Segurança de software e hardware em metrologia legal

metrologia legal

Nos dias 28 à 30 de Abril foi realizado no Inmetro o primeiro Workshop Interamericano de Segurança de Software e Hardware em Metrologia Legal. Com o avanço da eletrônica embarcada e, principalmente, o avanço nos ataques a estes tipos de sistemas, o Inmetro começou uma conversa com toda a comunidade civil, universidades, empresas e órgãos governamentais sobre a prática de segurança nestes sistemas. Neste artigo vou fazer um breve resumo das palestras e dos conceitos apresentados, nos próximos artigos vou abordar em detalhes algumas alternativas e soluções apresentadas para estes sistemas.

 

Antes de mais nada quero adiantar que o Inmetro realmente está realizando um ótimo trabalho, com uma equipe extremamente competente e em diversas áreas: de desenvolvimento de placas eletrônica à criptografia de dados em tempo real. Eles também contam com um programa de pós graduação com foco em metrologia e qualidade, sendo que várias das sub-áreas trabalham com questões críticas, tanto para o desenvolvimento quanto para a garantia de qualidade de sistemas embarcados.

 

Um conceito importante de ser citado, antes de comentar as palestras em maiores detalhes, é o termo "metrologia legal". A metrologia legal é responsável por realizar medições, e assegurar sua confiabilidade, de medidas e grandezas que fazem parte de sistemas regulados, sejam por questões legais, sejam por questões financeiras. Exemplos de instrumentos que fazem parte deste conjunto podemos citar medidores de energia elétrica (para fins de tarifação ou simplesmente para tomada de decisão das distribuidoras), taxímetros, balanças de pesagem rodoviária entre outros. Estes instrumentos são passiveis de regulamentação governamental, que no caso do Brasil é de responsabilidade do Inmetro.

 

Com o barateamento da eletrônica é natural que cada vez mais estes equipamentos sejam construídos com microcontroladores e firmwares. Além da redução do custo, diversas outras facilidades podem ser implementadas: medições remotas, atualização de firmware, automação das medidas. No entanto, isto traz aos sistemas que exigem medições legais os mesmos problemas que há anos temos em desktops: invasões, adulterações no firmware, bugs, entre outros. A grande questão do evento foi exatamente essa: como garantir a segurança e a confiabilidade destes sistemas.

 

O primeiro dia foi aberto pelo Marcos Trevisan do Inmetro comentando sobre o atual processo de Regulamentação de Modelos Técnicos (RTM) e a Apreciação Técnica de Modelos (ATM). O primeiro documento visa regulamentar um setor ou um tipo de medidor, como por exemplo o RTM 392/2012 (pdf), que regulamenta as questões relativas aos mototaxímetros. É praticamente um documento de requisitos de hardware e software para as empresas que queiram fabricar este tipo de instrumento. Após a regulamentação, a empresa desenvolve seu produto baseado no RTM e entrega seu produto para avaliação (ATM). Após a aprovação o produto pode ser comercializado.

 

A segunda palestra foi sobre Segurança em Sistemas Embarcados (slideshare) do Gustavo Escudero e Alejandr Bertelo do INTI, órgão equivalente ao Inmetro na Argentina. Foi comentado sobre algumas técnicas utilizadas nas balanças eletrônicas para garantir que (1) as balanças não sejam adulteradas ou (2) que se forem adulteradas deixem rastro que permitam o INTI verificar a existência desta adulteração. Entre os mecanismos físicos indicados pelo INTI aos fabricantes foram citados:

  1. Cobertura das placas eletrônicas com resina epóxi. É possível identificar quando a eletrônica sofreu tentativa de adulteração;
  2. Travas mecânicas que se danificam se alguem tentar remover as placas do equipamento;
  3. Selos, travas e lacres, com corpo numerado e logotipo do fabricante;
  4. Barreiras de proteção para evitar que alguém acesse a eletrônica, sem precisar abrir o equipamento.

 

Entre os mecanismos para a segurança de software apresentados foram elencados:

  1. Utilização de memorias criptografadas.
  2. Firmware com mecanismos de autenticação
  3. Todas as informações apresentam um campo verificador com uma assinatura digital.
  4. Autodiagnóstico: verificação da integridade dos parâmetros críticos, em caso de erro indicar ao usuário e não continuar o processo de boot.
  5. Autenticação: evitar acesso não autorizado a informação armazenada, parâmetros de calibração, configuração do dispositivo e atualização do firmware.

 

A terceira palestra do dia foi apresentada por Antônio Lacerda (slideshare), do Inmetro, sobre criptologia em sistemas de metrologia legal. Ele apresentou os conceitos básicos de criptologia, as diferenças sobre chaves simétricas e assimétricas e a utilização de algoritmos de hash para geração de assinaturas digitais em sistemas microcontrolados.

 

A última palestra do dia, proferida por Angel Vicente Nuñez (slideshare), focou-se na questão de como avaliar um sistema embarcado, tanto software quanto o hardware para garantir que ele atenda os níveis mínimos de qualidade. Esta palestra foi apresentada por Ángel Nuñez do INTI. Ele descreveu rapidamente o processo de aprovação a quais são submetidas as balanças de pesagem não automáticas. 

 

Existem quatro requisitos importantes:

  • Todas as funções devem estar claramente descritas, tanto as disponíveis para o usuário quanto as disponíveis para o técnico; 
  • Todos os parâmetros ajustáveis devem estar explicados claramente, tanto como configurá-los quanto para que servem; 
  • O funcionamento deve atender todos os requisitos do regulamento próprio para balanças;
  • As atualizações do firmware não podem ser executadas sem deixar evidências de sua execução.

 

A avaliação do software é feita de posse do código fonte original e comentado, que o fabricante deve deixar uma cópia no INTI (um processo similar é exigido pelo Inmetro). Isto visa permitir ao INTI procurar por funcionalidades ocultas, principalmente em dois pontos: os canais de comunicação e o processo de cálculo da grandeza medida.

 

 

Licença Creative Commons Esta obra está licenciada com uma Licença Creative Commons Atribuição-CompartilhaIgual 4.0 Internacional.

Receba os melhores conteúdos sobre sistemas eletrônicos embarcados, dicas, tutoriais e promoções.

Eventos » Segurança de software e hardware em metrologia legal
Talvez você goste:
Comentários:

Deixe um comentário

avatar
 
  Notificações  
Notificar

Séries

Menu

WEBINAR
 
Linux Embarcado: Desvendando o Pin Control Subsystem - Kernel Linux

Data: 26/02 às 19:30 h | Apoio: Mouser Electronics
 
INSCREVA-SE AGORA »



 
close-link