Laivai yra mechaniniai žvėrys, turintys daug dalių, užtikrinančių saugias ir sėkmingas keliones. Skaitmeninis atitikmuo būtų programinė įranga. Kaip ir programinės įrangos kūrimas, laivų statyba apima kelis veiksmus ir tikslią inžineriją. Tada, kai viskas bus baigta, statybininkai išbando savo kūrinius skirtingomis sąlygomis, kad įsitikintų, jog laivas yra saugus ir veikia taip, kaip suprojektuota. Beveik visa geriausia programinė įranga, kurią šiandien naudojame, yra išbandoma, siekiant užtikrinti, kad ji taip pat būtų saugi.
Vienas iš tokių bandymų yra gedimo įpurškimas. Palyginti su laivų statyba, gedimų įpurškimas būtų panašus į tai, kad laivybos inžinieriai tyčia įkiša skyles savo laivuose, kad pamatytų, kaip jie elgiasi su skęstymu...
Kas yra gedimo įpurškimas ir kodėl tai svarbu?
Gedimų įpurškimas yra tyčinio sistemos defektų kūrimo praktika. Šios praktikos tikslas yra išanalizuoti, kaip sistema veikia esant stresui. Aparatūros ir programinės įrangos inžinieriai paprastai sukelia techninės ar programinės įrangos gedimus dėl kelių priežasčių.
Viena vertus, jie nori atskleisti ir pašalinti gedimus, kurie gali kilti už kontroliuojamos gamybos laboratorijos aplinkos. Tai svarbu, nes jie nekontroliuoja sąlygų, kuriomis klientai naudos savo produktus. Karštis gali pažeisti komponentus arba medžiagas, laikančias komponentus kartu; dėl serverio gedimo visas regionas gali prarasti prieigą prie mėgstamos srautinio perdavimo paslaugos; užpuolikai gali sukelti gedimą, kuris pažeidžia saugos funkcijas. Kai tokie įvykiai įvyksta, kūrėjai ir įrenginių gamintojai nori užtikrinti, kad jų produktai nepaliauja apsaugoti naudotojų duomenų vientisumą ir saugą arba koreguoti apkrovos paskirstymą, kad būtų kuo mažiau paslaugų žlugimas.
Galiausiai gedimų injekcija yra būtina, kad programos ir aparatinė įranga būtų saugi, saugi ir patikima. Taip pat gedimų injekcija padeda gamintojams apsaugoti intelektinę nuosavybę, sumažinti praradimo riziką ir išlaikyti klientų pasitikėjimą. Nedėtumėte pinigų į banką, jei jų programa nuolat strigtų, o įsilaužėliai jas nulaužtų, ar ne?
Kaip veikia gedimo įpurškimo atakos?
Gamintojai tyčia atlieka gedimų injekciją, kad atskleistų trūkumus, galinčius pakenkti jų gaminių saugumui. Niekas netrukdo užpuolikams daryti tą patį, kad atskleistų sistemos trūkumus ir jomis pasinaudotų. Juk gedimo injekcijos įrankiai yra vieši, o metodai nėra pernelyg sudėtingi.
Be to, patyrę užpuolikai gali kūrybiškai naudoti savo metodus ir išstumti sistemą daugiau nei įprasta. Šiuo metu turite žinoti, kad gedimų įvedimas gali būti fizinis (aparatinės įrangos) arba skaitmeninis (programinėje įrangoje). Taip pat įrankiai ir metodai, naudojami gedimų injekcijos atakoms, gali būti bet kokios formos. Gamintojai ir įsilaužėliai dažnai derina fizinius ir skaitmeninius įrankius savo bandymuose ir atakose.
Kai kurie gedimo įpurškimo įrankiai yra FERRARI (gedimų ir klaidų automatinis realiojo laiko purkštukas), FTAPE (gedimų tolerancijos ir našumo vertintojas), Xception, Gremlin, Holodeck ir ExhaustiF. Tuo tarpu FIA metodai dažnai apima sistemos bombardavimą intensyviais elektromagnetiniais impulsais, aplinkos temperatūros pakėlimą, žemą įtampą. GPU arba CPU, arba sukelia trumpąjį jungimą. Naudodami FIA įrankius ir metodus, jie gali pakankamai ilgai sugadinti sistemą, kad galėtų išnaudoti atstatymą, apeiti protokolą arba pavogti neskelbtinus duomenis.
Gedimų įpurškimo atakų prevencija
Jei esate nuolatinis vartotojas, jums nereikia rūpintis, kad išvengtumėte FIA atakų. Ši atsakomybė tenka įrenginio gamintojui arba programinės įrangos kūrėjui, kaip ir laivo saugumas yra buriavimo įgulos darbas. Gamintojai ir kūrėjai tai daro kurdami atsparesnius saugos protokolus ir apsunkindami duomenų išgavimą įsilaužėliams.
Nepaisant to, tobulų sistemų nėra. Puolėjai dažnai kuria naujus atakos metodus ir neapsiriboja tuo, kaip jie taiko, nes nesilaiko taisyklių. Pavyzdžiui, įsilaužėlis gali sujungti FIA su a šoninio kanalo ataka, ypač jei jų prieiga prie įrenginio yra ribota. Kitos pusės komanda turi pripažinti šį faktą kurdama atsparias sistemas ir planuodama jų gedimų įpurškimo testus.
Ar turėtumėte nerimauti dėl FIA?
Ne tiesiogiai. Labiau tikėtina, kad kibernetinio saugumo grėsmės jus paveikia labiau asmeniškai nei gedimų injekcijos atakos. Be to, FIA retai būna užslėpta. Užpuolikui reikės fizinės prieigos prie jūsų įrenginio, kad galėtų įvykdyti gedimo injekcijos ataką. Be to, gedimų injekcijos metodai paprastai yra invaziniai ir sukelia tam tikrą laikiną ar nuolatinį sistemos pažeidimą. Taigi, labai tikėtina, kad pastebėsite, kad kažkas negerai arba liks su įrenginiu, kurio negalite naudoti.
Žinoma, klaida yra ta, kad užpuolikas galėjo pavogti neskelbtinus duomenis, kol pastebėsite klastojimą. Gamintojas ar kūrėjas pirmiausia turi užkirsti kelią atakai ir pagerinti savo produktų saugumą.