Большинство угроз безопасности, о которых я слышал, возникли из-за ошибки в программном обеспечении (например, все входные данные не проверены должным образом, переполнения стека и т. Д.). Итак, если мы исключим все социальные взломы, все ли угрозы безопасности связаны с ошибками? Другими словами, если бы не было ошибок, не было бы угроз безопасности (опять же, исключая ошибки людей, такие как раскрытие паролей и тому подобное)? Или системы могут быть использованы способами, не вызванными ошибками?
13
Ответы:
Ошибка определяется как программное обеспечение не работает в соответствии со спецификациями. Теперь, если спецификации неисправны, это не программная ошибка. Если тупой клиент требует, чтобы все пароли были трехзначными кодами без льготного периода между ошибочными записями, виновата не программа.
Многие системы имеют «сервисный режим», который может переопределить безопасность, и хотя доступ к нему должен быть безопасным, коды часто просачиваются в открытый доступ.
Достижения в математике ставят под угрозу старые методы криптографии. То, что было надежной безопасностью 30 лет назад, сегодня становится слабым.
Существуют различные способы кражи данных, которые часто упускаются из виду. Радиус действия беспроводной клавиатуры составляет около 2 м из-за крошечных антенн, и отправленный код не зашифрован. Считывание через дорогу с хорошей антенной - это хорошо известный метод.
Иногда компромиссы в области безопасности выполняются с полным осознанием последствий - криптосистемы потребляют энергию и время процессора. Приложения для встроенного мониторинга часто отправляют свои данные в понятном для публики виде, потому что, во-первых, ценность компрометации данных незначительна, а затем дополнительные затраты на внедрение защиты не нужны.
Вся безопасность основана на доверии. Для назначенного администратора не требуется никакой социальной инженерии, чтобы стать мошенником и читать вашу почту.
И, наконец, можно ли считать применение бейсбольной битой по колено социальной техникой?
источник
Могут быть ситуации, когда аппаратные ошибки также вызывают проблемы безопасности. Просто рассмотрите неисправный чип ОЗУ, который самопроизвольно переворачивает бит isAdmin.
Или рассмотрим гипотетическую аппаратную ошибку, когда защита памяти работает не так, как ожидалось, и один процесс может перезаписать память другого процесса, не вызывая прерывания.
Для вашего удовольствия от чтения: компьютерная безопасность под угрозой из-за аппаратного сбоя
источник
Многие угрозы безопасности возникают из-за программных функций, а не ошибок. Множество очень полезных программных функций оказывается полезным для добра или зла, в зависимости только от намерений пользователя.
источник
Рассмотрим распределенную атаку отказа в обслуживании (DDOS). Это может быть угрозой безопасности, но не из-за программной ошибки, а из-за того, что злоумышленник выходит за пределы того, для чего предназначена система. И каждая система имеет предел.
Итак, ответ на ваш вопрос: нет, не все угрозы безопасности возникают из-за программных ошибок.
источник
Социальная инженерия.
Когда хакер получил имя пользователя / пароль, он может безопасно устанавливать трояны и т. Д.
Социальная инженерия может быть применена несколькими способами, и использование ее для обхода безопасности является одним из них.
источник
Как насчет чего-то вроде Firesheep , аддона Firefox, который ворует файлы cookie, передаваемые в общей беспроводной сети?
Вы можете утверждать, что уязвимость к таким атакам является ошибкой, но вы также можете поспорить с ней. Веб-сайт мало что может сделать, чтобы избежать компрометации пользователей, кроме как просто запустить все коммуникации через HTTPS - можете ли вы сказать, что принимать сообщения HTTP на вашем сайте - это ошибка?
источник
Да, поскольку сбой в безопасности программного обеспечения - независимо от ближайшего причины - неспособность программного обеспечения выполнить его требования.
Я принимаю, что это просто тавтология, но это мера этого.
источник