Технология MIPS VM позволяет маршрутизаторам оставаться открытыми, несмотря на новые правила FCC

Воображение и prpl имеют демонстрационную технологию защищенной виртуализации, которая позволяет маршрутизаторам, работающим на OpenWrt на процессорах MIPS Warrior, оставаться законными в соответствии с новыми правилами FCC.

Фонд prpl с открытым исходным кодом, созданный в 2014 году IP-вендором MIPS Imagination Technologies и другими компаниями, предложил компаниям-маршрутизаторам возможность для своих клиентов из США загружать дистрибутивы Linux, такие как OpenWrt, не вступая в противоречие с новым решением FCC, которое вступило в силу. эффект 2 июня. Решение для защиты виртуализации, называемое prplSecurity, построено на гипервизоре L4Re с открытым исходным кодом, оптимизированном для работы на процессорах Imagination MIPS Warrior-P .
PrplSecurity, о котором будет официально объявлено 9 июня, отделяет и защищает функции WiFi от общих функций маршрутизатора с помощью защищенных виртуальных машин OpenWrt, WiFi и сторонних производителей (см. Ниже).


Демонстрация технологии воображения и prplSecurity

(щелкните изображение, чтобы увеличить)

Положения FCC запрещают модификацию беспроводных устройств, таких как маршрутизаторы WiFi, которые работают в радиодиапазонах U-NII, с целью превышения их лицензированного спектра, типа модуляции и уровней мощности.
Целью здесь является предотвращение отключения функции под названием «Динамический выбор частоты», которая потенциально может создавать помехи для таких устройств, как доплеровские метеорологические радиостанции Федерального управления гражданской авиации (FAA).

Как пишет Александр Воика из Imagination в своем объявлении о prplSecurity: «По сути, FCC хотела, чтобы производители маршрутизаторов и другого сетевого оборудования предоставляли строго определенные пути доступа ко всем устройствам беспроводной передачи.
К сожалению, предложение FCC может привести к тому, что OEM-производители заблокируют всю прошивку своих маршрутизаторов и тем самым не позволят потребителям устанавливать операционную систему с открытым исходным кодом или программное обеспечение по своему выбору (например, OpenWrt или DD-WRT.) »

В марте производитель маршрутизаторов TP-Link активно выполнил предложение FCC, пытаясь запретить пользователям загружать дистрибутивы OpenWrt на свои маршрутизаторы.
В конце мая, однако, принадлежащая Belkin компания Linksys объявила, что она сотрудничала с проектом OpenWrt и Marvell, которая делает процессоры на базе ARM внутри своих взломанных маршрутизаторов Linksys WRT , чтобы предложить обходной путь, позволяющий загружать стороннее программное обеспечение.
Говорят, что проприетарное решение «изолирует данные параметров RF и защищает их вне микропрограммного обеспечения хоста отдельно», как сказал Ars Technica представитель Linksys.

Учитывая, что OpenWrt был назван в честь линейки маршрутизаторов Linksys WRT , которая уже более десяти лет является популярной целью для хакеров Linux, имеет смысл, что Linksys потратила немного денег, чтобы решить эту проблему.
Тем не менее, он, очевидно, не делает этого для своих других маршрутизаторов, и большинство компаний-производителей маршрутизаторов, вероятно, последуют примеру TP-Link в принятии более экономичного подхода к простой блокировке систем, продаваемых в США.

prplБезопасность на помощь

Теперь у Imagination и prpl Foundation, который является своего рода Linaro-подобным объектом для разработки программного обеспечения с открытым исходным кодом MIPS, есть решение для тех поставщиков, которые хотят построить свои маршрутизаторы вокруг своих процессоров MIPS Warrior-P .
Помимо того, что поставщики помогают соблюдать FCC, а разработчики с открытым исходным кодом остаются довольны, эта технология также повышает безопасность маршрутизатора в целом, что в целом довольно печально .
Воображение утверждает, что технология превосходит ARM TrustZone, что указывает на взломанный взлом безопасности, недавно обнаруженный в некоторых SoC Qualcomm Snapdragon.

Технология prplSecurity может оказать существенное влияние, так как большой процент маршрутизаторов работает на MIPS.
Согласно Imagination, производители микросхем используют процессоры MIPS в сетевых и коммуникационных SoC, которые вместе составляют «сотни миллионов чипов в год». К ним относятся SoC от таких участников prpl, как Baikal Electronics, Broadcom, Cavium, Intel (Lantiq) и Qualcomm ( Atheros и Ikanos), а также не являющиеся членами MediaTek и Realtek.


Демонстрационная версия prplSecurity (слева) и диаграмма архитектуры prplSecurity, на которой показан процессор MIPS Warrior-P, на котором запущены три виртуальные машины в трех отдельных доверенных средах

(нажмите на картинку, чтобы увеличить)

Решение prplSecurity, разработанное рабочей группой по безопасности prpl, использует многодоменные технологии безопасной аппаратной виртуализации и технологию безопасности OmniShield в процессорах MIPS Warrior-P, чтобы создать несколько доверенных сред, в которых программное обеспечение может работать в защищенных контейнерах.
Этот подход «позволяет только авторизованным организациям (например, операторам) вносить необходимые изменения и обновления в критические настройки радиосвязи, указанные FCC», согласно Voicu.

Решение prplSecurity построено на основе микроядра / микрогипервизора L4Re с открытым исходным кодом на основе Linux, разработанного в TU Dresden и размещенного в KernKonzept.
Микроядро L4Re, которое также поддерживает процессоры ARM, состоит из трех частей: микроядро L4, которое может запускать доверенные собственные приложения и действовать как доверенный гипервизор;
среда выполнения L4Re, среда программирования и исполнения для собственных приложений;
и L4Linux, паравиртуализированное ядро ​​Linux, используемое для запуска ненадежных приложений или драйверов устройств.

Воображение и prpl объединили L4Re с тремя виртуальными машинами (ВМ):

  • Open VM for OpenWrt - запускает OpenWrt и предоставляет основной интерфейс к средствам маршрутизатора
  • Изолированный драйвер VM для WiFi - блокирует прямой доступ к драйверу с других виртуальных машин, кроме как через виртуальное сетевое соединение, которое устанавливается через три порта: 85 для http, 449 для https или 29 для ssh
  • Выделенная виртуальная машина для сторонних приложений - «песочница» для внешних приложений, которые предоставляют дополнительные функции, такие как домашняя автоматизация

Видео ниже демонстрирует демонстрацию, которая запускает OpenWrt на оценочной плате Baikal Electronics на базе Baikal-T1 SoC Baikal, которая объединяет два ядра MIPS Warrior P5600 .
Плата также включает в себя адаптер Wi-Fi Realtek RTL8192 на базе MIPS, подключенный через USB, а также порт Ethernet.


Блок-схемы: ядро ​​MIPS Warrior P5600 (слева) и двухъядерный процессор Baikal P5600 на базе Baikal-T1 SoC

(нажмите на картинку, чтобы увеличить)

Кроме того, последовательный порт UART подключается к консоли отладки Linux.
Консольный мультиплексор, работающий через интерфейс UART, позволяет коду prplSecurity получать доступ к виртуальным последовательным интерфейсам для всех трех виртуальных машин.
В видео сторонняя виртуальная машина намеренно падает, чтобы продемонстрировать, как другие виртуальные машины не подвержены влиянию.

В электронном письме Voica отмечает, что SoC Baikal-T1 является одной из трех доступных в настоящее время MIPS Warrior «Release 5-совместимых» SoC наряду с Cavium OCTEON III и Broadcom XLP II .
«Релиз 5 - это когда мы внедрили аппаратную виртуализацию и безопасность с помощью концепций изоляции в 32-битной и 64-битной архитектуре MIPS», - пояснил Voica.

Хотя в объявлении prplSecurity упоминались только OpenWrt и DD-Wrt на основе OpenWrt, предположительно, систему можно модифицировать для работы с другими дистрибутивами на основе OpenWrt, которые могут работать на процессорах класса Warrior-P.
Это может включать в себя предстоящую развилку LEDE проекта с открытым исходным кодом.

Хотя в принципе вы могли бы использовать аппаратную виртуализацию ARM плюс TrustZone для создания чего-то похожего на prplSecurity на оборудовании ARM, «разница состоит в том, что TrustZone имеет только одну защищенную зону и одну незащищенную зону (это двоичная концепция)», добавил Voica.
«Наша технология OmniShield масштабируется от 7 зон в M-классе до 31 в I-классе и 15 в P-классе.
Кроме того, TrustZone покрывает только процессор, тогда как OmniShield распространяется на графический процессор (в данном случае не действует, но уже используется в автомобильной промышленности) и другие части SoC ».

OpenWrt становится все более важным для воображения.
Мы наблюдаем рост числа сетевых устройств и IoT-ориентированных хакерских плат , на которых работает OpenWrt и его производные, такие как Arduino-совместимый Linino на SoC на основе MIPS.
К ним относятся собственные открытые спецификации Ci40 SBC от Imagination .

Дополнительная информация

Технологии Imagination Alexandru Voica объявит о новой технологии виртуализации prplSecurity в четверг, 9 июня, в этом сообщении в блоге Imagination .
Открытый исходный код для гипервизора L4Re, который управляет технологией PrplSecurity, можно найти на этой странице KernKonzept .