Hvorfor hackere retter seg mot nettservere med skadelig programvare og hvordan de kan beskytte dine. Se nå
MITRE, som publiserer en liste over de viktigste programvaresårbarhetene i samarbeid med US Department of Homeland Securitys Cybersecurity and Infrastructure Security Agency (CISA), har nå publisert en liste av de viktigste maskinvaresvakhetene også.
MITER publiserer Common Weakness Enumeration (CWE) for programvarefeil, men har i år kjørt en undersøkelse for å lage sin første tilsvarende liste noensinne for maskinvarefeil.
2021-maskinvarelisten har som mål å øke bevisstheten om vanlige maskinvarefeil og forhindre maskinvaresikkerhetsproblemer ved å utdanne designere og programmerere om hvordan de kan eliminere viktige feil tidlig i produktutviklingens livssyklus.
SE: Gartner lanserer sin nye teknologihype-syklus for 2021: Her er hva som er inn og ut
“Sikkerhetsanalytikere og testingeniører kan bruke listen til å utarbeide planer for sikkerhetstesting og -evaluering. Maskinvareforbrukere kan bruke listen for å hjelpe dem med å be om sikrere maskinvareprodukter fra sine leverandører. Til slutt kan ledere og CIOer bruke listen som en målestokk for fremgang i deres forsøk på å sikre maskinvaren deres og finne ut hvor de skal lede ressurser for å utvikle sikkerhetsverktøy eller automatiseringsprosesser som reduserer en bred klasse av sårbarheter ved å eliminere den underliggende grunnårsaken,» sa MITRE.
Listen ble bestemt av en undersøkelse fra CWE-teamet og medlemmer av spesialinteressegruppen for maskinvare.
Listen, som ikke er i noen spesiell rekkefølge, inkluderer feil som påvirker en rekke enheter, inkludert smarttelefoner, Wi-Fi-rutere, PC-brikker og kryptografiske protokoller for å beskytte hemmeligheter i maskinvare, feil i beskyttede minneområder, Rowhammer-stil bit-flipping bugs og fastvareoppdateringsfeil.
Maskinvaresvakhetslisten er ment å tjene som “autoritativ veiledning for å redusere og unngå dem” og er en følgesvenn til dens årlige 25 mest farlige programvaresvakheter.
En innsendt av Intel-ingeniører, CWE-1231, mht. “feil forebygging av modifikasjon av låsbit” som kan introduseres under utformingen av integrerte kretser.
SE: Skysikkerhet i 2021: En bedriftsveiledning til viktige verktøy og beste fremgangsmåter
“I integrerte kretser og kjerner for intellektuell eiendom (IP) programmeres enhetskonfigurasjonskontroller vanligvis etter en tilbakestilling av enhetens strømtilførsel av en pålitelig fastvare eller programvaremodul (f.eks. BIOS/bootloader) og deretter låst fra ytterligere modifikasjoner,” bemerker MITER.
“Denne oppførselen implementeres vanligvis ved å bruke en klarert låsebit. Når den er satt, deaktiverer låsebiten skriving til et beskyttet sett med registre eller adresseområder. Design- eller kodefeil i implementeringen av låsebitbeskyttelsesfunksjonen kan tillate låsebiten å være modifisert eller slettet av programvare etter at den er satt. Angripere kan kanskje låse opp systemet og funksjonene som biten er ment å beskytte.”
Oppføringene inkluderer også tidligere eksempler på typer feil, for eksempel CVE-2017-6283, som påvirket NVIDIA Security Engine. Den inneholdt en “sårbarhet i RSA-funksjonen der lese-/skrivelåstillatelsene for nøkkelspor slettes ved tilbakestilling av brikke, noe som kan føre til avsløring av informasjon.”
|
CWE-1189 |
Feilaktig isolering av delte ressurser på System-on-a-Chip (SoC) |
|
On-Chip feilsøking og testgrensesnitt med feil tilgangskontroll |
|
|
CWE-1231 |
Feil Forebygging av modifikasjon av låsebiter |
|
CWE-1233 |
Sikkerhetssensitive maskinvarekontroller som mangler Lock Bit Protection |
|
CWE-1240 |
Bruk av en kryptografisk primitiv med en risikofylt implementering |
|
CWE-1244 |
Intern eiendel utsatt for usikkert feilsøkingstilgangsnivå eller tilstand p> |
|
CWE-1256 |
Uriktig begrensning av programvaregrensesnitt til maskinvarefunksjoner |
|
CWE-1260 |
Feil håndtering av overlapping mellom beskyttede minneområder |
|
Sensitiv informasjon uklarert før feilsøking/strømtilstandsovergang |
|
| < p>CWE-1274 |
Feil tilgangskontroll for flyktig minne som inneholder oppstartskode |
|
CWE -1277 |
Firmware kan ikke oppdateres |
|
CWE-1300 |
Feilaktig beskyttelse av fysiske sidekanaler |
Maskinvare
Fremtiden til personlig databehandling ser akkurat ut som en M1 Mac Google Tensor: Alt du trenger å vite om Pixel 6-brikken Walmarts tidlige Black Friday-salg inkluderer $87 Chromebook, $299 iPhone 12 mini Den beste NAS: Nettverkstilkoblede lagringsenheter for hjemmet eller bedriften Security TV | Databehandling | CXO | Datasentre