バックドアを含む可能性が最も低いハードウェアを調達
CPUシリコン(たとえば)がバックドアに精査されていることを理解していますが、コンピューターシステムには、ドライバーやOSの構成に関係なく、所有者に知られていない外部に「データを漏らす」可能性のある側面があります。
CPUシリコンバックドア、Bluetoothまたはwifiハードウェアベースの脆弱性などのハードウェアベースのエクスプロイト、またはマザーボードまたは接続されているデバイスのBIOSのハッキングから自分自身を保護する方法に関するアドバイスを探しています。
ハードウェアハックのいくつかの例には、
- ファームウェアが変更されたハードドライブ(例:IRATEMONK)
- ジャンパーピンを設定して目立たない機能を有効にする
- 文書化されていないキーボードシーケンス(control-alt-delete以外)でBIOSパスワードをバイパスする
マジックパケットが見られると「ウェイクアップ」するBluetoothレシーバー
条件が適用されたときにデータをNVRAMに記録する統合カメラとマイク
特定の場所にいると目を覚ますGPSレシーバー。
質問
ハードウェアと ファームウェア の観点から安全なハードウェア(コンピューター、ネットワーク機器、 電源装置 など)を購入するには、どのガイドラインに従う必要がありますか? (OSレベルの前)
私が探している答えは、法律上/契約上のどちらか、または本質的に技術的なものである可能性があります。
あなたの質問は、意図的に作成されたバックドアを含むハードウェアが含まれないようにすることに関するものですが、防止に加えて、検出、緩和、および応答を検討することをお勧めします。
ハードウェアバックドアの作成と検出には、さまざまなレベルの高度化があります。したがって、意図的なハードウェアの脆弱性を検出するための専門知識のレベルを理解する必要があります。最初に、設計分析を行うことをお勧めします。一般的なアーキテクチャは、理にかなっていて、よく知っている必要があります。真のハードウェア設計は非常にまれです。したがって、同様のコンポーネントについて、以前のリビジョンや他のデザインから逸脱しているデザインのコンポーネントを探します。
独自のハードウェアセキュリティテストを実行します。システムのセキュリティ設計を使用して、特定のハードウェアのテストを作成し、目的のシステムのセキュリティモデルに合格するか失敗するかを判断します。
ハードウェアのセキュリティ問題の軽減には、できるだけ多くのハードウェアを信頼できないものとして扱い、システムの安全な運用に重要なハードウェアへの信頼のみを投資するなどの戦略が含まれます。
会社や個人による被害が公正に裁定される可能性がある管轄区域で信頼できる人とのみ取引を行ってください。
数年前にクライアントにキットを持ち込んだとき、まさにこの問題がありました。当時、私たちの想定では、非常に厄介なものは次のようなものでした。
- 力が必要
- すべてのデバイスではなく、ごく一部のデバイスのみが影響を受ける合理的な確率があります。
- ソフトウエアベースのグッズインテストでは、ハードウェア攻撃が必ずしも受け入れられるとは限らないという期待。
社内のエンジニアにふたを開けて、標準の問題のキットと実際に異なるものや実際にそこにあるものがないかどうかを確認するだけでも、脅威モデルを満たすために購入テスト計画を作成する価値があります。電源またはオンボードUSB、ディスク電源へのリンクの任意の兆候です。この戦略に役立つ「標準の問題」キットを試して購入してください。
さて、それは非常に高度な攻撃からは保護されないことを理解していますが、脅威モデルが極端でない限り、チップレベルでのチェックに労力を費やすビジネスケースを正当化することは困難です。
一部の場所では、使用前に1か月ほどキット(およびソフトウェア)に検疫を課しています。これは、0日のハードウェア攻撃から保護するのに役立ちました(他の誰かが最初に気付く可能性があります)。
購入するキットによっては機能するソフトウェアベースのチェックがあります。例えばサーバーキットの場合-サーバー内の管理カードを入手して、見つかったすべてのハードウェアについてレポートし、これをCMDBに追加して、スクリプト/レポートを使用して、奇妙な構成を確認します。