Hvorfor hackere retter sig mod webservere med malware, og hvordan man beskytter din. Se nu
MITRE, som udgiver en liste over de vigtigste softwaresårbarheder i samarbejde med US Department of Homeland Securitys Cybersecurity and Infrastructure Security Agency (CISA), har nu offentliggjort en liste også af de vigtigste hardwaresvagheder.
MITER udgiver Common Weakness Enumeration (CWE) for softwarefejl, men har i år kørt en undersøgelse for at skabe sin første tilsvarende liste nogensinde for hardwarefejl.
Hardwarelisten 2021 har til formål at øge bevidstheden om almindelige hardwarefejl og forhindre hardwaresikkerhedsproblemer ved at uddanne designere og programmører i, hvordan man fjerner vigtige fejl tidligt i produktudviklingens livscyklus.
SE: Gartner udgiver sin nye teknologihype-cyklus for 2021: Her er, hvad der er ind og ud
“Sikkerhedsanalytikere og testingeniører kan bruge listen til at udarbejde planer for sikkerhedstest og -evaluering. Hardwareforbrugere kunne bruge listen til at hjælpe dem med at bede om mere sikre hardwareprodukter fra deres leverandører. Endelig kan ledere og CIO'er bruge listen som en målestok for fremskridt i deres bestræbelser på at sikre deres hardware og finde ud af, hvor de skal lede ressourcer til at udvikle sikkerhedsværktøjer eller automatiseringsprocesser, der afbøder en bred klasse af sårbarheder ved at eliminere den bagvedliggende årsag,” sagde MITRE.
Listen blev bestemt af en undersøgelse blandt CWE-teamet og medlemmer af hardware-specialinteressegruppen.
Listen, som ikke er i nogen bestemt rækkefølge, inkluderer fejl, der påvirker en række enheder, herunder smartphones, Wi-Fi-routere, pc-chips og kryptografiske protokoller til beskyttelse af hemmeligheder i hardware, fejl i beskyttede hukommelsesområder, bit-flipping-fejl i Rowhammer-stil og firmwareopdateringsfejl.
Hardwaresvaghedslisten er beregnet til at tjene som “autoritativ vejledning til at afbøde og undgå dem” og er en ledsager til dens årlige 25 mest farlige softwaresvaghedersliste.
En indsendt af Intels ingeniører, CWE-1231, mht. “ukorrekt forebyggelse af modifikation af låsebit”, der kan indføres under design af integrerede kredsløb.
SE: Skysikkerhed i 2021: En virksomhedsvejledning til vigtige værktøjer og bedste praksis
“I integrerede kredsløb og hardware Intellectual Property (IP)-kerner programmeres enhedskonfigurationskontroller almindeligvis efter en enhedsstrømnulstilling af et betroet firmware- eller softwaremodul (f.eks. BIOS/bootloader) og derefter låst fra enhver yderligere modifikation,” bemærker MITER.
“Denne adfærd er almindeligvis implementeret ved hjælp af en betroet låsebit. Når den er indstillet, deaktiverer låsebitten skrivning til et beskyttet sæt af registre eller adresseområder. Design- eller kodningsfejl i implementeringen af låsebitbeskyttelsesfunktionen kan tillade, at låsebitten bliver ændret eller ryddet af software, efter at det er blevet indstillet. Angribere kan muligvis låse op for systemet og funktioner, som bit'en er beregnet til at beskytte.”
Indgangene inkluderer også tidligere eksempler på de typer fejl, såsom CVE-2017-6283, der påvirkede NVIDIA Security Engine. Den indeholdt en “sårbarhed i RSA-funktionen, hvor nøgleslot læse-/skrivelåstilladelser ryddes ved en nulstilling af chip, hvilket kan føre til afsløring af information.”
|
CWE-1189 |
Ukorrekt isolering af delte ressourcer på System-on-a-Chip (SoC) |
|
On-Chip debug og test grænseflade med forkert adgangskontrol |
|
|
CWE-1231 |
Ukorrekt Forebyggelse af modifikation af låsebit |
|
CWE-1233 |
Sikkerhedsfølsomme hardwarekontroller, der mangler Lock Bit Protection |
|
CWE-1240 |
Brug af en kryptografisk primitiv med en risikabel implementering |
|
CWE-1244 |
Internt aktiv udsat for usikkert fejlretningsadgangsniveau eller tilstand p> |
|
CWE-1256 |
Ukorrekt begrænsning af softwaregrænseflader til hardwarefunktioner |
|
CWE-1260 |
Ukorrekt håndtering af overlap mellem beskyttede hukommelsesområder |
|
Følsom information ikke slettet før fejlretning/strømtilstandsovergang |
|
| < p>CWE-1274 |
Ukorrekt adgangskontrol til flygtig hukommelse, der indeholder bootkode |
|
CWE -1277 |
Firmware kan ikke opdateres |
|
CWE-1300 |
Ukorrekt beskyttelse af fysiske sidekanaler |
Hardware
Fremtiden for personlig computing ligner en M1 Mac Google Tensor: Alt hvad du behøver at vide om Pixel 6-chippen Walmarts tidlige Black Friday-salg inkluderer $87 Chromebook, $299 iPhone 12 mini Den bedste NAS: Netværkstilsluttede lagerenheder til dit hjem eller virksomhed Sikkerheds-tv | Datastyring | CXO | Datacentre