如何减少使用新的第三方进口电子配件的风险？

Question

作为一个天生善于识别风险并努力维护整体安全观的人，我想知道如何评估和降低硬件附件(即充电插件、雷电电缆)的风险，特别是从主要设备(即苹果)生产以外的公司进口的外围设备或通用设备。

显然，当您使用第三方硬件时，它们包含物理或数字间谍软件的风险很小。这是真实的100%的时候，除非你自己建造硬件。美国知名制造商和外国制造商都有实体间谍软件和数字间谍软件的案例。

它通常是安全的订购电子配件，如iPhone充电器直接从制造商，风险增加时，使用第三方和进一步与转卖商。

我不知道使用第三方iPhone充电器的风险有多大，但如果你是认真对待安全问题的话，你至少应该认识到它的危险性，因为它可以物理访问你的手机，并有可能访问你的电脑和整个网络。显而易见的风险是，它可能会安装rootkit，我相信还会有更多。

使用第三方电子配件的风险是什么?我们如何减轻它们？

Answer 1

购买受损硬件来监视普通用户的风险被严重高估了。几个数量级。全世界绝大多数的人身安全都会死掉，才能在他的手上看到这样的东西。比起那些被闪电击中的人，更多的人会死于闪电。

首先，妥协硬件是昂贵的。增加额外的设备来监视你，同时保持所有的原始功能需要时间，技能和资源，所以它的创建者不会把装满妥协闪电电缆的箱子在Aliexpress上卖给每个人。

第二:功绩是宝贵的。非常宝贵，任何开发的价值每使用一次就会减少。如果有人滥用该漏洞并使用大量受损的硬件，安全解决方案将开始检测和警告用户，从长远来看，这一妥协将变得无效。

第三:有更简单的方法。有很多更便宜和更有效的方法来破坏我们的系统，所以硬件修改是如此之少，以至于我们可以首先关注所有其他的方法:钓鱼、洞浇水、驱动下载、DNS操作、易受攻击的固件等等。这些攻击要便宜得多，也更有效。

如何减少这些风险？不要购买明显的假冒硬件，或者便宜得多的版本，保持安全系统的更新，并照顾连接到网络的外部设备:平板电脑、手机等等。普通的日常安全建议。

Answer 2

使用第三方电子配件的风险是什么?我们如何减轻它们？

不要太古怪，也不鼓励大家一起回避。我建议在可能的情况下使用开源第三方解决方案。现在，在这里必须采取某些预防措施，因为操作系统可能决定自动管理第三方配件固件。如果像这样部署更新，则必须执行校验和验证，但这是不太理想的情况，因此我将在此结束。固件更新应该由您手动管理，如果可以使用开源解决方案，则可以在将代码部署到设备上之前检查和评估代码。

与第三方软件组件相关的风险讨论了以下几点：

• 是否可以将代码放在开发或测试环境中，并在其投入生产之前检查其安全性缺陷？
• CVE字典或利用漏洞数据库中是否列出了任何漏洞？
• 一旦第三方模块就位，你能测试它们吗？如果发现安全漏洞，您有什么追索权？
• 如果某物被利用，最坏的情况是什么？哪些敏感信息(如果有的话)可以公开？哪些系统可以脱机？

黑客如何发现封闭源代码操作系统中的漏洞？可以让我们深入了解我们如何发现以前没有披露过的漏洞。减轻风险的另一点是承认“最糟糕的情况是什么？”许多人犯了这个错误，试图使一个系统无法穿透，但却不知道如何处理安全漏洞。如何处理受威胁的服务器？给了我广泛的洞察力，让我了解了如何以不同的方式来处理受威胁的系统，并且根据威胁模型(审计基础设施的安全性)设计了行动计划。

为系统何时被破坏做准备从来都不是愉快的事情，但是对于长期的OpSec来说，提前做好准备要好得多。当数据库泄漏发生时，经常会看到通信和威胁模型规划不善，而这种情况是通过SQL注入发生的。