Hardenite פיתחה פתרון לבדיקת הבטיחות של מודולי לינוקס במערכות משובצות
5 יוני, 2019
החברה הוקמה לפני כשנה על בסיס ידע שניצבר בחברת טריוויום. המוצר נמצא אצל לקוחות ביטא בישראל. הוא מתחבר ישירות אל אבזרים משובצים, ומאתר פרצות בטיחות ואבטחה במודולי הלינוקס שעליהם פועלת האפליקציה
בתמונה למעלה: המנכ"ל יעקב וינד (מימין), והטכנולוג הראשי אלכס לוריא
חברת Hardenite מהרצליה החלה לספק ללקוחות ביטא מתעשיית הטלקום בישראל את הפתרון החדש שהיא פיתחה, אשר בודק את רמת הבטיחות והאבטחה של תשתית הלינוקס המצויה במערכות משובצות. המוצר Hardenite Audit (שם זמני) מספק מענה לבעיה שחומרתה גוברת מיום ליום: מערכות משובצות כמו אבזרי תקשורת וציוד תקשורת, מוצרי IoT, מודולי SCADA ומערכות תעשייתיות, מתבססות על מערכת ההפעלה לינוקס שעליה יושבת האפליקציה של המוצר.
מערכת ההפעלה לינוקס מכילה חולשות ויוצרת אתגרי בטיחות חדשים, כמעט בכל מוצר. אלא שבעוד שהמפתחים מתמקדים בפיתוח האפליקציה והתיפקוד הכללי של המוצר, בדרך כלל הם סומכים על חוסנה של מערכת ההפעלה לינוקס ועל התוספים שלה. למעשה, לא מייחסים חשיבות לנושא האבטחה או שבמקרים רבים אחרים כלל לא מכירים את הנושא. התוצאה: המוצרים החדשים מתקשים לעמוד בתקני הבטיחות והאבטחה המחמירים, אשר נדרשים על-ידי חברות טלקום והרגולטור. בתעשיות מסויימות, כמו מיכשור רפואי למשל, הדבר יכול לסכן חיים ולמנוע את כניסת המוצר לשוק.
מה זה "לינוקס מבולבל"?
חברת Hardenite הוקמה לפני כשנה על-ידי הטכנולוג הראשי אלכס לוריא וסגן נשיא למו"פ אלכסיי דייצ'קוב, על בסיס ידע שניצבר בחברת Trivium שאותה הם מנהלים, המספקת שירותי פיתוח תוכנה למערכות משובצות, עם התמחות בלינוקס ובפרצות אבטחה בלינוקס. לדברי לוריא, "המפתחים מתייחסים אל תשתית הלינוקס כאל דבר מובן מאליו, אבל אנחנו קוראים למצב הזה 'לינוקס מבולבל', מכיוון שהם משתמשים בהפצות שונות ברמות בטיחות שונות ובמודולים מקהילת הקוד הפתוח שלא תמיד נבדקו היטב".
מערכת Hardenite Audit משתלבת ככלי נוסף במערך הבדיקות האוטומטיות שהלקוחות מבצעים למוצרים בפיתוח. המוצר מבוסס על בסיס נתונים מתעדכן המצוי בחברת הרדנייט, אשר אוסף באופן רציף את כל הדיווחים ממקורות שונים על חולשות בעולם הלינוקס, ועל ערכת בדיקות שפותחו בטריוויום לאורך השנים. המערכת מתחברת ישירות אל המכשיר הנבדק, ומזהה בכל מודולי הלינוקס המצויים בו את את המרכיבים הבעייתיים – ומספקת המלצות כיצד לפתור את הבעיות שהתגלו.
כיום החברה נמצאת בשלבים הראשונים של גיוס הון. היא מעסיקה חמישה עובדים ונערכת לקראת כניסה אל שווקים נוספים מחוץ לעולם הטלקום, שאליו היא נכנסה בזכות קשרים של טריוויום ועקב הצורך של חברות טלקום לעמוד בדרישות אבטחה רגולטוריות. מנכ"ל החברה, יעקב וינד, הגיע אליה לאחר שנים רבות בתעשיית הייטק. בחמש השנים האחרונות הוא מנהל חברת ייעוץ ולפני-כן שימש כראש תחום שיתופי פעולה אסטרטגיים בחברת קומברס.
לדבריו, המערכת של החברה מהווה מרכיב נוסף בתפישת DevSecOps, שבמסגרתה ההתמודדות עם בעיות אבטחה ובטיחות נעשית כבר בשלבי הפיתוח הראשוניים של המוצר ולאורך כל תהליך הפיתוח. "המערכת מזהה איזה רכיבי לינוקס יש באבזר הנבדק. לאחר הזיהוי, אנחנו בודקים את מעמדם בבסיס הנתונים שלנו, ומבצעים בדיקות אבטחה כמו בדיקת פורטים פתוחים, אופן שמירת ססמאות וכדומה".
אמריקה תחילה
"המוצר נותן דיווח על בעיה שהתגלתה, מיקומה, רמת החומרה שלה, וגם המלצות ראשוניות מה צריך לעשות. בחלק מהמקרים אנחנו נותנים ממש פאצ'ים או דוגמאות של טמפלטים של הפתרון שיתקן את הבעיה. היעד שלנו הוא להגיע למעמד שבו התווית Certified by Hardenite ייחשב לגושפנקא תעשייתית".
החברה הטמיעה במערכת מנוע לימוד מכונה, ולכן בכל בדיקה אצל הלקוח המערכת לומדת ומשתפרת. לדבריו, לאחר סיום בדיקות הביטא אצל הלקוחות בישראל, החברה תתחיל את השיווק הגלובלי שלה בארצות הברית, מכיוון ששם יש את הרגולציה המחמירה ביותר והשוק בשל לביצוע בדיקות בטיחות ואבטחה מקיפות". לאחר מכן היא תתחיל לפעול גם באסיה ובאירופה.
פורסם בקטגוריות: אבטחה , אבטחת סייבר , חדשות , תוכנה ותכנון אלקטרוני
פורסם בתגיות: לינוקס , מערכות משובצות
כתבות נוספות העשויות לעניין אותך
