Oprogramowanie sprzętowe: Różnice pomiędzy wersjami

Dodane 5076 bajtów ,  3 miesiące temu
sekcja "zagrożenia" na bazie ang. wiki
(Dodanie dysków twardych do listy urządzeń zawierających oprogramowanie sprzętowe (mają je zarówno dyski HDD, jak i SSD))
(sekcja "zagrożenia" na bazie ang. wiki)
 
 
Do połowy lat 90. aktualizacje oprogramowania układowego przeważnie wiązały się z podmianą [[Pamięć komputerowa|pamięci]] je zawierającej (zwykle były nimi [[Układ scalony|układy scalone]] ROM). Pamięć flash umożliwiała aktualizację bez konieczności fizycznego wyjmowania układów scalonych. Błąd w trakcie procesu aktualizacji mógł permanentnie uszkodzić urządzenie; system jest na to narażony, gdy fragmenty pamięci flash – zawierające oprogramowanie „źródłowe” lub program aktualizujący – zostaną wyjęte i przeprogramowane. Jeżeli proces aktualizacji zostanie gwałtownie przerwany, oprogramowanie może przestać działać prawidłowo i tym samym uruchomienie urządzenia i wznowienie aktualizacji będzie niemożliwe. Aby tego uniknąć, pamięć flash powinna mieć zabezpieczoną sekcję tylko do odczytu, zawierającą oprogramowanie „źródłowe”. Wadą produkcyjną jest to, że oprogramowanie tylko do odczytu nie może być zmodyfikowane i musi być poddane bardzo dokładnym testom.
 
== Zagrożenia ==
Mark Shuttleworth, założyciel firmy [[Canonical]], która utrzymuje dystrybucję Ubuntu, opisał [[Zamknięte oprogramowanie|zamknięte]] oprogramowanie firmowe jako zagrożenie bezpieczeństwa, mówiąc, że „oprogramowanie układowe na twoim urządzeniu jest najlepszym przyjacielem NSA” i nazywa je „koniem trojańskim o monumentalnych proporcjach” . Stwierdził, że niskiej jakości oprogramowanie układowe z zamkniętym źródłem stanowi główne zagrożenie dla bezpieczeństwa systemu:<ref>"Linux Magazine", wydanie 162, Maj 2014, strona 9</ref> „Twoim największym błędem jest założenie, że NSA jest jedyną instytucją nadużywającą tej pozycji zaufania - w rzeczywistości rozsądne jest założenie, że całe oprogramowanie układowe jest źródłem niebezpieczeństwa, na co składa się najwyższy stopień niekompetencji ze strony producentów, a także najwyższy stopień kompetencji z bardzo szerokiej gamy tego typu agencji ”. Jako potencjalne rozwiązanie tego problemu wezwał do deklaratywnego oprogramowania układowego, które opisywałoby „powiązanie sprzętowe i zależności” i „nie powinno zawierać kodu wykonywalnego”.<ref>{{Cytuj stronę | url = http://www.markshuttleworth.com/archives/1332 | tytuł = ACPI, firmware and your security | autor link = Mark Shuttleworth | data = 17 marca, 2014 | język = en | archiwum = https://web.archive.org/web/20150315054919/http://markshuttleworth.com/archives/1332 | zarchiwizowano = 15 marca, 2015 }}</ref>Oprogramowanie układowe powinno być oprogramowaniem typu open source, aby można było sprawdzić i zweryfikować kod.
 
Niestandardowe włamania do oprogramowania układowego koncentrowały się również na wstrzykiwaniu złośliwego oprogramowania do urządzeń takich jak smartfony lub urządzenia USB. Jedna operacja tego typu na smartfonie z systemem operacyjnym [[Symbian]] została zademonstrowana podczas konferencji hakerów Malcon.<ref>{{Cytuj stronę | url = http://www.malcon.org | tytuł = We will be back soon! | opublikowany = Malcon.org | język = en | archiwum = https://web.archive.org/web/20130526164938/http://www.malcon.org/ | zarchiwizowano = 2013-05-26 }}
</ref><ref>{{Cytuj stronę | url = http://www.h-online.com/security/news/item/Hacker-plants-back-door-in-Symbian-firmware-1149926.html | tytuł = Hacker plants back door in Symbian firmware | data = 2010-12-08 | opublikowany = H-online.com | język = en | archiwum = https://web.archive.org/web/20130521142131/http://www.h-online.com/security/news/item/Hacker-plants-back-door-in-Symbian-firmware-1149926.html | zarchiwizowano = 21 maja 2013 }}
</ref>
Podczas konferencji Black Hat USA w roku 2014 zaprezentowano włamanie do oprogramowania urządzenia USB o nazwie BadUSB<ref>{{Cytuj stronę | url = https://www.wired.com/2014/07/usb-security/ | tytuł = Why the Security of USB Is Fundamentally Broken | data = 2014-07-31 | język = en | archiwum = https://web.archive.org/web/20140803200841/http://www.wired.com/2014/07/usb-security/ | zarchiwizowano = 2014-08-03 }}
</ref>
pokazując, jak można przeprogramować mikrokontroler pamięci USB, dzięki czemu można "oszukać" różnego rodzaju urządzenia w celu przejęcia kontroli nad komputerem, eksfiltrowania danych lub szpiegowania użytkownika.<ref>{{Cytuj stronę | url = https://www.blackhat.com/us-14/briefings.html#badusb-on-accessories-that-turn-evil | tytuł = BadUSB - On Accessories that Turn Evil | opublikowany = BlackHat.com | język = en | archiwum = https://web.archive.org/web/20140808053344/https://www.blackhat.com/us-14/briefings.html#badusb-on-accessories-that-turn-evil | zarchiwizowano = 2014-08-08 }}
</ref><ref>{{Cytuj stronę | url = https://srlabs.de/wp-content/uploads/2014/07/SRLabs-BadUSB-BlackHat-v1.pdf | tytuł = BadUSB – On accessories that turn evil | autor2 = Sascha Krißler | autor3 = Jakob Lell | data = 2014-08-07 | język = en | archiwum = https://web.archive.org/web/20161019034729/https://srlabs.de/wp-content/uploads/2014/07/SRLabs-BadUSB-BlackHat-v1.pdf | zarchiwizowano = 2016-10-19 }}
</ref>
Pozostałe osoby badające kwestie bezpieczeństwa pracowały dalej nad sposobem wykorzystania zasad działania BadUSB,<ref>{{Cytuj stronę | url = http://hackingpost.com/badusb-malware-infect-millions-of-usb/ | tytuł = BadUSB Malware Released - Infect millions of USB Drives | język = en | archiwum = https://web.archive.org/web/20141006121457/http://hackingpost.com/badusb-malware-infect-millions-of-usb/ | zarchiwizowano = 6 października 2014 }}
</ref> wydając jednocześnie kod źródłowy w postaci narzędzi hakerskich, których można użyć do modyfikacji zachowania różnych urządzeń USB.<ref>{{Cytuj stronę | url = https://www.wired.com/2014/10/code-published-for-unfixable-usb-attack/ | tytuł = The Unpatchable Malware That Infects USBs Is Now on the Loose | język = en | archiwum = https://web.archive.org/web/20141007092141/http://www.wired.com/2014/10/code-published-for-unfixable-usb-attack/ | zarchiwizowano = 7 października 2014 }}
</ref>
 
== Przykłady urządzeń z oprogramowaniem sprzętowym ==