我们大多默默假设韧体 (即系统预载的软体) 是安全的。毕竟它出自制造商之手,在我们首次启动系统之前便已经做好执行准备。我们大多时候反而担心作业系统和应用程式软体的安全性。然而,韧体很容易遭入侵利用,不仅是执行完整堆叠的韧体,也包括提供开机服务和系统管理的平台韧体。如 Wired 写道:「…破坏韧体的攻击者可以秘密握有系统的最高权限,即使进行软体更新也无法夺回权限。」
Wired 这番话是针对 NSA 间谍入侵硬体韧体新闻发布后,简要地总结出韧体的漏洞:「攻击之所以有效,是因为韧体从设计之初便未考虑安全性的问题。硬碟制造商安装在硬碟上的韧体并未如同软体厂商一般采用密码签署。硬碟设计亦未内建验证功能以检查韧体是否签署。这样一来,韧体有可能遭变更。」NSA 控制韧体后,它便能执行其他程式码。
一篇新闻报导了 2017 年初发生的另一事件,一家公司从伺服器供应商下载了一个遭入侵的韧体更新到它的资料中心。不难想像得到,该韧体可能已经将该公司设计实验室的专有技术外泄。为了解决这个风险引发的问题,该公司将部分伺服器退回给供应商并请律师和工程师到供应商那里审查其安全性做法。
...
...
| 另一名雇主 |
限られたニュース |
文章閱讀限制 |
出版品優惠 |
| 一般訪客 |
10/ごとに 30 日間 |
5//ごとに 30 日間 |
付费下载 |
| VIP会员 |
无限制 |
20/ごとに 30 日間 |
付费下载 |
相關作者
相關產業類別
相關關鍵字
相關組織
相關網站單元