Parece que no puedo encontrar un CWE adecuado para clasificar las debilidades de seguridad específicas del hardware. En particular, estoy buscando un CWE que se aplique a la falla de energía o la falla del reloj contra un microcontrolador o microprocesador.
¿Hay algún CWE adecuado para este caso? Soy consciente de las entradas de hardware en CAPEC , pero específicamente necesito un CWE en este caso.
Creo que el CWE no es el lugar correcto.
Cita de las preguntas frecuentes:
A1. ¿Qué es CWE? ¿Qué es una "debilidad del software"?
Dirigido tanto a la comunidad de desarrollo como a la comunidad de profesionales de la seguridad, Common Weakness Enumeration (CWE ™) es una lista formal o diccionario de debilidades de software comunes que pueden ocurrir en la arquitectura, diseño, código o implementación del software que puede conducir a vulnerabilidades de seguridad explotables . CWE se creó para servir como un lenguaje común para describir las debilidades de seguridad del software ; servir como una vara de medición estándar para herramientas de seguridad de software dirigidas a estas debilidades; y para proporcionar un estándar de referencia común para los esfuerzos de identificación, mitigación y prevención de debilidades.
No hay debilidades específicas del hardware en CWE, porque solo se enumeran las debilidades del software. Tendrás que consultar otras bases de datos.
Sin saber el caso de uso específico que tiene en mente, parece que ambos caerían en debilidades relacionadas con el tiempo y el estado:
"Resumen de descripción Las debilidades en esta categoría están relacionadas con la administración incorrecta del tiempo y el estado en un entorno que admite el cómputo simultáneo o casi simultáneo de múltiples sistemas, procesos o subprocesos.
Descripción ampliada
El cálculo distribuido es sobre el tiempo y el estado. Es decir, para que más de un componente se comunique, el estado debe compartirse y todo eso lleva su tiempo. La mayoría de los programadores antropomorfizan su trabajo. Piensan en un hilo de control que lleva a cabo todo el programa de la misma manera que lo harían si tuvieran que hacer el trabajo ellos mismos. Sin embargo, las computadoras modernas cambian entre las tareas muy rápidamente, y en sistemas multi-core, multi-CPU o distribuidos, dos eventos pueden ocurrir exactamente al mismo tiempo. Los defectos se apresuran a llenar el vacío entre el modelo del programador de cómo se ejecuta un programa y lo que sucede en la realidad. Estos defectos están relacionados con interacciones inesperadas entre subprocesos, procesos, tiempo e información. Estas interacciones ocurren a través del estado compartido: semáforos, variables, el sistema de archivos y, básicamente, cualquier cosa que pueda almacenar información ".
Como nota al margen, DARPA también está interesada en las vulnerabilidades específicas del hardware y ha creado un nuevo programa (SSITH) con el objetivo de abordarlas:
En el anuncio, mencionan varias categorías de CWE que son aplicables al hardware:
"En cyberjargon, estas clases son: permisos y privilegios, errores de búfer, administración de recursos, fuga de información, errores numéricos, errores criptográficos e inyección de código"
que parece un conjunto extraño de selecciones, aunque todas podrían ser impactantes en el hardware en algún nivel.
Esto:
también puede hacer una lectura interesante sobre la clasificación de problemas relacionados con el hardware.
Lea otras preguntas en las etiquetas vulnerability-management risk-classification