Waarom hackers zich met malware op webservers richten en hoe u die van uzelf kunt beschermen Bekijk nu
MITRE, dat een lijst met de belangrijkste softwarekwetsbaarheden publiceert in samenwerking met de Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse Department of Homeland Security, heeft nu een lijst gepubliceerd ook van de belangrijkste hardware-zwakheden.
MITRE publiceert de Common Weakness Enumeration (CWE) voor softwarefouten, maar heeft dit jaar een enquête gehouden om de allereerste gelijkwaardige lijst voor hardwarefouten te maken.
De hardwarelijst voor 2021 is bedoeld om het bewustzijn van veelvoorkomende hardwarefouten te vergroten en hardwarebeveiligingsproblemen te voorkomen door ontwerpers en programmeurs te leren hoe belangrijke fouten vroeg in de levenscyclus van productontwikkeling kunnen worden geëlimineerd.
ZIE: Gartner lanceert zijn opkomende tech-hypecyclus voor 2021: dit is wat er in en uit gaat
“Beveiligingsanalisten en testingenieurs kunnen de lijst gebruiken bij het opstellen van plannen voor het testen en evalueren van de beveiliging. Hardwareconsumenten zouden de lijst kunnen gebruiken om hen te helpen bij het vragen om veiligere hardwareproducten van hun leveranciers. Ten slotte kunnen managers en CIO's de lijst gebruiken als een het meten van de voortgang in hun inspanningen om hun hardware te beveiligen en vast te stellen waar middelen naartoe moeten worden gestuurd om beveiligingstools of automatiseringsprocessen te ontwikkelen die een brede klasse van kwetsbaarheden verminderen door de onderliggende oorzaak weg te nemen, “zei MITRE.
De lijst is vastgesteld door een onderzoek van het CWE-team en leden van de speciale hardwaregroep.
De lijst, die niet in een bepaalde volgorde staat, bevat bugs die van invloed zijn op een reeks apparaten, waaronder smartphones, Wi-Fi-routers, pc-chips en cryptografische protocollen voor het beschermen van geheimen in hardware, fouten in beveiligde geheugengebieden, Rowhammer-achtige bit-flipping-bugs en mislukte firmware-updates.
De lijst met hardwarezwakheden is bedoeld als “gezaghebbende richtlijn om ze te verminderen en te vermijden” en is een aanvulling op de jaarlijkse lijst van 25 meest gevaarlijke softwarezwakheden.
Een ingediend door Intel-ingenieurs, CWE-1231, groeten “onjuiste preventie van vergrendelingsbitmodificatie” die kan worden geïntroduceerd tijdens het ontwerp van geïntegreerde schakelingen.
ZIE: Cloudbeveiliging in 2021: een zakelijke gids voor essentiële tools en best practices
“In geïntegreerde schakelingen en hardware-intellectueel eigendom (IP)-kernen worden apparaatconfiguratiebesturingselementen gewoonlijk geprogrammeerd na een stroomreset van het apparaat door een vertrouwde firmware- of softwaremodule (bijv. BIOS/bootloader) en vervolgens vergrendeld tegen elke verdere wijziging”, merkt MITER op.
“Dit gedrag wordt gewoonlijk geïmplementeerd met behulp van een vertrouwde vergrendelingsbit. Indien ingesteld, schakelt de vergrendelingsbit schrijven naar een beveiligde set registers of adresgebieden uit. Ontwerp- of coderingsfouten bij de implementatie van de beveiligingsfunctie voor vergrendelingsbits kunnen ertoe leiden dat de vergrendelingsbit wordt gewijzigd of gewist door software nadat het is ingesteld. Aanvallers kunnen mogelijk het systeem en de functies ontgrendelen die het bit moet beschermen.”
De inzendingen bevatten ook eerdere voorbeelden van de soorten fouten, zoals CVE-2017-6283, die de NVIDIA Security Engine beïnvloedden. Het bevatte een “kwetsbaarheid in de RSA-functie waarbij de lees-/schrijfrechten van het sleutelslot worden gewist bij een chipreset, wat kan leiden tot het vrijgeven van informatie.”
|
CWE-1189 |
Onjuiste isolatie van gedeelde bronnen op System-on-a-Chip (SoC) |
|
On-Chip debug- en testinterface met onjuiste toegangscontrole |
|
|
CWE-1231 |
Onjuist Voorkomen van wijziging van slotbit |
|
CWE-1233 |
Veiligheidsgevoelige hardwarecontroles met ontbrekende Lock Bit Protection |
|
CWE-1240 |
Gebruik van een cryptografische primitief met een riskante implementatie |
|
CWE-1244 |
Interne activa blootgesteld aan onveilig toegangsniveau of status voor foutopsporing |
|
CWE-1256 |
Onjuiste beperking van software-interfaces tot hardwarefuncties |
|
CWE-1260 |
Onjuiste behandeling van overlap tussen beschermde geheugenbereiken |
|
Gevoelige informatie niet gewist vóór debug-/stroomstatusovergang |
|
| < p>CWE-1274 |
Onjuiste toegangscontrole voor vluchtig geheugen met opstartcode |
|
CWE -1277 |
Firmware kan niet worden bijgewerkt |
|
CWE-1300 |
Onjuiste bescherming van fysieke zijkanalen |
Hardware
De toekomst van persoonlijke computergebruik ziet eruit als een M1 Mac Google Tensor: alles wat u moet weten over de Pixel 6-chip Walmart's vroege Black Friday-verkopen omvatten $ 87 Chromebook, $ 299 iPhone 12 mini De beste NAS: op het netwerk aangesloten opslagapparaten voor thuis of op bedrijf Beveiliging TV | Gegevensbeheer | CXO | Datacenters