Hardenite פיתחה פתרון לבדיקת הבטיחות של מודולי לינוקס במערכות משובצות

בתמונה למעלה: המנכ"ל יעקב וינד (מימין), והטכנולוג הראשי אלכס לוריא

חברת Hardenite מהרצליה החלה לספק ללקוחות ביטא מתעשיית הטלקום בישראל את הפתרון החדש שהיא פיתחה, אשר בודק את רמת הבטיחות והאבטחה של תשתית הלינוקס המצויה במערכות משובצות. המוצר Hardenite Audit (שם זמני) מספק מענה לבעיה שחומרתה גוברת מיום ליום: מערכות משובצות כמו אבזרי תקשורת וציוד תקשורת, מוצרי IoT, מודולי SCADA ומערכות תעשייתיות, מתבססות על מערכת ההפעלה לינוקס שעליה יושבת האפליקציה של המוצר.

מערכת ההפעלה לינוקס מכילה חולשות ויוצרת אתגרי בטיחות חדשים, כמעט בכל מוצר. אלא שבעוד שהמפתחים מתמקדים בפיתוח האפליקציה והתיפקוד הכללי של המוצר, בדרך כלל הם סומכים על חוסנה של מערכת ההפעלה לינוקס ועל התוספים שלה. למעשה, לא מייחסים חשיבות לנושא האבטחה או שבמקרים רבים אחרים כלל לא מכירים את הנושא. התוצאה: המוצרים החדשים מתקשים לעמוד בתקני הבטיחות והאבטחה המחמירים, אשר נדרשים על-ידי חברות טלקום והרגולטור. בתעשיות מסויימות, כמו מיכשור רפואי למשל, הדבר יכול לסכן חיים ולמנוע את כניסת המוצר לשוק.

מה זה "לינוקס מבולבל"?

חברת Hardenite הוקמה לפני כשנה על-ידי הטכנולוג הראשי אלכס לוריא וסגן נשיא למו"פ אלכסיי דייצ'קוב, על בסיס ידע שניצבר בחברת Trivium שאותה הם מנהלים, המספקת שירותי פיתוח תוכנה למערכות משובצות, עם התמחות בלינוקס ובפרצות אבטחה בלינוקס. לדברי לוריא, "המפתחים מתייחסים אל תשתית הלינוקס כאל דבר מובן מאליו, אבל אנחנו קוראים למצב הזה 'לינוקס מבולבל', מכיוון שהם משתמשים בהפצות שונות ברמות בטיחות שונות ובמודולים מקהילת הקוד הפתוח שלא תמיד נבדקו היטב".

מערכת Hardenite Audit משתלבת ככלי נוסף במערך הבדיקות האוטומטיות שהלקוחות מבצעים למוצרים בפיתוח. המוצר מבוסס על בסיס נתונים מתעדכן המצוי בחברת הרדנייט, אשר אוסף באופן רציף את כל הדיווחים ממקורות שונים על חולשות בעולם הלינוקס, ועל ערכת בדיקות שפותחו בטריוויום לאורך השנים. המערכת מתחברת ישירות אל המכשיר הנבדק, ומזהה בכל מודולי הלינוקס המצויים בו את את המרכיבים הבעייתיים – ומספקת המלצות כיצד לפתור את הבעיות שהתגלו.

דו"ח טיפוסי של Hardenite Audit
דו"ח טיפוסי של Hardenite Audit

כיום החברה נמצאת בשלבים הראשונים של גיוס הון. היא מעסיקה חמישה עובדים ונערכת לקראת כניסה אל שווקים נוספים מחוץ לעולם הטלקום, שאליו היא נכנסה בזכות קשרים של טריוויום ועקב הצורך של חברות טלקום לעמוד בדרישות אבטחה רגולטוריות. מנכ"ל החברה, יעקב וינד, הגיע אליה לאחר שנים רבות בתעשיית הייטק. בחמש השנים האחרונות הוא מנהל חברת ייעוץ ולפני-כן שימש כראש תחום שיתופי פעולה אסטרטגיים בחברת קומברס.

לדבריו, המערכת של החברה מהווה מרכיב נוסף בתפישת DevSecOps, שבמסגרתה ההתמודדות עם בעיות אבטחה ובטיחות נעשית כבר בשלבי הפיתוח הראשוניים של המוצר ולאורך כל תהליך הפיתוח. "המערכת מזהה איזה רכיבי לינוקס יש באבזר הנבדק. לאחר הזיהוי, אנחנו בודקים את מעמדם בבסיס הנתונים שלנו,  ומבצעים בדיקות אבטחה כמו בדיקת פורטים פתוחים, אופן שמירת ססמאות וכדומה".

אמריקה תחילה

"המוצר נותן דיווח על בעיה שהתגלתה, מיקומה, רמת החומרה שלה, וגם המלצות ראשוניות מה צריך לעשות. בחלק מהמקרים אנחנו נותנים ממש פאצ'ים או דוגמאות של טמפלטים של הפתרון שיתקן את הבעיה. היעד שלנו הוא להגיע למעמד שבו התווית  Certified by Hardenite ייחשב לגושפנקא תעשייתית".

החברה הטמיעה במערכת מנוע לימוד מכונה, ולכן בכל בדיקה אצל הלקוח המערכת לומדת ומשתפרת. לדבריו, לאחר סיום בדיקות הביטא אצל הלקוחות בישראל, החברה תתחיל את השיווק הגלובלי שלה בארצות הברית, מכיוון ששם יש את הרגולציה המחמירה ביותר והשוק בשל לביצוע בדיקות בטיחות ואבטחה מקיפות". לאחר מכן היא תתחיל לפעול גם באסיה ובאירופה.

טקס ההתבגרות של מעבד הקוד הפתוח RISC-V

השבוע מתקיים ארוע יוצא דופן בשוק השבבים: שלשום נפתחה בסנטה קלרה, קליפורניה, הוועידה השנתית הראשונה של ארגון RISC-V, אשר מקדם את המעבד החופשי שופתח באוניברסיטת ברקלי. רשימת החברות המשתתפות בכנס מגלה שמדובר כבר במהלך תעשייתי רחב היקף, ולא ביוזמה אקדמית משותפת: ווסטרן דיג'יטל, מיקרוסמי (הנמצאת בבעלות Microchip), קואלקום, NXP, לאטיס, RAMBUS, קוויק-לוג'יק, Andes הסינית ואפילו איגוד Linux Foundation.

האחרון הוא גוף חשוב מאוד אשר מייצג את המגמה: שבוע לפני הכנס דיווח איגוד הלינוקס על הסכם לשיתוף פעולה בין שני הארגונים, שמטרתו להעמיד לרשות משתמשי RISC-V את כל המשאבים של לינוקס ושל קהילת הקוד הפתוח שהיא מנהלת. בהתחשב בדמיון הרב בין תפישות העולם של שני הארגונים, ובדרך שבה הפכה לינוקס לתפועה מרכזית בתעשייה – שיתוף הפעולה מרמז על כניסה רחבת היקף של המעבד החופשי אל תעשיית השבבים.

קואליציית שבבי הקוד הפתוח

ארכיטקטורת RISC-V פותחה לפני כשמונה שנים באוניברסיטת ברקלי במתכונת של ממשק ISA שיכול להריץ מחשבים חזקים מאוד בביל אורך מילה של עד 128 סיביות. בשנת 2016 התעשייה החלה לאמץ את הרעיון והוקם ארגון התמיכה התעשייתי RISC-V Foundation, שנועד לקדם את השימוש בארכיטקטורת המחשוב החופשית.

כיום הארגון נתמך על-ידי כמה מהחברות החזקות בתעשייה, בהן: גוגל, HP, יבמ, אורקל, מיקרוסמי, לאטיס, אנבידיה, קואלקום, ווסטרן דיג'יטל, מארוול, מיקרון, NXP, סמסונג, וואווי, TSMC ועוד. גם התעשייה הישראלית מקדמת את מעבדי הקוד הפתוח. חברת מלאנוקס חברה בארגון במעמד של מייסד (founder), וחברת סיוה מהרצליה, שבעבר נכשלה ברכישת ארכיטקטורת MIPS, הצטרפה אליו במעמד של שותפה בכירה.

חברת מיקרוסמי חשפה בוועידה את ארכיטקטורת ה-SoC החדשה PolarFire, המיועדת לאשכולות מעבדים המנוהלים באמצעות לינוקס. הארכיטקטורה פותחה בשיתוף פעולה עם חברת SiFive, הנחשבת לחברה המובילה בפיתוח מסחרי של מעבדים מבוססי RISC-V, אשר הטמיעה בה את מעבד U54-MC מרובה הליבות שלה. היא כוללת מערך FPGA משובץ, זיכרון איתחול 128Kb flash ומערך איתחול מאובטח העומד בתקן צבאי. "זוהי פלטפורמה מיתכנתת שניתן להתאים אותה לכל צורך, היא מבוססת לינוקס ומיועדת למשימות זמן אמת", אמר מנכ"ל SiFive , נאביד שארוואמי.

השילוב של מערך FPGA משתלב במהלך תעשייתי נוסף: בחודש אוקטובר השנה הודיע ארגון RISC-V שהוא יפתח יישום חופשי לשימוש בכמעבד משובץ בתוך רכיבי FPGA. הדבר מאיים ישירות על חברת ARM אשר מוכרת תכנוני מעבדים (IP) שרבים מהם משובצים ברכיבי FPGA, ובתגובה היא הכריזה על שיתוף פעולה עם חברת Xilinx, שבמסגרתו היא תספק בחינם גרסאות מותאמות ל-FPGA של מעבדי Cortex-M, ללקוחות אשר ישבצו אותם בתוך הרכיבים של Xilinx.

היעד של ווסטרן דיג'יטל: מיליארד מעבדי RISC-V בשנה

הרעיון מתחיל להיכנס לשוק. חברת אנבידיה כבר התחילה להשתמש במעבדי RISC-V במספר מיקרו-בקרים, וחברת ווסטרן דיג'יטל (WD) הודיעה בתחילת השנה שבשנת 2019 או 2020 היא תוציא לשוק פתרונות איחסון המנוהלים באמצעות מעבדי RISC-V. אחת מהרצאות הפתיחה בפתיחת הפסגה שלשום היתה של הטכנולוג הראשי של WD, מרטין פינק, אשר דיווח על שלושה חידושי קוד פתוח של החברה, אשר נועדו לתמוך בצוות הפיתוח שלה של מעבדי RISC-V ואשר יועמדו גם לרשות קהילת הקוד הפתוח: החברה מתכננת להוציא לשוק קוד פתוח של מעבד RISC-V חדש, תקן OmniXtend לזיכרונות מטמון ברשתות איתרנט וערכת הפקודות הפתוחה SweRV Instruction Set Simulator, אשר יכולה לבצע סימולציות של RISC-V בתנאים שונים.

המאמצים האלה נעשים במסגרת יוזמה רחבה נועדה לשלב את המעבדים החדשים בתוך בקרי דיסקים. להערכת WD, היא תמכור דיסקים הכוללים מיליארדי מעבדי RISC-V בשנה. במסגרת זאת היא חשפה את מעבד RISC-V SweRV Core, הפועל באורך מילה של 32 סיביות ומאפשר ביצוע של מספר פקודות במקביל: הן נטענות ביחד למעבד ומובצעות מיידית. החברה דיווחה שהוא מגיע למהירות עבודה של 1.8Ghz כאשר הוא מיושם בטכנולוגיית CMOS בגיאומטריה של 28 ננומטר. ווסטרן דיג'יטל מתכננת להשתמש במעבדי SweRV במגוון תכנונים משובצים, בהם בקרי זכרונות פלאש ובקרים לכונני SSD. כל השפע הזה לא יישאר בידיה, ולדברי פינק, ווסטרן דיג'טל תעמיד אותו לרשותה של קהילת הקוד הפתוח.