Чи погрози безпеці викликані помилками програмного забезпечення?

Більшість загроз безпеці, про які я чув, виникали через помилку в програмному забезпеченні (наприклад, весь ввід не перевірено належним чином, переповнення стека тощо). Тож якщо ми виключимо всі соціальні злому, чи всі загрози безпеці через помилки? Іншими словами, якби не було помилок, чи не було б загроз безпеці (знову ж таки, виключаючи помилки людей, такі як розкриття паролів і таке інше)? Чи можна експлуатувати системи способами, які не викликають помилок?

Помилка визначається як програмне забезпечення, яке не працює до специфікацій. Тепер, якщо технічні характеристики несправні, це не програмна помилка. Якщо німий клієнт вимагає, щоб усі паролі мали бути тризначними кодами без пільгового періоду між помилковими записами, це не винне програмне забезпечення.

У багатьох системах є "режим обслуговування", який може перекрити захист, і хоча доступ до нього повинен бути захищеним, коди часто просочуються до загального користування.

Успіхи математики ставлять під загрозу старі методи криптографії. Щось, що було життєздатним забезпеченням 30 років тому, стає слабким сьогодні.

Існують різні методи крадіжки даних, які часто не помічаються. Бездротова клавіатура має діапазон близько 2 м, завдяки крихітним антенам, а надісланий код незашифрований. Читання його з усієї вулиці з хорошою антеною - добре відомий метод.

Іноді компроміси з безпекою здійснюються з повним усвідомленням наслідків - криптосистеми займають потужність і час процесора. Вбудовані програми моніторингу часто надсилають свої дані таким чином, щоб вони були легко зрозумілими для громадськості, оскільки спочатку значення компрометації даних незначні, а потім зайві витрати на впровадження безпеки не потрібні.

Вся безпека базується на довірі. Для призначеного адміністратора не потрібна соціальна інженерія, щоб переслідувати та читати вашу пошту.

Зрештою, чи можна вважати застосування бейсбольної бити на коліні соціальною технікою?

Можуть бути ситуації, коли апаратні помилки також викликають проблеми із безпекою. Подумайте лише про несправний чіп оперативної пам'яті, який спонтанно перевертає біт "isAdmin".

Або розгляньте гіпотетичну технічну помилку, коли захист пам’яті не працює так, як очікувалося, і один процес може замінити пам'ять іншого процесу, не викликаючи переривання.

Для вашого задоволення від читання: безпека комп’ютера порушена апаратним збоєм

Багато функцій загрози безпеці виникають через функції програмного забезпечення, а не помилки. Багато корисних функцій програмного забезпечення, як виявляється, мають користь для добра чи зла, залежно лише від наміру користувача.

Розглянемо розподілену атаку відмови в службі (DDOS). Це може становити загрозу безпеці, але це спричинено не програмною помилкою, а зловмисником, який переходить межі того, для чого система була розроблена. І у кожної системи є обмеження.

Тож відповідь на ваше запитання: ні, не всі загрози безпеці викликаються помилками програмного забезпечення.

Соціальна інженерія.

Привіт, я XX із відділу інформатики. Наразі ваш комп’ютер поширює віруси на інші офісні комп'ютери. Мені потрібні ваше ім’я користувача та пароль, щоб мати можливість їх видалити.

Коли хакер отримає ім'я користувача / пароль, він може сміливо встановлювати трояни тощо.

Соціальну інженерію можна застосовувати декількома способами, і використання її для обходу безпеки - це одне.

Як щодо чогось на зразок Firesheep , додатку Firefox, який краде файли cookie, що передаються у спільній бездротовій мережі?

Ви можете стверджувати, що вразливість до таких атак є помилкою, але ви також можете сперечатися проти цього. Не дуже багато веб-сайту може зробити, щоб уникнути компрометації користувачів, крім того, щоб просто не здійснювати всі комунікації через HTTPS - чи можете ви сказати, що помилка приймати HTTP-комунікації на ваш веб-сайт?

Так, якщо збою в захисті програмного забезпечення є - незалежно від безпосередньої причини - невиконання програмним забезпеченням своїх вимог.

Я приймаю, що це лише тавтологія, але це міра її.