Google宣布推出KataOS操作系统 基于Rust和seL4微内核

Google本周宣布发布KataOS(开发代号Sparrow)作为他们最新专注于运行环境侧重于机器学习工作负载的嵌入式设备的操作系统。KataOS从设计上就具备安全意识,使用Rust编程语言开发,并建立在seL4微内核的基础之上。

谷歌表示,随着我们发现自己被越来越多的从环境中收集和处理信息的智能设备所包围,需要有一个简单的解决方案来为嵌入式硬件构建可验证的安全系统。如果我们周围的设备无法通过数学证明能够保护数据安全,那么他们收集的个人身份数据,例如人物图像和声音录音,可能会被恶意软件访问,因此推出了 KataOS。

据介绍,KataOS 选择了 seL4 作为微内核,其经过数学证明是安全的,具有保证的机密性、完整性和可用性。通过 seL4 CAmkES 框架,KataOS 还能够提供静态定义和可分析的系统组件。

KataOS 提供了一个可验证的安全平台,保护用户的隐私,因为应用程序在逻辑上不可能违反内核的硬件安全保护,并且系统组件是可验证安全的。

此外,KataOS 几乎完全在 Rust 中实现,该语言消除了所有类型的错误,例如 off-by-one 错误和缓冲区溢出。

目前的GitHub版本包括大多数KataOS的核心部分,包括我们用于Rust的框架(如sel4-sys crate,它提供了seL4系统调用API),一个用Rust编写的备用根服务器(需要动态全系统内存管理),以及对seL4的内核修改,可以回收根服务器使用的内存。”

GitHub上可以看到相关项目进展:

https://github.com/AmbiML/sparrow-manifest

黑客利用Wi-Fi无人机远程渗透金融公司内网

本周早些时候,The Register 报道了今夏了一起无人机黑客袭击事件。然而受害的私人投资公司却对此保持沉默,仅同意根据保密协议与安全人员展开探讨。

据说当时网络管理员发现公司的 Confluence 页面在局域网内表现出了奇怪的行为,而 Confluence 则是 Atlassian 开发的基于 Web 的远程协作软件。

Drones and solar cells, The drone is a high angle camera shooting a solar cell farm. Which is clean energy Able to generate electricity

报道称,安保人员在大楼顶层发现了两架无人机 —— 其一是经过改装的 DJI Matrice 600,其二是经过改装的 DJI Phantom —— 前者炸机但仍在运行,而后者实现了安全着陆。

后续调查发现,Matrice 600 无人机被加装了渗透套件,包含一台树莓派、GPD 迷你笔记本电脑、4G 调制解调器、Wi-Fi 设备、以及几块电池。

此外 Phantom 无人机则打包了 Hak5 开发的一套名为 Wi-Fi Pineapple 的网络渗透测试设备。

与该公司 IT 团队沟通的安全研究员 Greg Linares 表示,攻击者在数日前使用 Phantom 无人机 + Wi-Fi 渗透装置拦截了员工的凭据。

接着攻击者将窃取的信息编码到了 Matrice 无人机携带的穿透设备中,利用员工 MAC 地址和访问凭据、从屋顶侵入了公司的 Cnnfluence 页面。

可知其浏览了 Confluence 日志,试图窃取更多登录信息、以连接到公司内网的其它设备。庆幸的是,攻击者仅取得了有限的进展。

当管理员注意到受感染员工设备的 MAC 地址在本地和数英里外的远程地点登录时,立即意识到公司网络遭受了攻击。

在对 Wi-Fi 信号实施隔离后,安全团队带着福禄克测试仪追踪并定位了屋顶上的渗透设备。

Drones and solar cells, The drone is a high angle camera shooting a solar cell farm. Which is clean energy Able to generate electricity

Greg Linares 表示,这是他在近两年里看到的第三次基于无人机的网络攻击。

不过大家也无需惊慌,毕竟新案例得逞的前提,是受害企业启用了一套未妥善部署安全措施的临时网络。

而且就算是这套本就脆弱的网络,攻击者也蛰伏了数周时间来实施‘内部侦查’。

综上所述,该威胁行为者距离目标地点的物理距离肯定不太远,手头有足够预算、且知悉受害企业的物理安全限制。