Tüm güvenlik tehditleri yazılım hataları tarafından tetikleniyor mu?

Duyduğum çoğu güvenlik tehdidi, yazılımdaki bir hata nedeniyle ortaya çıkmıştır (örneğin, tüm girdiler düzgün bir şekilde kontrol edilmemiştir, yığın taşmaları vb.). Peki, tüm sosyal saldırıları hariç tutarsak, tüm güvenlik tehditleri hatalardan mı kaynaklanıyor? Başka bir deyişle, herhangi bir hata olmasaydı, güvenlik tehdidi olmaz mıydı (yine, şifreleri ifşa etmek gibi insanların hataları hariç)? Veya sistemlerde hataların neden olmadığı yollardan yararlanılabilir mi?

Hata, teknik özelliklere kadar çalışmayan yazılım olarak tanımlanır. Teknik özellikler hatalıysa, bu bir yazılım hatası değildir. Aptal bir müşteri tüm şifrelerin, hatalı girişler arasında yetkisiz kullanım süresi olmayan üç haneli kodlar olmasını talep ederse, suçlanacak yazılım değildir.

Birçok sistem, güvenliği geçersiz kılabilen "hizmet modu" na sahiptir ve buna erişim güvenli olsa da, kodlar genellikle halka sızar.

Matematikteki ilerlemeler eski şifreleme yöntemlerini tehlikeye atar. 30 yıl önce güvenli bir şey bugünlerde zayıflıyor.

Genellikle gözden kaçan çeşitli veri hırsızlığı yöntemleri vardır. Kablosuz klavye, küçük antenler nedeniyle yaklaşık 2m menzile sahiptir ve gönderilen kod şifrelenmez. İyi bir antenle caddenin karşısında okumak iyi bilinen bir yöntemdir.

Bazen güvenlik ödünleşimleri sonuçların tam farkında olarak yapılır - kripto sistemleri güç ve CPU zamanı alır. Gömülü izleme uygulamaları genellikle verilerini kamuya açık bir şekilde okunabilir bir şekilde gönderir, çünkü ilk olarak, verilerin tehlikeye atılması değeri göz ardı edilebilir ve daha sonra güvenliğin uygulanmasının ekstra maliyeti gereksizdir.

Tüm güvenlik güvene dayalıdır. Atanan yöneticinin hileli olması ve postanızı okuması sosyal mühendislik gerektirmez.

Ve sonunda, bir diz için beysbol sopası uygulamak sosyal bir teknik olarak düşünülebilir mi?

Donanım hatalarının güvenlik sorunlarına da neden olduğu durumlar olabilir. Sadece kendiliğinden "isAdmin" bitini çeviren hatalı bir RAM yongasını düşünün.

Veya bellek korumasının beklendiği gibi çalışmadığı ve bir işlemin bir kesintiyi tetiklemeden başka bir işlemin belleğinin üzerine yazabileceği varsayımsal bir donanım hatasını düşünün.

Okuma keyfiniz için: Donanım arızasından etkilenen bilgisayar güvenliği

Birçok güvenlik tehdidi hatalardan değil yazılım özelliklerinden kaynaklanır. Çok sayıda kullanışlı yazılım özelliği, yalnızca kullanıcının amacına bağlı olarak iyi veya kötü kullanımları olduğu ortaya çıkar.

Dağıtılmış bir hizmet reddi saldırısını (DDOS) düşünün. Bu bir güvenlik riski olabilir, ancak bir yazılım hatasından değil, bir saldırganın sistemin ne için tasarlandığının sınırlarını aşmasından kaynaklanır. Ve her sistemin bir sınırı vardır.

Yani sorunuzun cevabı: hayır, tüm güvenlik tehditleri yazılım hataları tarafından tetiklenmiyor.

Sosyal mühendislik.

Merhaba, ben BT departmanından XX. Bilgisayarınız şu anda diğer ofis bilgisayarlarına virüs yayıyor. Kaldırmak için kullanıcı adınıza ve şifrenize ihtiyacım var.

Bilgisayar korsanı kullanıcı adını / şifreyi aldığında truva atlarını vb. Güvenle yükleyebilir.

Sosyal mühendislik çeşitli şekillerde uygulanabilir ve güvenliğin önüne geçmek için kullanılır.

Paylaşılan bir kablosuz ağda iletilen çerezleri çalan Firefox eklentisi Firesheep gibi bir şeye ne dersiniz ?

Bu tür saldırılara karşı savunmasızlığın bir hata olduğunu iddia edebilirsiniz, ancak buna karşı da tartışabilirsiniz. Bir web sitesinin, kullanıcıların yalnızca HTTPS üzerinden tüm iletişimleri yürütmek dışında tehlikeye atılmasını önlemek için yapabileceği çok şey yoktur - web sitenizdeki HTTP iletişimini kabul etmenin bir hata olduğunu söyleyebilir misiniz?

Evet, yazılımın güvenliğindeki bir başarısızlık - en yakın sebep ne olursa olsun - yazılımın gereksinimlerini karşılamamasıdır.

Bunun sadece bir totoloji olduğunu kabul ediyorum, ama bunun ölçüsü.