> Тут важны цель и вектор атаки.Логично. И пользуясь случаем, хочу пожелать инженерам: "делайте ваши системы так, как будто это иранские центрифуги, которые хочет взломать NSA".
> То о чем вы пишите именно "safety", чтобы не вышло как с центрифугами.
Это safety, но пересекается с "security" по (отсутствию) результата.
Поанноить алармами и шатдауном - одно.
Разнести уникальную машину для которой врядли "запчасти на складе" - совсем другое.
> Но не факт что какие-то изъяны в "safety" не позволят подменить часть
> "масок", не влияя при этом на корректность работы оборудования.
Если я правильно помню, их просто раскрутили быстрее чем сие физически выдерживать могло. General purpose контроллер не знает безопасные лимиты инсталляции. А last line of defence форсящий безопасные лимиты процесса видимо отсутствовал. Это больше к инженерной культуре, что иронично.
А так - ну, сделать кастомную "крутилку", где все ключевые тайминги таковы что реализуемые максимальне обороты ниже физического лимита. Что-то с этим сделать - надо всю фирмварь перепахать, и кто сказал что перелить получится? А если совсем стремно, воткнуть еще один МК с датчиком оборотов, независимый. В его примитивной фирмвари вбить лимиты - если частота испульсов больше X - он вырубает все. Я бы не взялся его переиграть: нет пространства для маневра. У него может вообще не быть коммуникаций, только конект к датчику и средства шатдауна. А лимиты 1 раз за всю жизнь машины в фирмварь вхардкодить - это "часть машины".
> Исполнитель/производитель может скомпрометирован (куплен один из сотрудников) или быть соучастником.
Надеюсь, это объясняет что мне не нравится в проприетарных компилерах... и не только них. Чем больше запроприетарено тем хуже для верификации и меньше тех кто этим занимается.
> В этом случае вместо защиты производитель (или сотрудник) заинтересован в маскировке своих
> действий под атаку снаружи, на случай обнаружения закладки.
Ну да. Код имеет определенные преимущества в этом качестве. Но если не получилось, наивно надеяться что мощный атакующий просто забьет.
Однако чем дольше и сложнее действо тем больше атакующим боком. Каспер как-то писал про компьютер - "магнит проблем". Врядли в планы атакующих его входило стать лабораторными крысами.
> правил при "разводке" логики в топологию. Но верифицировать чужой чип достаточно сложно.
Именно чужой чип, именно верифицировать - логично. Видимо чем-то похоже на анализ чужой проприетарной программы, только еще хуже.
> Причем это как проверки отсутствия закладок, так и для контроля качества.
Идея интересная. Но она решает проблему относительно в лоб. Мне интересно - а не получится "бэкпортировать" некторые трюки софтварщиков? Эти трюки теоретически-неидеальные, но практически очень повышают планку.
Например, измененная программа может поработать пару дней. А потом загнется. Это делалось специально для облома желающих модифицировать код - как максимально неудобный им вариант поведения. Если об таком _знать_, можно целенаправленно тестить это. А если не знать - атаковать такую гадость крайне неудобно и печально. И немало народа зарелизило "ура, сломали" и макнулось носом в фекалии через неделю. А с чипами такой номер не катит?