Herzlich Willkommen beim beam-Verlag in Marburg, dem Fachverlag für anspruchsvolle Elektronik-Literatur.


Wir freuen uns, Sie auf unserem ePaper-Kiosk begrüßen zu können.

Aufrufe
vor 1 Jahr

8-2022

  • Text
  • Elektromechanik
  • Antriebe
  • Stromversorgung
  • Hmi
  • Industrielle kommunikation
  • Robotik
  • Qualitaetssicherung
  • Bildverarbeitung
  • Automatisierung
  • Sensorik
  • Messtechnik
  • Bedienen und visualisieren
  • Messen steuern regeln
  • Bauelemente
  • Iot
  • Embedded systeme
  • Sbc boards module
  • Industrie pc
  • Software
  • Sensoren
Fachzeitschrift für Industrielle Automation, Mess-, Steuer- und Regeltechnik

Sicherheit

Sicherheit USB-Hardware-Lösung Eine sichere USB-Hardware-Lösung bietet das Unternehmen DataLocker mit dem Sentry K350, der seit November 2021 erhältlich ist. Die extrem hohen Datenübertragungsraten des Sticks werden durch die USB 3.2 Gen 1 (USB-A) Kompatibilität und die verbaute Speichertechnologie erreicht. Es handelt sich beim Sentry K350 um eine Micro-SSD im USB-Stick Format mit Speicherkapazitäten bis 256 GB. Durch die integrierte PIN-Tastatur, die alphanumerische Passwörter und Sonderzeichen unterstützt, sowie den Akku kann das Passwort auch vorab eingegeben werden. Damit kann der DataLocker Sentry K350 im Prinzip an allen Geräten mit USB-Anschluss genutzt werden, die externe Speichergeräte zulassen. Sentry K350 kann optional mit der zentralen USB-Managementlösung SafeConsole verwaltet werden, um die im Artikel erwähnten, erweiterten Leistungsmerkmale (Dateitypbeschränkung, Datenbereinigung, Anti-Malware-Scanner, sowie die zentrale USB-Port- Kontrolle für Windows- und Mac-Clients, u. v. m.) zu ermöglichen White Station soll so konzipiert sein, dass sie der Wächter und das einzige Gerät ist, welches den Bedrohungen von außen begegnet. Es gibt eine Vielzahl von Möglichkeiten, einen Desktop-Computer als White Station einzurichten. Im Allgemeinen sollte das Gerät über eine aktuelle Anti-Malware-Engine und einen regelmäßigen Wartungsplan für Betriebssystem-Updates verfügen. Die Standardhardware kann beispielsweise auch durch einen ESD (Electrostatic Discharge) geschützten USB-Hub ergänzt werden, der eine Überspannung ausschließt. Es wird außerdem empfohlen, nur eine HID-Tastatur zuzulassen, um die meisten BadUSB- Gefahren umgehend zu eliminieren. Optionale Dateitypbeschränkungsrichtlinien Durch die Kombination unterschiedlicher Technologien ist es je nach Richtlinie möglich, eine oder mehrere White Stations einzurichten. Der USB-Stick kann so konfiguriert werden, dass ein integrierter Malware-Schutz sicherstellt, dass über USB eingebrachte Malware sofort gestoppt wird. Bei der Verwaltung des Sticks ist es auch möglich, mithilfe einer Dateibeschränkungsrichtlinie vorzugeben, welche Dateitypen für das OT-Netzwerk zugelassen werden. Kombiniert man das Gerät bei der Installation mit einer USB-Port-Kontrollsoftware auf einem Desktop, kann ein weiterer Schutz erreicht werden. Die Software kann dann so konfiguriert werden, dass ausschließlich Lesevorgänge von Geräten an der White Station zugelassen werden. Kontrolle der USB-Ports zu jeder Zeit Quellenangaben: Nach Möglichkeit sollte zudem der Zugang zu USB-Anschlüssen an SPS- und Computergeräten durch abschließbare Schränke oder physische USB-Schlösser, wenn diese nicht mit einer USB-Port-Kontrollsoftware ausgestattet werden können, beschränkt werden. Für jedes Standardbetriebssystem sollte eine Port-Kontrollsoftware installiert werden. Die Logik hinter diesem Schutz vor Bedrohungen ist ganz einfach: Durch die Beschränkung des Zugangs zum USB-Port wird die Bedrohung durch nicht zugelassene USB-Geräte ausgeschlossen. Die USB-Port-Kontrollsoftware sollte auf allen kompatiblen Computern im OT- und IT-Netzwerk installiert werden, um sicherzustellen, dass nur die autorisierten Geräte als USB-Massenspeicher verwendet werden können. Datenbereinigung von Speichergeräten Eine weitere sinnvolle Maßnahme um die Verbreitung von Schadsoftware zu verhindern, besteht darin, die verwendeten Speichermedien regelmäßig zu bereinigen. Dies gewährleistet saubere Kontrollpunkte im Betrieb und kann auch Teil der Einhaltung von Vorschriften sein, um nachzuweisen, dass sensible Daten niemals unbegrenzt auf Wechselmedien gespeichert werden können. Normale USB-Laufwerke können auch als Datenhortungsgeräte bezeichnet werden, da sie so konstruiert sind, dass sie eine maximale Lebensdauer des Geräts gewährleisten. Das bedeutet, dass die Datensektoren nur dann überschrieben werden, wenn es absolut notwendig ist und unabhängig davon, ob die Dateizuordnungstabelle (FAT) ein „sauberes“ Gerät anzeigt. Bei einem regulären USB- Laufwerk wiegt sich der Anwender in Sicherheit, doch die Daten können von jedermann einfach wiederhergestellt werden. Hardwareverschlüsselte Laufwerke lösen das komplizierte Bereinigungsproblem, indem sie eine Methode namens ‚Kryptografische Löschung‘ verwenden. Kurz gesagt handelt es sich dabei um die Zerstörung des bisherigen sowie die Generierung eines neuen AES- Schlüssels. Dieser Prozess stellt sicher, dass die Medien sauber sind und den NIST 800-88-Richtlinien für die Medienbereinigung (Media Sanitization) entsprechen. [16] Die meisten Länder haben ähnliche Standards wie das NIST, da eine vollständige kryptografische Löschung die schnellste und effektivste Löschung darstellt. Anti-Malware und Datenauthentizität Die White Stations und alle kompatiblen Endpunkte im OT-Netz sollten mit mindestens einer Malware-Schutzschicht ausgestattet sein, um insbesondere die Malware zu bekämpfen, die sich über USB ausbreitet. Darüber hinaus sollten alle Daten, die für PLCs oder Maschinen bestimmt sind und die selbst nicht in der Lage sind, die Daten zu validieren, auf den White Stations vorverifiziert werden. Diese Vorverifizierung kann durch die Überprüfung der kryptografischen Signaturen oder der Hashwerte erfolgen, welche vom Softwarehersteller bereitgestellt werden. Dieser Schritt stellt sicher, dass die übertragenen Daten die exakte Kopie derjenigen Daten sind, die der Softwareentwickler ursprünglich angeliefert hatte. Empfohlen wird daher ein USB-Stick mit sowohl integriertem Malware-Schutz als auch Dateitypbeschränkungen. So ist es einem Administrator möglich, den MD5-Hashwert aller auf dem Gerät gespeicherten Daten zu überprüfen, um sicherzustellen, dass nur die korrekten Daten auf die SPS übertragen werden. ◄ 1 https://ifr.org/downloads/press2018/Executive%20Summary%20WR%202019%20Industrial%20Robots.pdf 2 https://robosec.org/downloads/paper-robosec-sp-2017.pdf 3 https://www.wired.com/2017/05/watch-hackers-sabotage-factory-robot-arm-afar/ 4 https://www.usb.org/defined-class-codes 5 https://shop.hak5.org/products/usb-rubber-ducky-deluxe 6 https://www.blackhillsinfosec.com/how-to-weaponize-the-yubikey/ 7 https://maltronics.com/collections/malduinos 8 https://hackaday.io/project/17598-diy-usb-rubber-ducky 9 https://usbkill.com/ 10 https://www.cyberscoop.com/stuxnet-type-attack-airbus-cybersecurity/ 11 https://www.msp360.com/resources/blog/triton-malware/ 12 https://dragos.com/wp-content/uploads/Past-and-Future-of-Integrity-Based-ICS-Attacks.pdf 13 https://www.cyberscoop.com/trisis-ics-malware-saudi-arabia/ 14 https://blog.knowbe4.com/alert-usb-sticks-could-infect-your-network-with-new-spora-ransomware-worm 15 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf 16 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf 38 PC & Industrie 8/2022

Software/Tools/Kits C++-Support für harte Echtzeitanforderungen mit dem neuen Embedded Studio für RISC-V mit der der zusätzliche Overhead im Zusammenhang mit Exception Handling vermieden wird. Selbstverständlich enthält Embedded Studio auch den Segger Linker. Dieser wurde durch die Entfernung von Dopplungen im Code auf eine geringe Codegröße bei C++- Anwendungen optimiert. Gerade der Einsatz von Templates erzeugt häufig einen hohen Anteil von Code- Dopplungen, die mit dem neuen Linker vermieden werden. SEGGER Microcontroller GmbH www.segger.com Seggers Embedded Studio für RISC-V bietet ab Version 6 Echtzeit- Speichermanagement für reduzierte Antwortzeiten beim Belegen und Freigeben von Speicher. Mit dem Echtzeit-Speichermanagement werden erstmals auch bei der Entwicklung in C++ harte Echtzeitanforderungen erfüllt. Die neue Version unterstützt alle gängigen RISC-V 32-Bit- und 64-Bit Cores, unter anderem RV64I, RV64E, RV64GC, RV32I, RV32IMA, RV32IMAC, RV32IMAF, RV32I- MAFC, RV32G, RV32GC, RV32E, RV32EMA, RV32EMAC. „C++-Anwendungen benötigen im Hintergrund viele Speicheroperationen, ohne dass dies dem Programmierer bewusst ist“, sagt Rolf Segger, Gründer von Segger. „C++ Anwendungen können zudem enorm von unserem neuen Echtzeit-Heapmanager profitieren. Embedded Studio ist nach meinem Kenntnisstand die erste Toolchain, die schnelle, deterministische Heap-Operationen garantiert. Die Antwortzeiten sind extrem schnell und ermöglichen damit die Programmierung von Embedded-Systemen in C++, auch wenn härteste Anforderungen an das Echtzeitverhalten gefordert sind.“ C++17 Compiler und C++17 Standard-Bibliothek, Embedded Studio beinhaltet nun außerdem einen C++17 Compiler und eine C++17 Standard-Bibliothek, was nun die Effizienz und Kompaktheit von Seggers emRun Laufzeit- und emFloat Gleitkommabibliotheken in sich vereint. Die Bibliotheken enthalten generische Container Templates (Sets, Vectors, Lists, Queues, Stacks und Maps), Standard-Algorithmen (Sort, Search, Transformations), Funktionsobjekte, Funktionen für Iteration, Lokalisierung, Strings und Streams, sowie weitere Utility-Funktionen für alltägliche Anwendungsfälle. Zur Unterstützung von Embedded-Systemen mit limitierter Speicherausstattung und -bandbreite ist die C++-Bibliothek auch in einer „No-Throw“-Konfiguration verfügbar, Über Embedded Studio Embedded Studio ist eine Multiplattform-IDE (Integrierte Entwicklungsumgebung) von Segger Microcontroller. Sie zeichnet sich durch ihre Flexibilität in der Anwendung aus und enthält alle Werkzeuge und Funktionen, die ein Entwickler für die professionelle Embedded- C- und -C++ Programmierung und Entwicklung benötigt. Sie wird mit einem leistungsstarken Projektmanager und einem Quellcode-Editor geliefert. Der Editor lässt sich schnell starten und der Build-Prozess ist rasend schnell, was wertvolle Arbeitszeit spart. Sie enthält weiterhin Seggers hochoptimierte emRun Laufzeit- und emFloat Gleitkommabibliotheken sowie SEGGERs intelligenten Linker, die alle von Grund auf speziell für ressourcenbeschränkte Embedded-Systeme entwickelt wurden. In Kombination mit dem Clangbasierten, hoch optimierenden C/C++ Segger Compiler können extrem kleine und dennoch effiziente Programme generiert werden, die jedes Byte Speicher ausnutzen. Der eingebaute Debugger lässt keine Wünsche offen. Er ist vollständig in J-Link integriert und zeichnet sich durch hohe Performance und Stabilität aus. Embedded Studio steht für unbegrenzte Evaluierung und für pädagogische und nicht-kommerzielle Zwecke kostenlos zur Verfügung, ohne Einschränkungen in Bezug auf Codegröße, Funktionen oder Dauer der Nutzung. Embedded Studio wird bei Segger intern ausgiebig genutzt und wird ständig aktualisiert und erweitert. ◄ PC & Industrie 8/2022 39

hf-praxis

PC & Industrie

© beam-Verlag Dipl.-Ing. Reinhard Birchel