solidot新版网站常见问题,请点击这里查看。
消息
本文已被查看 3881 次
美国政府严重警告固件安全是“单点故障”的高风险区域
HardenedVault 写道 "美国政府发出最高级呼吁人们注意固件供应链中的主要弱点,并警告说,操作系统下方的这一层会带来毁灭性风险,美国国土安全部(DHS)和商务部领导层发布的一份新的联合草案报告称,固件为恶意攻击者颠覆现代计算的核心提供了“一个庞大且不断扩大的攻击面”。“对固件层的保护经常被忽视,但它是设备中的单点故障,是攻击者可以大规模破坏设备的最隐蔽的方法之一。”“攻击者可以破坏操作系统和虚拟机管理程序的可见性,绕过大多数安全系统,于攻击时在网络和设备中长时间隐藏和持久化,并造成不可挽回的损害。”这两个机构在对美国部署的关键IT基础设施的供应链进行了为期一年的评估后表示。固件也可以成为一个有利可图的目标,攻击成本相对较低。在过去几年中,黑客越来越多地针对固件发起毁灭性攻击。这份长达87页的报告(PDF)是为支持拜登关于保护美国供应链的行政命令而发布的,该报告警告说,固件在计算堆栈中的特权地位为隐形攻击者提供了主要优势。尽管它在电子设备中发挥着至关重要的作用,但这些机构坚持认为,固件安全“传统上并不是制造商或用户的高度优先事项,并不总是得到很好的保护。”在评估过程中,这些机构发现网卡,Wi-Fi适配器和USB集线器等项目上的固件通常没有使用公钥或私钥正确签名。平台级系统安全是一个异常复杂的体系,既要保证每个层级在设计和实现过程中考虑安全和其他因素(比如性能,兼容性)的平衡,又必须尽可能的探索出所有的攻击路径并且给出最极端场景下的威胁模型,在这场与复杂性长期博弈涉足多个技术层面和产业生态层面,赛博堡垒的白皮书中对技术层面有一些基本描述,要完整的防护一个单一计算节点,需要从Linux主机加固,Linux内核安全防护,固件安全,芯片安全特性开箱,可信计算/机密计算等多方面组合才能完成,即使在此基础上,把高级威胁防护的计算节点通过分布式邦联化/去中心化的方式扩展到整个网络还需要密码学的支撑。只有在以上前提满足的情况下,才能应对来自操作系统以下层级的已知和未知的威胁。"
