انتشار شده در تاریخ 1396/05/09 - 07:58

بلک‌هت 2017؛ سفت افزارها باید از منابع معتبر دریافت شوند

کارشناسان امنیتی هشدار دادند کاربران باید نسبت به دریافت بروزرسانی‌های سفت افزارها از منابع معتبر حساس باشند تا مورد حمله قرار نگیرند.

به گزارش کارگروه امنیت سایبربان؛ دستگاه‌های تعبیه شده سطح خیابان‌ها در حال گسترش هستند. هر کدام از این ابزارها دارای سیستم‌عامل، رابط سخت‌افزاری، برنامه‌های کاربردی و سفت افزار[fn]ثابت‌افزار یا سفت‌افزار، در الکترونیک و رایانه، اغلب به برنامه‌های تقریباً ثابت و نسبتاً کوچک و یا ساختمان‌های داده‌ای که درون سخت‌افزار انواع دستگاه‌های الکترونیک است، گفته می‌شود.[/fn] (Firmware) هستند.
در اجلاس بلک‌هت سال 2017 نشان داده شد، اگر مجرم سفت افزار را فریب بدهد، کنترل تمام سامانه را به دست خواهد گرفت.
اخیراً از ابزارهای یاد شده برای انجام تمام انواع حملات استفاده شده است. برای نمونه می‌توان به حملات بات‌نت‌ها، تغییر مسیر و تقویتی[fn]حمله تقویتی، نوعی حمله‌ی اختلال سرویس توزیع شده است.[/fn] اشاره کرد.
با توجه به این که بیشتر فروشندگان به خصوص فروشندگان اینترنت اشیا، رویکرد شلیک و فراموشی (fire and forget) را در پیش گرفته‌اند، در بهترین حالت چرخه‌ی تولید وصله‌های آسیب‌پذیری در آن وجود ندارد.
هکرها بسته‌های بروزرسانی‌های سفت افزاری مختلفی را برای ابزارهای گوناگون آماده کرده و کدهای مخربی را درون آن قرار می‌دهند و به محض این که کاربر آن‌ها را دریافت کند، هک می‌شود.
هم‌اکنون ابزارهایی وجود دارند که صحت سفت افزارهای دریافت شده را تأیید می‌کنند؛ اما اغلب آن‌ها مخصوص متخصصان حوزه‌ی فناوری اطلاعات هستند، نه میلیون‌ها نفری که تنها در دریافت محتوای موردنظر از وبگاه‌های مختلف به نتایج جستجو تکیه می‌کنند.
بر اساس برخی آمارهای اعلام شده 99 درصد کاربران در زمان دریافت سفت افزار به تاییده‌ی آن از سوی ارائه‌دهنده توجهی نمی‌کنند.
سفت افزارها باعث عملکرد صحیح همه‌ی ابزارها می‌شوند و مواردی مانند امنیت خانگی، هشدارها و دوربین‌های امنیتی به آن وابسته هستند. بنابراین نه‌تنها باید صحت قانونی بودن آن بررسی بشود؛ بلکه باید این کار برای تمامی دستگاه‌های جدید نیز انجام بشود. متأسفانه انجام چنین کاری عملی نیست.
کارشناسان توصیه کردند زمانی که یک فرد در مورد مسائل امنیتی درخواست مشاوره کرد، در قدم اول بهترین کار پیشنهاد بروز نگاه‌داشتن سفت افزار و آموزش نحوه‌ی صحیح انجام این کار به وی است. در گام بعد باید این افراد را متقاعد کرد تا تنها از وبگاه فروشنده اقدام به دریافت محتوای موردنظر بکنند؛ زیرا در حال حاضر وبگاه‌های دانلود بسیاری وجود دارند که هرز افزارهایی[fn]هرز افزار به هر بدافزار یا نرم افزار ناخواسته ای گفته می شود که در بیشتر رایانه های شخصی وجود داشته و در بسیاری از موارد به صورت پیش فرض توسط تولید کنندگان در دستگاه ها قرار می گیرد.[/fn] (Junkware) را در محتوای موردنظر جایگذاری کرده‌اند. مجرم‌ها با استفاده از روش‌های بهینه‌سازی جستجو، معمولاً کاری می‌کنند که این بسترها در رتبه‌های بالاتری از فروشندگان قانونی به نمایش در بیایند.
بیشتر افراد ممکن است هرگز برنامه‌نویسی را یاد نگرفته و تفاوت بین بیت و بایت را متوجه نشوند؛ اما آن‌ها نیاز به تأمین امنیت سفت افزار خود خواهند داشت.
در اجلاس بلک‌هت ابزارهای جدیدی برای نفوذ به سفت افزار به نمایش گذاشته شد. هر چه این ابزارهای بیشتر در دسترس قرار بگیرند و در ابزارهای تازه آموزش ببیند، تأثیرگذاری آن‌ها بیشتر خواهد شد.
از آنجایی که بیشتر سفت افزارها به عنوان پایه از یک سیستم‌عامل نسبتاً پایدار استفاده می‌کنند، اگر یک آسیب‌پذیری در بخش اصلی آن نفوذ بکند، تمام پشته‌ی سفت افزار ناپایدار خواهد شد.
البته در حال حاضر شرکت‌های نیز وجود دارند که به صورت پیوسته سعی دارند از طریق روش‌های مختلفی مانند تعبیه‌ی نوعی امضا، صحت وصله‌های منتشر شده را تأیید کنند. این یک اقدام مثبت است و کارشناسان توصیه می‌کنند بهتر است در سطح جهانی صورت بگیرد.