучшения клиентского опыта
- Терминалы самообслуживания
- Платежные терминалы
- Технологии для проведения бесконтактных платежей со встроенным NFC-чипом
- Биометрические системы и речевые технологии
- VR-/AR-решения
Задайте вопрос нашим экспертам
Документы
| Исследование атак на встраиваемые системы | Скачать |