خطرناک‌ترین آسیب‌پذیری‌های سخت‌افزاری معرفی شدند

کمیته رکن چهارم – به‌تازگی MITRE، فهرستی متشکل از متداول‌ترین و حیاتی‌ترین خطاهایی که به آسیب‌پذیری‌های سخت‌افزاری جدی منجر می‌شود به اشتراک گذاشته است.

مؤسسه MITER، فهرستی از ۱۲ ضعف امنیتی را با همکاری Hardware CWE Special Internet Group – به اختصار SIG تهیه و منتشر کرده است. انجمن SIG، متشکل از افرادی در حوزه‌های طراحی سخت‌افزار، تولید، تحقیق و توسعه و امنیت و همچنین دانشگاه‌ها است.

در فهرست مذکور، ضعف‌های سخت‌افزاری با کمک کارشناسان و متخصصان آگاه در این زمینه گردآوری شده است.
این آسیب‌پذیری‌ها در کدهای برنامه‌نویسی، طراحی یا معماری سخت‌افزار وجود دارند. مهاجم اغلب می‌تواند از این ضعف‌ها برای کنترل سیستم آسیب‌پذیر سوءاستفاده و به اطلاعات حساس یا حیاتی دست پیدا کند یا به بروز اختلال در سرویس‌دهی (Denial-of-Service – به اختصار DoS) منجر شود.

این فهرست به‌منظور افزایش آگاهی از ضعف‌های رایج سخت‌افزاری و آموزش برنامه‌نویسان و طراحان در مورد چگونگی حذف خطاهای “حیاتی” (Critical) در طول توسعه محصول ارائه شده است تا از مشکلات امنیتی و آسیب‌پذیری‌های سخت‌افزاری جلوگیری کنند.

علاوه بر آموزش طراحان و برنامه‌نویسان در مورد چگونگی حذف خطاها در طول توسعه محصول، این فهرست می‌تواند به تحلیلگران و مهندسان کمک کند تا از آن در تست و ارزیابی امنیتی محصولات استفاده کنند.

شرکت MITER در ادامه عنوان کرده است که مصرف‌کنندگان سخت‌افزار می‌توانند از این فهرست برای درخواست و تهیه محصولات سخت‌افزاری امن‌تر استفاده کنند.

در نهایت، مدیران ارشد فناوری نیز می‌توانند از این فهرست به‌عنوان معیار سنجش پیشرفت تلاش‌های خود برای ایمن کردن منابع سخت‌افزاری سازمان استفاده و مشخص کنند که منابع را جهت توسعه ابزارهای امنیتی یا فرایندهای خودکار، به‌درستی به کار گرفته‌اند و این‎که آیا در حال کاهش بخش وسیعی از آسیب‌پذیری‌ها هستند یا خیر.

محققان بر این باورند که ترتیب ضعف‌های سخت‌افزاری مندرج در این فهرست اولویتی نسبت به هم ندارند و همه آن‌ها باید مدنظر قرار بگیرند.

فهرست زیر ۱۲ مورد از مهم‌ترین آسیب‌پذیری‌های امنیتی سخت‌افزاری را از میان ۹۶ ضعف سخت‌افزاری موجود نشان می‌دهد:

CWE-۱۱۸۹ Improper Isolation of Shared Resources on System-on-a-Chip (SoC)
CWE-۱۱۹۱ On-Chip Debug and Test Interface With Improper Access Control
CWE-۱۲۳۱ Improper Prevention of Lock Bit Modification
CWE-۱۲۳۳ Security-Sensitive Hardware Controls with Missing Lock Bit Protection
CWE-۱۲۴۰ Use of a Cryptographic Primitive with a Risky Implementation
CWE-۱۲۴۴ Internal Asset Exposed to Unsafe Debug Access Level or State
CWE-۱۲۵۶ Improper Restriction of Software Interfaces to Hardware Features
CWE-۱۲۶۰ Improper Handling of Overlap Between Protected Memory Ranges
CWE-۱۲۷۲ Sensitive Information Uncleared Before Debug/Power State Transition
CWE-۱۲۷۴ Improper Access Control for Volatile Memory Containing Boot Code
CWE-۱۲۷۷ Firmware Not Updateable
CWE-۱۳۰۰ Improper Protection of Physical Side Channels

منبع : افتانا