У комп'ютерній безпеці, уразливість, дірка в безпеці (англ. system vulnerability) — нездатність системи протистояти реалізації певної загрози або сукупності загроз. Тобто, це певні недоліки в комп'ютерній системі, завдяки яким можна навмисно порушити її цілісність і викликати неправильну роботу.
Уразливість може виникати в результаті допущених помилок програмування, недоліків, допущених при проектуванні системи, ненадійних паролів, вірусів та інших шкідливих програм, скриптових і SQL-ін'єкцій. Деякі уразливості відомі тільки теоретично, інші ж активно використовуються і мають відомі експлойти.
Класифікація
Уразливості, класифікуються відповідно до класу активів, до яких вони відносяться:
- Апаратне забезпечення:
- Сприйнятливість до вологості;
- Сприйнятливість до пилу;
- Сприйнятливість до забруднень;
- Сприйнятливість до незахищеної зберігання.
- Програмне забезпечення:
- Недостатнє тестування;
- Відсутність аудиту.
- Комп'ютерна мережа:
- Незахищені лінії зв'язку;
- Незахищена .
- Персонал:
- Недоліки найму працівників;
- Недостатня [en].
- Сайт:
- Ненадійне джерело живлення.
- Організація:
- Відсутність регулярних перевірок;
- Відсутність планів безперервності;
- Відсутність безпеки.
Програмне забезпечення уразливостей
Поширені типи вразливостей включають в себе:
- Порушення безпеки доступу до пам'яті, такі як:
- Помилки перевірки введених даних, такі як:
- Помилки форматування рядка.
- Невірна підтримка інтерпретації метасимволів командної оболонки
- SQL ін'єкція;
- Ін'єкція коду;
- E-mail ін'єкція;
- Обхід каталогів;
- Міжсайтовий скриптинг у вебдодатках (Міжсайтовый скриптинг за наявності SQL-ін'єкції).
- Стан гонитви, наприклад:
- Помилки часу перевірки до часу використання;
- Гонки символьних посилань.
- Помилки плутанини привілеїв, такі як:
- Підробка міжсайтових запитів у вебдодатках.
- Підвищення привілеїв, наприклад:
- Shatter attack («Підривна атака»).
Причини уразливостей
Зазвичай уразливість дозволяє атакуючому «обдурити» додаток — змусити його вчинити дію, на яку у нього не повинно бути прав. Це робиться шляхом впровадження будь-яким чином в програму даних або коду в такі місця, що програма сприйме їх як «свої». Деякі уразливості з'являються через недостатню перевірку даних, що вводяться користувачем, і дозволяють вставити в інтерпретований код довільні команди (SQL-ін'єкція, XSS). Інші уразливості з'являються через більш складні проблеми, такі як запис даних в буфер без перевірки його меж (переповнення буфера).
Отже, основними причинами вразливостей є:
- Складність: великі, складні системи збільшують ймовірність дефектів і ненавмисних точок доступу.
- Відомість: використання загального, відомого коду, програмного забезпечення, операційних систем та/або обладнання збільшує ймовірність того, що зловмисник може знайти інформацію та інструменти, щоб використати недолік.
- Зв'язок: фізичні з'єднання, привілеї, порти, протоколи, служби та час, який вони є доступними, збільшує вразливість.
- Недостатній контроль паролів: користувач використовує слабкі паролі, які можуть бути виявлені за допомогою грубої сили; користувач комп'ютера зберігає пароль на комп'ютері, на якому програма може отримати до нього доступ; користувач повторно використовує паролі між багатьма програмами і вебсайтами.
- Фундаментальні недоліки дизайну операційної системи: дизайнер операційної системи вибирає для забезпечення роботи неоптимальні політики управління «користувач — програма». Наприклад, операційні системи з політикою щодо дозволу на отримання повного доступу до всього комп'ютера для будь-якої програми чи користувача. Ці недоліки операційної системи дозволяють вірусам і шкідливим програмам виконувати команди від імені адміністратора.
- Перегляд вебсайту: Деякі сайти можуть містити шкідливі шпигунські або рекламні програми, які можуть бути автоматично встановлені на комп'ютерних системах. Після відвідування цих сайтів, комп'ютерні системи можуть заразитися і особиста інформація буде збиратися і передаватися до сторонніх осіб.
- Помилки програмного забезпечення: Програміст залишає помилку в програмі, яка може дозволити зловмиснику зловживати програмою.
- Необмежений вхід користувача: Програма припускає, що все, що вводить користувач безпечно. Програми, які не перевіряють введення користувача, можуть дозволити ненавмисне безпосереднє виконання команд або операторів SQL (відомих як переповнення буфера, ін'єкції SQL та інші неперевірені входи).
Наслідки уразливостей
Вплив порушення безпеки може бути досить високим. Той факт, що ІТ-менеджери або вище керівництво знають, що ІТ-системи та програми мають уразливості, і не роблять нічого, щоб запобігти ІТ-ризику, розглядається як проступок в більшості законодавств. Закон щодо захисту персональних даних змушує менеджерів діяти, щоб зменшити вплив або ймовірність цього ризику безпеки. Тест на проникнення є однією з форм перевірки слабкості і контрзаходів, прийнятих в організації: Білий хакер намагається атакувати ІТ-активи організації, щоб з'ясувати, наскільки легко чи важко обійти безпеку. Правильним способом професійно управляти ІТ-ризиком є прийняття системи управління інформаційною безпекою, такої як ISO / IEC 27002 та дотримуватися її, у відповідності зі стратегією безпеки, встановленою вищим керівництвом. Однією з ключових концепцій інформаційної безпеки є принцип комплексного захисту: тобто створення багатошарової системи захисту, яка може:
- виявити і перехопити атаку;
- вичислити агентів загроз і переслідувати їх.
Система виявлення вторгнень є прикладом класу систем, що використовуються для виявлення атак. Деякі набори критеріїв, яким повинен задовольняти комп'ютер, його операційна система і додатки з метою задоволення доброго рівня безпеки були розроблені, прикладами є ITSEC і критерії оцінки інформаційної безпеки.
Виявлення та усунення вразливостей
Пошук вразливостей іноді називають зондуванням, наприклад коли говорять про зондування віддаленого комп'ютера — мають на увазі пошук відкритих мережевих портів і наявності вразливостей, пов'язаних з додатками, що використовують ці порти.
Метод інформування про уразливість є одним з пунктів спору в співтоваристві комп'ютерної безпеки. Деякі фахівці відстоюють негайне повне розкриття інформації про уразливість, як тільки вони знайдені. Інші радять повідомляти про уразливість тільки тим користувачам, які піддаються найбільшому ризику, а повну інформацію публікувати лише після затримки або не публікувати зовсім. Такі затримки можуть дозволити тим, хто був сповіщений, виправити помилку за допомогою розробки і застосування патчів, але також можуть і збільшувати ризик для тих, хто не посвячений у деталі.
Існують інструментальні засоби, які можуть допомогти у виявленні вразливостей в системі. Хоча ці інструменти можуть забезпечити аудитору хороший огляд можливих вразливостей, що існують в системі, вони не можуть замінити участь людини в їх оцінці.
Для забезпечення захищеності і цілісності системи необхідно постійно стежити за нею: встановлювати оновлення, використовувати інструменти, які допомагають протидіяти можливим атакам. Уразливості виявлялися у всіх основних операційних системах, включаючи Microsoft Windows, Mac OS, різні варіанти UNIX (у тому числі GNU / Linux) і OpenVMS. Так як нові уразливості знаходять безперервно, єдиний шлях зменшити ймовірність їх використання проти системи — постійна пильність.
Бази вразливостей
Для спрощення перевірки встановленого програмного забезпечення та апаратних засобів на вразливості та інформування адміністраторів інформаційно-телекомунікаційних систем створюються різноманітні бази даних вразливостей:
Див. також
Примітки
- 4.1 Основні поняття. НД ТЗІ 1.1-003-99: Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу. Київ: Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України. 1999.
- ISO/IEC, «Information technology — Security techniques-Information security risk management» ISO/IEC FIDIS 27005:2008
- Kakareka, Almantas (2009). 23. У Vacca, John (ред.). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. с. 393. ISBN .
- Krsul, Ivan (15 квітня 1997). Technical Report CSD-TR-97-026. The COAST Laboratory Department of Computer Sciences, Purdue University. (CiteSeerX): 10.1.1.26.5435.
{{}}
: Пропущений або порожній|url=
() - . ranum.com. Архів оригіналу за 1 березня 2020. Процитовано 13 грудня 2015.
- . webappsec.org. Архів оригіналу за 6 жовтня 2019. Процитовано 13 грудня 2015.
Це незавершена стаття з інформаційної безпеки. Ви можете проєкту, виправивши або дописавши її. |
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
U komp yuternij bezpeci urazlivist dirka v bezpeci angl system vulnerability nezdatnist sistemi protistoyati realizaciyi pevnoyi zagrozi abo sukupnosti zagroz Tobto ce pevni nedoliki v komp yuternij sistemi zavdyaki yakim mozhna navmisno porushiti yiyi cilisnist i viklikati nepravilnu robotu Urazlivist mozhe vinikati v rezultati dopushenih pomilok programuvannya nedolikiv dopushenih pri proektuvanni sistemi nenadijnih paroliv virusiv ta inshih shkidlivih program skriptovih i SQL in yekcij Deyaki urazlivosti vidomi tilki teoretichno inshi zh aktivno vikoristovuyutsya i mayut vidomi eksplojti KlasifikaciyaUrazlivosti klasifikuyutsya vidpovidno do klasu aktiviv do yakih voni vidnosyatsya Aparatne zabezpechennya Sprijnyatlivist do vologosti Sprijnyatlivist do pilu Sprijnyatlivist do zabrudnen Sprijnyatlivist do nezahishenoyi zberigannya Programne zabezpechennya Nedostatnye testuvannya Vidsutnist auditu Komp yuterna merezha Nezahisheni liniyi zv yazku Nezahishena Personal Nedoliki najmu pracivnikiv Nedostatnya en Sajt Nenadijne dzherelo zhivlennya Organizaciya Vidsutnist regulyarnih perevirok Vidsutnist planiv bezperervnosti Vidsutnist bezpeki Programne zabezpechennya urazlivostej Poshireni tipi vrazlivostej vklyuchayut v sebe Porushennya bezpeki dostupu do pam yati taki yak Perepovnennya bufera Zavisli vkazivniki Pomilki perevirki vvedenih danih taki yak Pomilki formatuvannya ryadka Nevirna pidtrimka interpretaciyi metasimvoliv komandnoyi obolonki SQL in yekciya In yekciya kodu E mail in yekciya Obhid katalogiv Mizhsajtovij skripting u vebdodatkah Mizhsajtovyj skripting za nayavnosti SQL in yekciyi Stan gonitvi napriklad Pomilki chasu perevirki do chasu vikoristannya Gonki simvolnih posilan Pomilki plutanini privileyiv taki yak Pidrobka mizhsajtovih zapitiv u vebdodatkah Pidvishennya privileyiv napriklad Shatter attack Pidrivna ataka Prichini urazlivostejZazvichaj urazlivist dozvolyaye atakuyuchomu obduriti dodatok zmusiti jogo vchiniti diyu na yaku u nogo ne povinno buti prav Ce robitsya shlyahom vprovadzhennya bud yakim chinom v programu danih abo kodu v taki miscya sho programa sprijme yih yak svoyi Deyaki urazlivosti z yavlyayutsya cherez nedostatnyu perevirku danih sho vvodyatsya koristuvachem i dozvolyayut vstaviti v interpretovanij kod dovilni komandi SQL in yekciya XSS Inshi urazlivosti z yavlyayutsya cherez bilsh skladni problemi taki yak zapis danih v bufer bez perevirki jogo mezh perepovnennya bufera Otzhe osnovnimi prichinami vrazlivostej ye Skladnist veliki skladni sistemi zbilshuyut jmovirnist defektiv i nenavmisnih tochok dostupu Vidomist vikoristannya zagalnogo vidomogo kodu programnogo zabezpechennya operacijnih sistem ta abo obladnannya zbilshuye jmovirnist togo sho zlovmisnik mozhe znajti informaciyu ta instrumenti shob vikoristati nedolik Zv yazok fizichni z yednannya privileyi porti protokoli sluzhbi ta chas yakij voni ye dostupnimi zbilshuye vrazlivist Nedostatnij kontrol paroliv koristuvach vikoristovuye slabki paroli yaki mozhut buti viyavleni za dopomogoyu gruboyi sili koristuvach komp yutera zberigaye parol na komp yuteri na yakomu programa mozhe otrimati do nogo dostup koristuvach povtorno vikoristovuye paroli mizh bagatma programami i vebsajtami Fundamentalni nedoliki dizajnu operacijnoyi sistemi dizajner operacijnoyi sistemi vibiraye dlya zabezpechennya roboti neoptimalni politiki upravlinnya koristuvach programa Napriklad operacijni sistemi z politikoyu shodo dozvolu na otrimannya povnogo dostupu do vsogo komp yutera dlya bud yakoyi programi chi koristuvacha Ci nedoliki operacijnoyi sistemi dozvolyayut virusam i shkidlivim programam vikonuvati komandi vid imeni administratora Pereglyad vebsajtu Deyaki sajti mozhut mistiti shkidlivi shpigunski abo reklamni programi yaki mozhut buti avtomatichno vstanovleni na komp yuternih sistemah Pislya vidviduvannya cih sajtiv komp yuterni sistemi mozhut zarazitisya i osobista informaciya bude zbiratisya i peredavatisya do storonnih osib Pomilki programnogo zabezpechennya Programist zalishaye pomilku v programi yaka mozhe dozvoliti zlovmisniku zlovzhivati programoyu Neobmezhenij vhid koristuvacha Programa pripuskaye sho vse sho vvodit koristuvach bezpechno Programi yaki ne pereviryayut vvedennya koristuvacha mozhut dozvoliti nenavmisne bezposerednye vikonannya komand abo operatoriv SQL vidomih yak perepovnennya bufera in yekciyi SQL ta inshi neperevireni vhodi Naslidki urazlivostejVpliv porushennya bezpeki mozhe buti dosit visokim Toj fakt sho IT menedzheri abo vishe kerivnictvo znayut sho IT sistemi ta programi mayut urazlivosti i ne roblyat nichogo shob zapobigti IT riziku rozglyadayetsya yak prostupok v bilshosti zakonodavstv Zakon shodo zahistu personalnih danih zmushuye menedzheriv diyati shob zmenshiti vpliv abo jmovirnist cogo riziku bezpeki Test na proniknennya ye odniyeyu z form perevirki slabkosti i kontrzahodiv prijnyatih v organizaciyi Bilij haker namagayetsya atakuvati IT aktivi organizaciyi shob z yasuvati naskilki legko chi vazhko obijti bezpeku Pravilnim sposobom profesijno upravlyati IT rizikom ye prijnyattya sistemi upravlinnya informacijnoyu bezpekoyu takoyi yak ISO IEC 27002 ta dotrimuvatisya yiyi u vidpovidnosti zi strategiyeyu bezpeki vstanovlenoyu vishim kerivnictvom Odniyeyu z klyuchovih koncepcij informacijnoyi bezpeki ye princip kompleksnogo zahistu tobto stvorennya bagatosharovoyi sistemi zahistu yaka mozhe viyaviti i perehopiti ataku vichisliti agentiv zagroz i peresliduvati yih Sistema viyavlennya vtorgnen ye prikladom klasu sistem sho vikoristovuyutsya dlya viyavlennya atak Deyaki nabori kriteriyiv yakim povinen zadovolnyati komp yuter jogo operacijna sistema i dodatki z metoyu zadovolennya dobrogo rivnya bezpeki buli rozrobleni prikladami ye ITSEC i kriteriyi ocinki informacijnoyi bezpeki Viyavlennya ta usunennya vrazlivostejPoshuk vrazlivostej inodi nazivayut zonduvannyam napriklad koli govoryat pro zonduvannya viddalenogo komp yutera mayut na uvazi poshuk vidkritih merezhevih portiv i nayavnosti vrazlivostej pov yazanih z dodatkami sho vikoristovuyut ci porti Metod informuvannya pro urazlivist ye odnim z punktiv sporu v spivtovaristvi komp yuternoyi bezpeki Deyaki fahivci vidstoyuyut negajne povne rozkrittya informaciyi pro urazlivist yak tilki voni znajdeni Inshi radyat povidomlyati pro urazlivist tilki tim koristuvacham yaki piddayutsya najbilshomu riziku a povnu informaciyu publikuvati lishe pislya zatrimki abo ne publikuvati zovsim Taki zatrimki mozhut dozvoliti tim hto buv spovishenij vipraviti pomilku za dopomogoyu rozrobki i zastosuvannya patchiv ale takozh mozhut i zbilshuvati rizik dlya tih hto ne posvyachenij u detali Isnuyut instrumentalni zasobi yaki mozhut dopomogti u viyavlenni vrazlivostej v sistemi Hocha ci instrumenti mozhut zabezpechiti auditoru horoshij oglyad mozhlivih vrazlivostej sho isnuyut v sistemi voni ne mozhut zaminiti uchast lyudini v yih ocinci Dlya zabezpechennya zahishenosti i cilisnosti sistemi neobhidno postijno stezhiti za neyu vstanovlyuvati onovlennya vikoristovuvati instrumenti yaki dopomagayut protidiyati mozhlivim atakam Urazlivosti viyavlyalisya u vsih osnovnih operacijnih sistemah vklyuchayuchi Microsoft Windows Mac OS rizni varianti UNIX u tomu chisli GNU Linux i OpenVMS Tak yak novi urazlivosti znahodyat bezperervno yedinij shlyah zmenshiti jmovirnist yih vikoristannya proti sistemi postijna pilnist Bazi vrazlivostejDlya sproshennya perevirki vstanovlenogo programnogo zabezpechennya ta aparatnih zasobiv na vrazlivosti ta informuvannya administratoriv informacijno telekomunikacijnih sistem stvoryuyutsya riznomanitni bazi danih vrazlivostej Nacionalna baza danih vrazlivostej Common Vulnerabilities and ExposuresDiv takozhInformacijna zagroza Hakerska atakaPrimitki4 1 Osnovni ponyattya ND TZI 1 1 003 99 Terminologiya v galuzi zahistu informaciyi v komp yuternih sistemah vid nesankcionovanogo dostupu Kiyiv Departament specialnih telekomunikacijnih sistem ta zahistu informaciyi Sluzhbi bezpeki Ukrayini 1999 ISO IEC Information technology Security techniques Information security risk management ISO IEC FIDIS 27005 2008 Kakareka Almantas 2009 23 U Vacca John red Computer and Information Security Handbook Morgan Kaufmann Publications Elsevier Inc s 393 ISBN 978 0 12 374354 1 Krsul Ivan 15 kvitnya 1997 Technical Report CSD TR 97 026 The COAST Laboratory Department of Computer Sciences Purdue University CiteSeerX 10 1 1 26 5435 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Propushenij abo porozhnij url dovidka ranum com Arhiv originalu za 1 bereznya 2020 Procitovano 13 grudnya 2015 webappsec org Arhiv originalu za 6 zhovtnya 2019 Procitovano 13 grudnya 2015 Ce nezavershena stattya z informacijnoyi bezpeki Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi