Lista contendo as 10 piores falhas de segurança de hardware deve ajudar desenvolvedores, designers e CIOs
A Mitre, uma organização sem fins lucrativos, e a Agência de Segurança de Infraestrutura e Cibersegurança do Departamento de Segurança Interna dos Estados Unidos (CISA) publicaram a lista “2021 Common Weakness Enumeration (CWE) Most Important Hardware Weaknesses”, com as principais vulnerabilidades de hardwares mais importantes.
A lista de hardware 2021 é uma compilação dos erros mais frequentes e críticos que podem levar a vulnerabilidades graves no hardware, segundo a CISA e a Mitre, e um complemento de sua lista anual de 25 pontos fracos de software mais perigosos. Um invasor pode frequentemente explorar essas vulnerabilidades para assumir o controle de um sistema afetado, obter informações confidenciais ou causar uma condição de negação de serviço.
Com a lista, as organizações esperam conscientizar sobre as fraquezas comuns de hardware por meio do CWE e evitar problemas de segurança de hardware na origem, educando designers e programadores sobre como eliminar erros importantes no início do ciclo de vida de desenvolvimento do produto.
“Os analistas de segurança e engenheiros de teste podem usar a lista na preparação de planos para teste e avaliação de segurança. Os consumidores de hardware podem usar a lista para ajudá-los a solicitar produtos de hardware mais seguros de seus fornecedores. Finalmente, os gerentes e CIOs podem usar a lista como uma medida de medição do progresso em seus esforços para proteger seu hardware e determinar para onde direcionar recursos para desenvolver ferramentas de segurança ou processos de automação que mitiguem uma ampla classe de vulnerabilidades, eliminando a causa raiz subjacente”, disseram a Mitre e a CISA.
A lista foi determinada por uma pesquisa da equipe CWE e membros do grupo de interesse especial de hardware e inclui um total de 12 entradas de vulnerabilidades que tiveram uma pontuação de 1,03 a 1,42 (a pontuação mais alta possível foi 2,0).
Ela não está em uma ordem específica, inclui bugs que afetam uma variedade de dispositivos, incluindo smartphones, roteadores Wi-Fi, chips de PC e protocolos criptográficos para proteger segredos de hardware, falhas em áreas de memória protegidas, bit ao estilo Rowhammer – flipping bugs e falhas de atualização de firmware, destaca a publicação do ZDNet.
Uma das falhas listadas (CWE-1231) foi apresentada pelos engenheiros da Intel, refere-se à “prevenção imprópria de modificação do bit de bloqueio” que pode ser introduzida durante o projeto de circuitos integrados.
“Em circuitos integrados e núcleos de propriedade intelectual (IP) de hardware, os controles de configuração do dispositivo são comumente programados após uma reinicialização de energia do dispositivo por um firmware ou módulo de software confiável (por exemplo, BIOS/bootloader) e, em seguida, bloqueados para qualquer modificação posterior”, observa Mitre.
“Esse comportamento é comumente implementado usando um bit de bloqueio confiável. Quando definido, o bit de bloqueio desativa as gravações em um conjunto protegido de registros ou regiões de endereço. Erros de design ou de codificação na implementação do recurso de proteção de bit de bloqueio podem permitir que o bit de bloqueio seja modificado ou limpo pelo software após ter sido definido. Os invasores podem desbloquear o sistema e os recursos que o bit pretende proteger”.
Abaixo está uma breve lista dos mais importantes pontos fracos de hardware listados em ordem numérica por identificador CWE. Esta é uma lista não classificada.
CWE-1189: Isolamento impróprio de recursos compartilhados em System-on-a-Chip (SoC)
CWE-1191: Interface de teste e depuração on-chip com controle de acesso impróprio
CWE-1231: Prevenção imprópria de modificação de bit de bloqueio
CWE-1233: Controles de hardware sensíveis à segurança com proteção de bits de bloqueio ausentes
CWE-1240: Uso de um primitivo criptográfico com uma implementação arriscada
CWE-1244: Ativo interno exposto ao nível ou estado de acesso de depuração inseguro
CWE-1256: Restrição imprópria de interfaces de software para recursos de hardware
CWE-1260: Tratamento impróprio de sobreposição entre intervalos de memória protegidos
CWE-1272: Informações confidenciais não esclarecidas antes da depuração / transição do estado de energia
CWE-1274: Controle de acesso impróprio para memória volátil contendo código de inicialização
CWE-1277: Firmware não atualizável
CWE-1300: Proteção Imprópria de Canais Laterais Físicos
Com informações de ZDNet
