Non riesco a trovare un CWE adatto per classificare i punti deboli di sicurezza specifici dell'hardware. In particolare, sto cercando un CWE che si applica al power glitching o al clock glitching contro un microcontrollore o un microprocessore.
Esistono CWE adatti a questo caso? Sono a conoscenza delle voci hardware in CAPEC , ma in questo caso ho bisogno in particolare di un CWE.
Penso che la CWE non sia il posto giusto.
Citazione dalle domande frequenti:
A1. What is CWE? What is a "software weakness"?
Targeted at both the development community and the community of security practitioners, Common Weakness Enumeration (CWE™) is a formal list or dictionary of common software weaknesses that can occur in software's architecture, design, code or implementation that can lead to exploitable security vulnerabilities. CWE was created to serve as a common language for describing software security weaknesses; serve as a standard measuring stick for software security tools targeting these weaknesses; and to provide a common baseline standard for weakness identification, mitigation, and prevention efforts.
Non ci sono punti deboli specifici dell'hardware in CWE, perché sono elencate solo le debolezze del software. Dovrai consultare altri database.
Senza conoscere il caso d'uso specifico che hai in mente, sembra che entrambi sarebbero soggetti a debolezze legate al tempo e allo stato:
"Descrizione Riepilogo I punti deboli in questa categoria sono legati alla gestione impropria del tempo e dello stato in un ambiente che supporta il calcolo simultaneo o quasi simultaneo di più sistemi, processi o thread.
Descrizione estesa
Il calcolo distribuito riguarda il tempo e lo stato. Cioè, affinché più di un componente comunichi, lo stato deve essere condiviso e tutto ciò richiede tempo. La maggior parte dei programmatori antropomorfizza il proprio lavoro. Pensano a un filo di controllo che esegue l'intero programma nello stesso modo in cui lo farebbero se dovessero svolgere il lavoro da soli. I computer moderni, tuttavia, passano rapidamente da un'attività all'altra e in sistemi multi-core, multi-CPU o distribuiti, due eventi possono svolgersi esattamente nello stesso momento. I difetti si affrettano a colmare il divario tra il modello del programmatore di come un programma viene eseguito e cosa succede nella realtà. Questi difetti sono correlati a interazioni impreviste tra thread, processi, tempo e informazioni. Queste interazioni avvengono attraverso lo stato condiviso: semafori, variabili, il file system e, fondamentalmente, tutto ciò che può memorizzare informazioni. "
Come nota a margine, DARPA è interessata anche a vulnerabilità specifiche dell'hardware e ha creato un nuovo programma (SSITH) con l'obiettivo di indirizzarli:
Nell'annuncio, chiamano diverse categorie di CWE applicabili all'hardware:
"In cyberjargon, queste classi sono: permessi e privilegi, errori del buffer, gestione delle risorse, perdita di informazioni, errori numerici, errori crittografici e inserimento di codice"
che sembra una strana serie di selezioni, anche se probabilmente potrebbero avere un impatto sull'hardware a un certo livello.
Questa:
può dare qualche lettura interessante sulla classificazione dei problemi relativi all'hardware.
Leggi altre domande sui tag vulnerability-management risk-classification