El software puede ser auditado, ¿hay un equivalente para el hardware?

7

En el software, la auditoría de código se puede utilizar como un medio para ganar confianza en un software. Por supuesto cerrado, el software propietario complicaría esto y requeriría hacer ingeniería inversa. De todos modos, parece que hay una manera para que el software elimine la desconfianza en cierta medida.

Los eventos recientes han demostrado una vez más que los componentes de hardware en las computadoras se han convertido en un poderoso vector de ataque. De hecho, el ataque DMA es problemático y puede estar dentro de los siguientes componentes de hardware: discos duros y SSD, PCI, dispositivos USB cuando pueden comprometer el controlador host USB. Por supuesto, las propias CPU y los microcontroladores laterales, por ejemplo. Intel vPro / AMT / ME también puede ser backdoored (desde un diseño de perspectiva de IC).

Siempre que la tecnología utilizada en la fabricación del IC parezca dudoso que se pueda "examinar el hardware" de una manera que corresponda a la auditoría del código y, al menos, a la ingeniería inversa del software.

¿Existen algunas mejores prácticas desarrolladas para auditar el hardware en cierta medida contra las puertas traseras maliciosas?

La forma actual que he encontrado para mitigar el riesgo del hardware es conectándolos con componentes de airgaping o configurándolos con puentes de hardware, lo que proporciona algún tipo de aislamiento. Obviamente, esto es exactamente lo contrario de lo que un circuito integrado o un SoC (Sistema en Chip) están concebidos para.

    
pregunta humanityANDpeace 29.03.2015 - 15:12
fuente

2 respuestas

1

La auditoría de software es más fácil ya que el código se realiza principalmente en plataformas estándar, mientras que HW tiene al menos dos componentes: SW (firmware) y componentes electrónicos, que a veces son de propiedad y están sujetos a las leyes de patentes.

La ingeniería inversa también es posible con un firmware HW, sin embargo, debe comprender a fondo cómo funcionan los componentes electrónicos y qué tipo de vulnerabilidades tienen (o podrían tener) desde un componente así como desde la perspectiva de todo el sistema.

CC - Common Criteria aborda esta inquietud asegurando que una solución (HW y SW) está entregando lo que es Se supone que (desde una perspectiva de seguridad). Incluso tienen un nivel de clasificación de seguridad. Sin embargo, el proveedor debe mencionar explícitamente contra qué vulnerabilidades tienen protección en su lugar.

    
respondido por el user69377 11.08.2015 - 15:46
fuente
1

En la charla Milking the Digital Cash Cow , el presentador analiza las diferencias entre el criptoanálisis de software y hardware a partir de aproximadamente 9 minutos en el prezo - enlace

Es interesante pensar que los ataques de canal lateral basados en hardware también pueden aplicarse al software, pero es aún más interesante pensar que las técnicas clásicas de inyección de fallas de software también pueden funcionar en hardware.

    
respondido por el atdre 10.09.2015 - 19:29
fuente

Lea otras preguntas en las etiquetas