building trustworthy systems on sel4
play

Building Trustworthy Systems on seL4 Ihor Kuz seL4 - PowerPoint PPT Presentation

Oct 19, 2023 •474 likes •747 views

Building Trustworthy Systems on seL4 Ihor Kuz seL4 Summit: 25 September 2019 www.data61.csiro.au Overview What is a Trustworthy System? What does

  1. Building ¡Trustworthy ¡Systems ¡on ¡ seL4 ¡ Ihor ¡Kuz ¡ seL4 ¡Summit: ¡25 ¡September ¡2019 ¡ www.data61.csiro.au ¡

  2. Overview ¡ • What ¡is ¡a ¡Trustworthy ¡System? ¡ • What ¡does ¡seL4 ¡provide? ¡ - seL4 ¡kernel ¡ - Other ¡seL4 ¡plaEorm ¡tools ¡ • How ¡to ¡build ¡a ¡Trustworthy ¡System ¡ - Steps ¡to ¡trustworthiness ¡ • Example ¡ 2 ¡ ¡| ¡ Building ¡Trustworthy ¡Systems ¡on ¡seL4 ¡| ¡Ihor ¡Kuz ¡

  3. What ¡is ¡a ¡Trustworthy ¡System? ¡ A ¡system ¡where ¡the ¡the ¡Trusted ¡CompuNng ¡Base ¡is ¡ ¡ worthy ¡of ¡the ¡trust ¡put ¡into ¡it ¡ • Trusted ¡CompuNng ¡Base ¡(TCB) ¡ - Parts ¡of ¡system ¡that ¡ must ¡be ¡trusted ¡ to ¡maintain ¡ safety ¡and ¡security ¡proper2es ¡ - If ¡ TCB ¡fails ¡ then ¡safety ¡and ¡security ¡of ¡the ¡ system ¡can ¡be ¡compromised ¡ - Consists ¡of ¡ trusted ¡(cri+cal) ¡components ¡ • Trustworthiness ¡= ¡Confidence ¡that ¡components: ¡ - Do ¡what ¡they ¡are ¡supposed ¡to ¡do ¡ - Cannot ¡be ¡compromised ¡or ¡subverted ¡ - Will ¡not ¡fail ¡ • Assurance ¡ - What ¡assurance ¡do ¡you ¡have ¡that ¡system ¡is ¡trustworthy? ¡ - Ideal: ¡have ¡high-­‑assurance ¡that ¡all ¡trusted ¡components ¡are ¡trustworthy ¡ 3 ¡ ¡| ¡ Building ¡Trustworthy ¡Systems ¡on ¡seL4 ¡| ¡Ihor ¡Kuz ¡

  4. What ¡Does ¡seL4 ¡ Provide? ¡ 4 ¡ ¡| ¡ Building ¡Trustworthy ¡Systems ¡on ¡seL4 ¡| ¡Ihor ¡Kuz ¡

  5. 5 ¡ ¡| ¡ Building ¡Trustworthy ¡Systems ¡on ¡seL4 ¡| ¡Ihor ¡Kuz ¡

  6. seL4 ¡Kernel ¡ • FuncNonal ¡correctness ¡ - The ¡implementaNon ¡does ¡exactly ¡what ¡the ¡specificaNon ¡says ¡ • No ¡more, ¡no ¡less ¡ - C ¡code, ¡Binary ¡ ¡ • Security ¡properNes ¡ - ConfidenNality ¡ - Integrity ¡ - Availability ¡ • WCET ¡ - Research ¡quality ¡ • RestricNons ¡ - AssumpNons ¡(including ¡hardware ¡model ¡and ¡correctness) ¡ - Kernel ¡init ¡ - PlaEorms ¡and ¡features ¡ - Correct ¡user-­‑level ¡setup ¡ 6 ¡ ¡| ¡ Building ¡Trustworthy ¡Systems ¡on ¡seL4 ¡| ¡Ihor ¡Kuz ¡

  7. Other ¡seL4 ¡PlaCorm ¡Tools ¡ • CapDL ¡ ¡ - User-­‑level ¡iniNalisaNon ¡ - Formally ¡verified ¡(in ¡progress) ¡ • CAmkES ¡ - Component ¡plaEorm ¡ - Verified ¡(in ¡progress) ¡CAmkES ¡to ¡CapDL ¡mapping ¡ ¡ CapDL ¡has ¡same ¡security ¡(data ¡flow) ¡properNes ¡as ¡componenNsed ¡system ¡model ¡ • - Verified ¡glue ¡code ¡(in ¡progress) ¡ • Cogent ¡programming ¡language ¡(in ¡progress) ¡ - Type ¡system, ¡proof ¡generaNon ¡ • CakeML ¡programming ¡language ¡support ¡(in ¡progress) ¡ - Verified ¡compiler ¡ • Rust ¡programming ¡language ¡support ¡ - Type ¡system, ¡memory ¡safety ¡ 7 ¡ ¡| ¡ Building ¡Trustworthy ¡Systems ¡on ¡seL4 ¡| ¡Ihor ¡Kuz ¡

  8. What ¡(useful) ¡Guarantees ¡do ¡we ¡get? ¡ • Integrity ¡ - Requires ¡correct ¡user-­‑level ¡setup ¡ • ConfidenNality ¡ - Basic ¡confidenNality ¡(others ¡can’t ¡read ¡your ¡memory) ¡ - Non-­‑interference ¡(specific ¡setup: ¡domain ¡scheduler, ¡strict ¡parNNoning) ¡ - Time ¡protecNon ¡(in ¡progress) ¡ • No ¡unintended ¡data ¡flows ¡ - CAmkES ¡architecture ¡correctly ¡implemented ¡ • Kernel ¡protecNons ¡can’t ¡be ¡bypassed ¡ - No ¡bugs ¡(in ¡verified ¡part ¡& ¡assumpNons) ¡ - No ¡kernel ¡vulnerabiliNes ¡to ¡exploit ¡to ¡bypass ¡Integrity, ¡confidenNality ¡guarantees ¡ 8 ¡ ¡| ¡ Building ¡Trustworthy ¡Systems ¡on ¡seL4 ¡| ¡Ihor ¡Kuz ¡

  9. How ¡to ¡Build ¡a ¡ Trustworthy ¡ System ¡ 9 ¡ ¡| ¡ Building ¡Trustworthy ¡Systems ¡on ¡seL4 ¡| ¡Ihor ¡Kuz ¡

  10. Steps ¡to ¡Trustworthiness ¡ 1. Determine ¡Safety ¡and/or ¡Security ¡Requirements ¡ 2. Architect ¡ 3. Implement ¡ 4. Validate ¡and ¡Verify ¡ 5. Repeat ¡ 6. Profit! ¡ 10 ¡ ¡| ¡ Building ¡Trustworthy ¡Systems ¡on ¡seL4 ¡| ¡Ihor ¡Kuz ¡

  11. 1. ¡Determining ¡Safety ¡Requirements ¡ • FuncNonal ¡Safety ¡ - FuncNons ¡required ¡for ¡system ¡safety ¡(to ¡miNgate ¡risks ¡and ¡hazards) ¡ - Must ¡have ¡correct ¡execuNon ¡and ¡behaviour ¡ • IdenNfy ¡Hazards ¡ - Hazard ¡analysis ¡ - Fault ¡Trees ¡ • Determine ¡safety-­‑criNcal ¡funcNons ¡ - To ¡control ¡hazards ¡ - Address ¡failure ¡modes ¡(hardware, ¡sojware, ¡human, ¡system) ¡ - AddiNonal ¡components ¡in ¡the ¡system ¡ - FuncNonal ¡path ¡requirements ¡ - FuncNonality ¡and ¡sub-­‑system ¡boundaries ¡ 11 ¡ ¡| ¡ Building ¡Trustworthy ¡Systems ¡on ¡seL4 ¡| ¡Ihor ¡Kuz ¡

  12. 1. ¡Determining ¡Security ¡Requirements ¡ • Threat ¡modeling ¡ • IdenNfy ¡threats ¡ - Bad ¡things ¡that ¡can ¡happen ¡to ¡assets ¡ • Discover ¡vulnerabiliNes ¡and ¡exploits ¡ - Vulnerability: ¡weakness ¡in ¡system ¡or ¡code ¡ - Exploit: ¡way ¡to ¡take ¡advantage ¡of ¡vulnerability ¡ • Develop ¡akacks ¡ - RealisaNon ¡of ¡a ¡threat ¡ - Apply ¡exploits ¡ • “Shall ¡not” ¡requirements ¡ - Ensure ¡that ¡akacks ¡are ¡not ¡possible ¡ 12 ¡ ¡| ¡ Building ¡Trustworthy ¡Systems ¡on ¡seL4 ¡| ¡Ihor ¡Kuz ¡

  13. Example: ¡Autonomous ¡UAV ¡ ¡ 13 ¡ ¡| ¡ Building ¡Trustworthy ¡Systems ¡on ¡seL4 ¡| ¡Ihor ¡Kuz ¡

  14. Example: ¡Autonomous ¡UAV ¡ 14 ¡ ¡| ¡ Building ¡Trustworthy ¡Systems ¡on ¡seL4 ¡| ¡Ihor ¡Kuz ¡

  15. Example: ¡Threat ¡Model: ¡VulnerabiliTes/Exploits ¡ • CommunicaNon: ¡ - VulnerabiliNes: ¡plain-­‑text, ¡poor ¡authenNcaNon, ¡poor ¡encrypNon, ¡poor ¡resource ¡management ¡ ¡ - Exploits: ¡sniff ¡messages, ¡man-­‑in-­‑the-­‑middle, ¡spoof ¡messages, ¡replay ¡messages ¡, ¡DoS ¡ • Data: ¡ - VulnerabiliNes: ¡plain-­‑text, ¡poor ¡encrypNon, ¡poor ¡integrity ¡controls, ¡poor ¡isolaNon ¡ - Exploits: ¡access ¡data ¡(read/write), ¡bypass ¡authenNcaNon/authorisaNon ¡ • Code ¡ - VulnerabiliNes: ¡poor ¡integrity ¡controls, ¡poor ¡isolaNon ¡ - Exploits: ¡load ¡malicious ¡code, ¡modify ¡code, ¡read ¡code ¡ • General ¡ - VulnerabiliNes: ¡code ¡bugs, ¡poor ¡authenNcaNon, ¡poor ¡authorisaNon ¡ - Exploits: ¡access ¡data, ¡modify ¡control ¡flow, ¡run ¡arbitrary ¡code, ¡crash, ¡bypass ¡authenNcaNon/ authorisaNon ¡ 15 ¡ ¡| ¡ Building ¡Trustworthy ¡Systems ¡on ¡seL4 ¡| ¡Ihor ¡Kuz ¡

  16. Example: ¡Threat ¡Model: ¡Some ¡AVacks ¡ • Steal ¡Vehicle ¡ - exploit ¡vulnerability ¡in ¡web ¡server ¡to ¡run ¡arbitrary ¡code ¡on ¡web ¡server, ¡ ¡ - exploit ¡vulnerability ¡in ¡OS ¡to ¡run ¡code ¡in ¡privileged ¡mode , ¡ ¡ - modify ¡code ¡to ¡cause ¡the ¡vehicle ¡to ¡fly ¡to ¡incorrect ¡locaNon, ¡ ¡ - wait ¡for ¡it ¡there, ¡then ¡take ¡vehicle. ¡ • Steal ¡collected ¡data ¡ - exploit ¡vulnerability ¡in ¡GCS ¡component ¡by ¡sending ¡malicious ¡RF ¡communicaNon ¡ ¡ - causing ¡it ¡to ¡run ¡arbitrary ¡code ¡in ¡the ¡GCS ¡component ¡ - exploit ¡vulnerability ¡to ¡elevate ¡privilege ¡to ¡root , ¡ - run ¡code ¡to ¡read ¡collected ¡mission ¡data, ¡ - send ¡it ¡out ¡over ¡WiFi ¡to ¡third ¡party ¡ • Steal ¡encrypNon ¡keys ¡ - modify ¡3rd ¡party ¡library ¡used ¡in ¡GPS ¡component ¡to ¡include ¡specific ¡akack ¡code, ¡ ¡ - exploit ¡vulnerability ¡to ¡access ¡storage ¡at ¡elevated ¡privilege ¡level , ¡ - read ¡keys ¡from ¡storage, ¡ - insert ¡them ¡into ¡web ¡server ¡content ¡files, ¡ - monitor ¡web ¡server ¡and ¡read ¡keys ¡from ¡web ¡server ¡when ¡they ¡appear. ¡ 16 ¡ ¡| ¡ Building ¡Trustworthy ¡Systems ¡on ¡seL4 ¡| ¡Ihor ¡Kuz ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Provably Trustworthy Systems seL4 and beyond Gerwin Klein Royal Society Meeting on Verified

Provably Trustworthy Systems seL4 and beyond Gerwin Klein Royal Society Meeting on Verified

Provably Trustworthy Systems seL4 and beyond Gerwin Klein Royal Society Meeting on Verified trustworthy software systems April 2016 data61.csiro.au Formal verification of real systems is happening! Formal verification of real systems

981 views • 75 slides
Verified seL4 on Secure RISC-V Processors and Other News in seL4 Land Gernot Heiser |

Verified seL4 on Secure RISC-V Processors and Other News in seL4 Land Gernot Heiser |

Verified seL4 on Secure RISC-V Processors and Other News in seL4 Land Gernot Heiser | gernot.heiser@data61.csiro.au | @GernotHeiser LCA, Gold Coast, QLD, 2020-01-15 https://trustworthy.systems What is seL4? A 30-Year Dream 3 | LCA |

886 views • 36 slides
seL4 Microkernel Status Update Gernot Heiser | gernot.heiser@data61.csiro.au | @GernotHeiser

seL4 Microkernel Status Update Gernot Heiser | gernot.heiser@data61.csiro.au | @GernotHeiser

seL4 Microkernel Status Update Gernot Heiser | gernot.heiser@data61.csiro.au | @GernotHeiser FOSDEM, Bruxelles, 2020-02-02 https://trustworthy.systems What is seL4? seL4: Assurance and Performance The worlds first operating- Worlds

253 views • 23 slides
The Formally Verified seL4 Microkernel High-Assurance Foundation for MCS Gernot Heiser |

The Formally Verified seL4 Microkernel High-Assurance Foundation for MCS Gernot Heiser |

The Formally Verified seL4 Microkernel High-Assurance Foundation for MCS Gernot Heiser | gernot.heiser@data61.csiro.au | @GernotHeiser RTCSA Keynote, Aug20 https://trustworthy.systems What Is Needed For Mixed-Criticality? During a

539 views • 29 slides
Capabilities in seL4 Types of Authority Resource Management Implementation Model

Capabilities in seL4 Types of Authority Resource Management Implementation Model

Capabilities in seL4 David Cock Background Microkernel Systems seL4 & Barrelfish Authorisation and Delegation Capabilities in seL4 Types of Authority Resource Management Implementation Model Representation David Cock Operations

1.41k views • 118 slides
Gaining Confidence in the Correctness of Robotic and Autonomous Systems Kerstin Eder Trustworthy

Gaining Confidence in the Correctness of Robotic and Autonomous Systems Kerstin Eder Trustworthy

Gaining Confidence in the Correctness of Robotic and Autonomous Systems Kerstin Eder Trustworthy Systems Laboratory Verification and Validation for Safety in Robots, Bristol Robotics Laboratory Designing Trustworthy Systems Create flawless

898 views • 65 slides
seL4: Formal Verification of an OS Kernel . Marek.Sapota@students.mimuw.edu.pl December 15, 2010

seL4: Formal Verification of an OS Kernel . Marek.Sapota@students.mimuw.edu.pl December 15, 2010

seL4: Formal Verification of an OS Kernel . seL4: Formal Verification of an OS Kernel . Marek.Sapota@students.mimuw.edu.pl December 15, 2010 . . . . . . seL4: Formal Verification of an OS Kernel About seL4 What is seL4? Secure

169 views • 16 slides
From L3 to seL4 Background What Have We Learnt in 20 Years of L4 From L3 to L4 L3

From L3 to seL4 Background What Have We Learnt in 20 Years of L4 From L3 to L4 L3

From L3 to seL4 What Have We Learnt in 20 Years of L4 Microkernels? K. Elphinstone, G. Heiser From L3 to seL4 Background What Have We Learnt in 20 Years of L4 From L3 to L4 L3 Microkernels? L4 L4 Development Presented by Andrew

943 views • 41 slides
How Trustworthy Can Systems Become? Vincent Rahli http://www.nuprl.org

How Trustworthy Can Systems Become? Vincent Rahli http://www.nuprl.org

How Trustworthy Can Systems Become? Vincent Rahli http://www.nuprl.org http://www.cs.cornell.edu/~rahli/ January 28, 2015 Vincent Rahli How Trustworthy Can Systems Become? January 28, 2015 1/62 My collaborators PRL group Abhishek Anand

964 views • 62 slides
Building Trustworthy Intrusion Detection Through Virtual Machine Introspection Fabrizio Baiardi 1

Building Trustworthy Intrusion Detection Through Virtual Machine Introspection Fabrizio Baiardi 1

Problem Overall Architecture Evaluation Conclusion Building Trustworthy Intrusion Detection Through Virtual Machine Introspection Fabrizio Baiardi 1 Daniele Sgandurra 2 1 Polo G. Marconi - La Spezia, University of Pisa 2 Department of Computer

472 views • 20 slides
Verifying the seL4 Microkernel Formal Proof in Mathematics and Computer Science Lukas Stevens

Verifying the seL4 Microkernel Formal Proof in Mathematics and Computer Science Lukas Stevens

Verifying the seL4 Microkernel Formal Proof in Mathematics and Computer Science Lukas Stevens 21st June 2018 Outline 2. Design process of seL4 3. Formal methods of the correctness proof 4. Layers of the correctness proof 5. Conclusion 1 1.

754 views • 64 slides
Five or so actionable tips for building trust and being trustworthy (in interactive learning)

Five or so actionable tips for building trust and being trustworthy (in interactive learning)

Five or so actionable tips for building trust and being trustworthy (in interactive learning) Stefano Teso , University of Trento stefano.teso@unitn.it ML increasingly being used in sensitive domains like criminal justice , hiring , . . .

335 views • 29 slides
CTSRD CRASH-worthy Trustworthy Systems Research and Development Beyond the PDP-11:

CTSRD CRASH-worthy Trustworthy Systems Research and Development Beyond the PDP-11:

CTSRD CTSRD CRASH-worthy Trustworthy Systems Research and Development Beyond the PDP-11: Architectural support for a memory-safe C abstract machine David Chisnall , Colin Rothwell , Brooks Davis , Robert N.M. Watson ,

252 views • 22 slides
TCIPG TECHNICAL CLUSTERS AND THREADS Trustworthy Trustworthy Technologies for Wide Technologies

TCIPG TECHNICAL CLUSTERS AND THREADS Trustworthy Trustworthy Technologies for Wide Technologies

TRUSTWORTHY CYBER INFRASTRUCTURE FOR THE POWER GRID | TCIPG.OR G TCIPG TECHNICAL CLUSTERS AND THREADS Trustworthy Trustworthy Technologies for Wide Technologies for Local Responding To and Trust Assessment Area Monitoring and Area

291 views • 8 slides
Building Applications Tutorial Session for Trustworthy Data Analysis in the Cloud Andrey Brito

Building Applications Tutorial Session for Trustworthy Data Analysis in the Cloud Andrey Brito

ISSRE 2019 Building Applications Tutorial Session for Trustworthy Data Analysis in the Cloud Andrey Brito Andr Martin Lilia Sampaio Fbio Silva Security-aware data processing Part 1 Why secure data processing? 3 In 2019, companies

1.24k views • 69 slides
Trustworthy Systems from Un-Trusted Components http://www.comp.nus.edu.sg/~tsunami PRESENTED BY

Trustworthy Systems from Un-Trusted Components http://www.comp.nus.edu.sg/~tsunami PRESENTED BY

Trustworthy Systems from Un-Trusted Components http://www.comp.nus.edu.sg/~tsunami PRESENTED BY PROF. ABHIK ROYCHOUDHURY NATIONAL UNIVERSITY OF SINGAPORE ABHIK@COMP.NUS.EDU.SG Enhancing local Ongoing NRF Project Overall capabilities Outlook

407 views • 25 slides
Reliability Engineering Overview Reliability engineering measures and improves resistance to

Reliability Engineering Overview Reliability engineering measures and improves resistance to

Reliability Engineering: A Brief Overview Mohammad Modarres Reliability Engineering Overview Reliability engineering measures and improves resistance to failure over time, estimates expended life, and predicts time-to-failure What

484 views • 5 slides
Acyclic Phase-Type Distributions in Fault Trees Pepijn Crouzen Reza Pulungan Dept. of Computer

Acyclic Phase-Type Distributions in Fault Trees Pepijn Crouzen Reza Pulungan Dept. of Computer

Theory Practice Conclusion Acyclic Phase-Type Distributions in Fault Trees Pepijn Crouzen Reza Pulungan Dept. of Computer Science Jurusan Ilmu Komputer Saarland University Universitas Gadjah Mada Germany Indonesia The 9th International

813 views • 49 slides
One Picture is Worth a Thousand Words Couple Dozen Connectives Iliano Cervesato

One Picture is Worth a Thousand Words Couple Dozen Connectives Iliano Cervesato

Work in progress Work in progress One Picture is Worth a Thousand Words Couple Dozen Connectives Iliano Cervesato iliano@itd.nrl.navy.mil ITT Industries, inc @ NRL Washington, DC http://theory.stanford.edu/~iliano Joint work with Cathy

253 views • 22 slides
Fault Tree Represent at ion of Securit y Requirement s 0 Work in progress Work in progress

Fault Tree Represent at ion of Securit y Requirement s 0 Work in progress Work in progress

Fault Tree Represent at ion of Securit y Requirement s 0 Work in progress Work in progress One Picture is Worth a Thousand Words Couple Dozen Connectives I liano Cer vesat o iliano@itd.nrl.navy.mil I TT I ndust r ies, inc @ NRL Washingt

618 views • 23 slides
SysML-Sec Attack Graphs: Compact Representations for Complex Attacks Institut Ludovic Apvrille

SysML-Sec Attack Graphs: Compact Representations for Complex Attacks Institut Ludovic Apvrille

SysML-Sec Attack Graphs: Compact Representations for Complex Attacks Institut Ludovic Apvrille Mines-Telecom ludovic.apvrille@telecom-paristech.fr Yves Roudier yves.roudier@eurecom.fr GraMSec2015 Context: Security for Embedded Systems

470 views • 23 slides
SWEN 256 Software Process & Project Management Problems that havent

SWEN 256 Software Process & Project Management Problems that havent

SWEN 256 Software Process & Project Management Problems that havent happened yet Characterized by: o Uncertainty (0 < probability < 1) o An associated loss (money, life, reputation, etc) o Manageable some action

413 views • 18 slides
Graing Trees: a Fault Aack against the SPHINCS framework Laurent Castelnovi Ange

Graing Trees: a Fault Aack against the SPHINCS framework Laurent Castelnovi Ange

Introducon Hash-based signatures Graing trees Conclusion Graing Trees: a Fault Aack against the SPHINCS framework Laurent Castelnovi Ange Marnelli Thomas Prest Introducon Hash-based signatures Graing trees Conclusion

447 views • 21 slides
Progress on Parameter Synthesis for Markov Models Joost-Pieter Katoen Joint with: Christian

Progress on Parameter Synthesis for Markov Models Joost-Pieter Katoen Joint with: Christian

Progress on Parameter Synthesis for Markov Models Joost-Pieter Katoen Joint with: Christian Dehnert, Nils Jansen, Sebastian Junges, Tim Quatman, Erika brahm, Harold Bruintjes, Florian Corzilius, Ufuk Topcu, Murat Cubutceke, Ivan Papusha,

1.21k views • 103 slides

More recommend