Dom > Razstava > Vsebine

Tveganja varnostne programske opreme

Mar 11, 2019

Mark Shuttleworth, ustanovitelj podjetja Canonical, ki vzdržuje distribucijo Ubuntu Linuxa, je opisal lastniško vdelano programsko opremo kot varnostno tveganje, ki pravi, da je "firmware na vaši napravi najboljši prijatelj NSA" in imenuje firmware "trojanski konj monumentalnih razsežnosti". . Trdil je, da je nizkokakovostna zaprta programska oprema velika grožnja za varnost sistema: "Vaša največja napaka je domnevati, da je NSA edina institucija, ki zlorablja to zaupanje - pravzaprav je razumno domnevati, da vsa firmware je gomila negotovosti, ki jo povzročajo nesposobnost najvišje stopnje pri proizvajalcih, in kompetence najvišje stopnje iz zelo širokega spektra takšnih agencij. Kot potencialno rešitev tega problema je zahteval deklarativno firmware, ki bi opisal "povezavo strojne opreme in odvisnosti" in "ne bi smel vsebovati izvršljive kode". Firmware mora biti odprtokoden, tako da se lahko koda preveri in preveri.


Po meri vdelana programska oprema se je osredotočila tudi na vbrizganje zlonamerne programske opreme v naprave, kot so pametni telefoni ali naprave USB. Ena taka injekcija pametnega telefona je bila prikazana na operacijskem sistemu Symbian na MalConu, hakerski konvenciji. Na konferenci Black Hat USA 2014 so predstavili strojno-strojno napravo USB, imenovano BadUSB, ki je pokazala, kako lahko mikrokrmilnik USB pomnilniškega pogona reprogramiramo, da prevara različne druge vrste naprav, da prevzamejo nadzor nad računalnikom, exfiltrate podatke ali vohunijo uporabnika. Drugi raziskovalci na področju varnosti so nadalje delali na tem, kako izkoristiti načela, ki so jih postavili BadUSB, hkrati pa so izdali izvorno kodo hekerskih orodij, ki jih lahko uporabite za spreminjanje obnašanja različnih naprav USB.