Varför hackare riktar in sig på webbservrar med skadlig programvara och hur man skyddar din Titta nu
MITRE, som publicerar en lista över de främsta sårbarheterna i mjukvaran i samarbete med US Department of Homeland Securitys Cybersecurity and Infrastructure Security Agency (CISA), har nu publicerat en lista av de viktigaste hårdvarubristheterna också.
MITER publicerar Common Weakness Enumeration (CWE) för mjukvarubrister, men har i år genomfört en undersökning för att skapa sin första motsvarande lista någonsin för hårdvarubrister.
Hårdvarulistan 2021 syftar till att öka medvetenheten om vanliga hårdvarubrister och att förebygga säkerhetsproblem med hårdvara genom att utbilda designers och programmerare om hur man eliminerar viktiga misstag tidigt i produktutvecklingens livscykel.
SE: Gartner släpper sin nya tekniska hypecykel för 2021: Här är vad som är in och ut
“Säkerhetsanalytiker och testingenjörer kan använda listan för att förbereda planer för säkerhetstestning och utvärdering. Hårdvarukonsumenter kan använda listan för att hjälpa dem att be om säkrare hårdvaruprodukter från sina leverantörer. Slutligen kan chefer och CIO:er använda listan som en mätning av framsteg i deras ansträngningar att säkra sin hårdvara och ta reda på var de ska rikta resurser för att utveckla säkerhetsverktyg eller automatiseringsprocesser som mildrar en bred klass av sårbarheter genom att eliminera den bakomliggande grundorsaken, säger MITRE.
Listan fastställdes av en undersökning av CWE-teamet och medlemmar i hårdvarugruppen för specialintresse.
Listan, som inte är i någon speciell ordning, innehåller buggar som påverkar en rad enheter inklusive smartphones, Wi-Fi-routrar, PC-chips och kryptografiska protokoll för att skydda hemligheter i hårdvara, brister i skyddade minnesområden, Rowhammer-liknande bit-flipping buggar och firmwareuppdateringsfel.
Listan över svagheter i hårdvaran är avsedd att fungera som “auktoritativ vägledning för att mildra och undvika dem” och är ett komplement till dess årliga 25 mest farliga svagheter i mjukvaran.
En inlämnad av Intels ingenjörer, CWE-1231, gäller “olämpligt förhindrande av låsbitsmodifiering” som kan införas under konstruktionen av integrerade kretsar.
SE: Molnsäkerhet 2021: En affärsguide till viktiga verktyg och bästa praxis
“I integrerade kretsar och hårdvarukärnor för immateriella rättigheter (IP) programmeras enhetskonfigurationskontroller vanligtvis efter en enhetsströmåterställning av en pålitlig firmware eller mjukvarumodul (t.ex. BIOS/bootloader) och låses sedan från ytterligare modifieringar”, noterar MITER.
“Detta beteende implementeras vanligtvis med en betrodd låsbit. När den är inställd inaktiverar låsbiten skrivning till en skyddad uppsättning register eller adressregioner. Design- eller kodningsfel i implementeringen av låsbitsskyddsfunktionen kan tillåta att låsbiten är modifierad eller rensad av programvara efter att den har ställts in. Angripare kanske kan låsa upp systemet och funktioner som biten är avsedd att skydda.”
Inläggen inkluderar även tidigare exempel på de typer av brister, som CVE-2017-6283, som påverkade NVIDIA Security Engine. Den innehöll en “sårbarhet i RSA-funktionen där läs-/skrivlåsbehörigheterna för nyckelspåret rensas vid en chipåterställning, vilket kan leda till att information lämnas ut.”
|
CWE-1189 |
Otillbörlig isolering av delade resurser på System-on-a-Chip (SoC) |
|
On-Chip-felsökning och testgränssnitt med felaktig åtkomstkontroll |
|
|
CWE-1231 |
Otillbörlig Förebyggande av låsbitsändring |
|
CWE-1233 |
Säkerhetskänsliga hårdvarukontroller som saknas Lock Bit Protection |
|
CWE-1240 |
Användning av en kryptografisk primitiv med en riskabel implementering |
|
CWE-1244 |
Intern tillgång exponerad för osäkra felsökningsåtkomstnivåer eller -tillstånd p> |
|
CWE-1256 |
Otillbörlig begränsning av mjukvarugränssnitt till maskinvarufunktioner |
|
CWE-1260 |
Okorrekt hantering av överlappning mellan skyddade minnesområden |
|
Känslig information orensad före felsökning/strömtillståndsövergång |
|
| < p>CWE-1274 |
Felaktig åtkomstkontroll för flyktigt minne som innehåller startkod |
|
CWE -1277 |
Firmware kan inte uppdateras |
|
CWE-1300 |
Otillbörligt skydd av fysiska sidokanaler |
Hårdvara
Framtiden för personlig datorer ser ut precis som en M1 Mac Google Tensor: Allt du behöver veta om Pixel 6-chippet Walmarts tidiga Black Friday-försäljning inkluderar $87 Chromebook, $299 iPhone 12 mini Den bästa NAS:en: Nätverksanslutna lagringsenheter för ditt hem eller företag Säkerhets-TV | Datahantering | CXO | Datacenter