Laevad on mehaanilised loomad, mille paljud osad töötavad, et tagada ohutud ja edukad reisid. Digitaalne vaste oleks tarkvara. Nagu tarkvaraarendus, hõlmab laevaehitus mitut etappi ja täpset projekteerimist. Seejärel, kui kõik on valmis, katsetavad ehitajad oma loomingut erinevates tingimustes, et veenduda, et alus on ohutu ja töötab nii, nagu kavandatud. Peaaegu kogu parim tarkvara, mida me täna kasutame, läbib testid, et tagada ka nende turvalisus.
Üks selline test on vea süstimine. Võrreldes laevaehitusega oleks rikke süstimine sarnane sellega, et mereinsenerid panevad oma laevadesse tahtlikult auke, et näha, kuidas nad uppumisega toime tulevad...
Mis on vea süstimine ja miks see on oluline?
Vea süstimine on süsteemis tahtliku defektide tekitamise praktika. Selle praktika eesmärk on analüüsida, kuidas süsteem stressi tingimustes toimib. Riist- ja tarkvarainsenerid põhjustavad tavaliselt riist- või tarkvaravigu mitmel põhjusel.
Esiteks tahavad nad avastada ja lahendada tõrkeid, mis võivad tekkida väljaspool tootmislabori kontrollitud keskkonda. See on oluline, kuna neil puudub kontroll tingimuste üle, mille alusel kliendid oma tooteid kasutavad. Kuumus võib kahjustada komponente või komponente koos hoidvaid materjale; serveri rike võib põhjustada terve piirkonna juurdepääsu oma lemmikvoogesitusteenusele kaotamise; ründajad võivad käivitada tõrke, mis rikub turvafunktsioone. Kui sellised sündmused juhtuvad, tahavad arendajad ja seadmete tootjad tagada, et nende tooted püsivad kaitsta kasutajate andmete terviklikkust ja ohutust või kohandada koormuse jaotust teenuse minimeerimiseks katkestus.
Lõppkokkuvõttes on vigade sisestamine vajalik, et muuta rakendused ja riistvara turvaliseks, turvaliseks ja usaldusväärseks. Samuti aitab vea süstimine tootjatel kaitsta intellektuaalomandit, vähendada kaotuse ohtu ja säilitada klientide usaldust. Te ei paneks oma raha panka, kui nende rakendus jookseb kogu aeg kokku ja häkkerid murravad seda päeva jooksul, eks?
Kuidas vea sissepritse rünnakud töötavad?
Tootjad sisestavad tahtlikult vead, et avastada vigu, mis võivad kahjustada nende toodete turvalisust. Miski ei takista ründajatel sama tegemast, et paljastada süsteemi nõrkused ja neid ära kasutada. Rikete süstimiseks kasutatavad vahendid on ju avalikud ja meetodid pole ülearu keerulised.
Lisaks saavad kogenud ründajad olla oma meetoditega loomingulised ja suruda süsteemi tavapärasest kaugemale. Siinkohal peate teadma, et vea sisestamine võib olla füüsiline (riistvaras) või digitaalne (tarkvaras). Samuti võivad rikete süstimise rünnakute korral kasutatavad tööriistad ja meetodid esineda mõlemas vormis. Tootjad ja häkkerid kombineerivad oma testimisel ja rünnakutes sageli vastavalt füüsilisi ja digitaalseid tööriistu.
Mõned rikke sisestamiseks kasutatavad tööriistad on FERRARI (Fault and ERRor Automatic Real-time Injector), FTAPE (tõrketaluvuse ja jõudluse hindaja), Xception, Gremlin, Holodeck ja ExhaustiF. Samal ajal hõlmavad FIA meetodid sageli süsteemi pommitamist intensiivsete elektromagnetiliste impulssidega, keskkonna temperatuuri tõstmist, alapinget. GPU-d või CPU-dvõi lühise käivitamine. FIA tööriistu ja meetodeid kasutades võivad nad süsteemi rikkuda piisavalt kaua, et kasutada lähtestamist, protokollist mööda hiilida või varastada tundlikke andmeid.
Vea sissepritse rünnakute vältimine
Kui olete tavaline tarbija, ei pea te muretsema FIA rünnakute ärahoidmise pärast. See vastutus on seadme tootjal või tarkvaraarendajal, nagu ka laeva ohutus on purjemeeskonna ülesanne. Tootjad ja arendajad teevad seda vastupidavamate turvaprotokollide väljatöötamise ja häkkerite jaoks andmete eraldamise keeruliseks muutmisega.
Sellegipoolest pole täiuslikke süsteeme olemas. Ründajad töötavad sageli välja uudseid rünnakumeetodeid ja nad ei ole nende meetodite rakendamisega piiratud, kuna nad ei järgi reegleid. Näiteks võib häkker kombineerida FIA-ga a külgkanali rünnak, eriti kui nende juurdepääs seadmele on piiratud. Teise poole meeskond peab seda tõsiasja tunnistama vastupidavate süsteemide kavandamisel ja nende rikete süstimise katsete kavandamisel.
Kas peaksite FIA pärast muretsema?
Otseselt mitte. On tõenäolisemalt küberjulgeolekuohte, mis mõjutavad teid isiklikumalt kui veasüstimise rünnakud. Pealegi on FIA harva varjatud. Ründaja vajab tõrkesüstimise rünnaku sooritamiseks füüsilist juurdepääsu teie seadmele. Samuti on vea süstimise meetodid üldiselt invasiivsed ja põhjustavad süsteemi teatud määral ajutisi või püsivaid kahjustusi. Seega märkate suure tõenäosusega, et midagi on valesti või teile jääb seade, mida te ei saa kasutada.
Konks on muidugi selles, et ründaja võib olla varastanud tundlikke andmeid selleks ajaks, kui te rikkumist märkate. Tootja või arendaja ülesanne on ründe ennetamine ja oma toodete turvalisuse parandamine.
