انتشار فهرست آسیبپذیریهای سختافزاری خطرناک توسط MITRE
[1]MITRE فهرستی از خطرناکترین نقصهای امنیتی که در معماری، طراحی و برنامهنویسی سختافزارها در سال 2021 میلادی گزارش شدهاند را منتشر کرد. این ضعفهای امنیتی منجر به ایجاد آسیبپذیریهای قابل بهرهبرداری توسط مهاجمان شده و سیستمها را در برابر حملات سایبری آسیبپذیر میکنند.
فهرست ارایه شده، نتیجه همکاریهای صورت گرفته بین مؤسسه غیرانتفاعی MITRE با نمایندگان شرکتهای فعال در حوزه امنیت، پژوهش، طراحی و تولید سختافزار است.
فهرست نقاط ضعف سختافزاری
هدف اصلی گزارش مهمترین نقاط ضعف سختافزاری CWE 2021، ایجاد آگاهی نسبت به نقطه ضعفهای متداول و رایج سختافزاری است. این اقدام میتواند با ارایه آموزشهای اصولی به برنامهنویسان و طراحان درباره اشتباهات مهم و حیاتیشان در مراحل چرخه حیات توسعه محصولات، به رفع مشکلات امنیتی سختافزارها کمک کند. تحلیلگران امنیتی و کارشناسان آزمون نرمافزارها نیز میتوانند از این فهرست برای ایجاد طرحهای ارزیابی امنیتی استفاده کنند.
فهرستی که در زیر مشاهده میکنید، شامل 10 مورد از مهمترین و نگرانکنندهترین نقاط ضعف امنیتی سختافزارها است:
| CWE-1189 | عدم تفکیک صحیح منابع به اشتراک گذاشته در سیستم، بر روی تراشه |
| CWE-1191 | عدم اعمال کنترل دسترسی مناسب برای رابط کاربری عیبیابی و تست بر روی تراشه |
| CWE-1231 | عدم پیشگیری صحیح و مناسب تغییر بیت قفل |
| CWE-1233 | عدم حفاظت از کنترلهای سختافزاری حساس توسط بیت قفل |
| CWE-1240 | استفاده از الگوریتمهای رمزنگاری ساده و پیادهسازی اشتباه و پرخطر |
| CWE-1244 | قرار گرفتن تجهیزات متصل به اینترنت در وضعیت اشتباه یا سطح دسترسی عیبیابی ناامن |
| CWE-1256 | محدودیتهای نامناسب رابطهای نرمافزاری در برابر امکانات سختافزاری |
| CWE-1260 | عدم مدیریت درست همپوشانی بین محدودههای حفاظت شده توسط حافظه |
| CWE-1272 | عدم پاکسازی اطلاعات حساس، قبل از عیبیابی و تعمیر |
| CWE-1274 | در نظر نگرفتن سازوکار کنترل دسترسی مناسب برای حافظه فرار حاوی کد بوت |
| CWE-1277 | عدم امکان بهروزرسانی میانافزار |
| CWE-1300 | عدم وجود سازوکارهای حفاظتی مناسب برای کانالهای جانبی فیزیکی |
بنا بر گفته MITRE: «مصرفکنندگان سختافزارها میتوانند از این فهرست برای درخواست محصولاتی امنتر از تأمینکنندگان استفاده کنند … مدیران و مدیران ارشد فناوری اطلاعات هم میتوانند از آن به عنوان ابزاری جهت ارزیابی میزان پیشرفت تلاشهایشان برای امنسازی سختافزار و تشخیص حوزههای مناسب در سرمایهگذاری استفاده کرده تا بتوانند فرایندهای خودکارساز یا ابزارهای امنیتی را طراحی و ایجاد کنند که با حذف مشکلات بنیادی، منجر به برطرف کردن طیف وسیعی از آسیبپذیریها میشوند».
[1] یک پایگاه دانش که شامل رویکردهای هکرها برای اجرای حملات سایبری و راهکارهای خصمانه بوده و در دسترس همگان قرار دارد.
[2] Common Weakness Enumeration
منبع: bleepingcomputer
