A maioria das ameaças de segurança que ouvi surgiram devido a um erro no software (por exemplo, todas as entradas não são verificadas corretamente quanto à integridade, estouros de pilha, etc.). Portanto, se excluirmos todos os hackers sociais, todas as ameaças à segurança são causadas por bugs? Em outras palavras, se não houvesse bugs, não haveria ameaças à segurança (novamente, excluindo as falhas humanas, como revelar senhas e outras)? Ou os sistemas podem ser explorados de maneiras não causadas por bugs?
13
Respostas:
Um bug é definido como software que não opera de acordo com as especificações. Agora, se as especificações estão com defeito, não é um erro de software. Se um cliente burro exige que todas as senhas devam ter códigos de três dígitos, sem período de carência entre entradas defeituosas, não é o software que deve ser responsabilizado.
Muitos sistemas têm um "modo de serviço" que pode substituir a segurança e, embora o acesso a ele seja seguro, os códigos geralmente vazam para o público.
Os avanços na matemática comprometem velhos métodos de criptografia. Algo que era viável segurança há 30 anos se torna fraco hoje em dia.
Existem vários métodos de roubo de dados que geralmente são ignorados. Um teclado sem fio tem um alcance de cerca de 2m, devido a pequenas antenas, e o código enviado não é criptografado. Lê-lo do outro lado da rua com uma boa antena é um método bem conhecido.
Às vezes, as trocas de segurança são feitas com total consciência das consequências - os sistemas de criptografia consomem energia e tempo de CPU. Os aplicativos de monitoramento incorporados geralmente enviam seus dados de maneira claramente legível ao público, porque primeiro o valor do comprometimento dos dados é insignificante e, em seguida, o custo extra da implementação da segurança é desnecessário.
Toda a segurança é baseada na confiança. Não é necessária nenhuma engenharia social para o administrador nomeado ficar desonesto e ler seu e-mail.
E, no final, alguém pode considerar aplicar um taco de beisebol no joelho uma técnica social?
fonte
Pode haver situações em que os erros de hardware também causam problemas de segurança. Basta considerar um chip de RAM com defeito que espontaneamente vira o bit "isAdmin".
Ou considere um bug hipotético de hardware em que a proteção de memória não funcione conforme o esperado e um processo possa substituir a memória de outro processo sem acionar uma interrupção.
Para seu prazer na leitura: Segurança do computador comprometida por falha de hardware
fonte
Muitas ameaças à segurança surgem de recursos de software, não de bugs. Muitos recursos de software muito úteis acabam tendo usos para o bem ou para o mal, dependendo apenas da intenção do usuário.
fonte
Considere um ataque de negação de serviço distribuído (DDOS). Isso pode ser um risco à segurança, mas não é causado por um erro de software, mas por um invasor que ultrapassa os limites para os quais o sistema foi projetado. E todo sistema tem um limite.
Portanto, a resposta para sua pergunta é: não, nem todas as ameaças à segurança são acionadas por bugs de software.
fonte
Engenharia social.
Quando o hacker obtiver o nome de usuário / senha, ele poderá instalar com segurança trojans etc.
A engenharia social pode ser aplicada de várias maneiras e usá-la para burlar a segurança é uma delas.
fonte
Que tal algo como o Firesheep , o complemento do Firefox que rouba cookies transmitidos em uma rede sem fio compartilhada?
Você pode argumentar que a vulnerabilidade a esses ataques é um bug, mas também pode ser contra. Não há muito que um site possa fazer para evitar que os usuários sejam comprometidos, além de executar todas as comunicações por HTTPS - você pode dizer que é um erro aceitar comunicações HTTP em seu site?
fonte
Sim, na medida em que uma falha na segurança do software é - qualquer que seja a causa próxima - uma falha do software em atender a seus requisitos.
Aceito que isso seja apenas uma tautologia, mas essa é a medida.
fonte