バグ、脆弱性、エクスプロイト: 侵害の条件

(へ マルコ・ロッティニ)
14/08/24

昨年は、非常に人気のあるオペレーティング システムやソフトウェア ライブラリに影響を与えるソフトウェアの問題が発生しました。

潜在的に壊滅的な影響をもたらす問題。多くの場合、次のように分類されます。 リモートから悪用可能。この条件は、攻撃者が必ずしもシステムに物理的に近くなくても、ネットワークまたはロジックからのみシステムを認識できるだけで、これらの欠点をどのように悪用できるかを示しています。

この記事では、インターネット上で騒動を引き起こしたりクリックを集めたりする目的で、あまりにも頻繁に同じ意味で (そして不適切に) 使用されている特定の用語間のいくつかの重要な違いをより明確にしようとします。

私が覚えておくべき重要だと思ういくつかの絶対的な真実から始めましょう。

1 つ目は、サイバーセキュリティの著名なジーン・スパフォード氏の言葉です。 「本当に安全なシステムは、電源が切られ、切断され、チタン製の檻に閉じ込められ、神経ガスが充満したコンクリートのバンカーに閉じ込められ、高給取りの武装警備員によって守られているシステムだけだ。それでも、私はそれに命を賭けるつもりはありません。」

2 番目の真実は、言うのが明らかに簡単ですが、さらに単純に繰り返します。 「完璧なソフトウェアはない」.

これらを定義します 出発点の重要な違いを明確にしてみましょう。 バグ、脆弱性と エクスプロイト;最後に、これらの要素を活用するために必要な条件の重要性を明確にします。

この用語の由来となった昆虫学の世界からは程遠く、 バグ o バコ ソフトウェアの割合は次のように定義できます。 開発中に発生したコードエラーによるコードの不完全性。このエラーは、特定の条件が満たされた場合にのみ発生します。

好奇心は誰もが知っているわけではありませんが、この間違いを主張し続ける人々には間違いなく知られています buco ソフトウェアは、IT 分野におけるこの用語の起源です。実際、この用語は、ソフトウェアがパンチカードにエンコードされ、コンピューターがしばしば建物の地下にある巨大なキャビネットだった時代に由来しています。これらの金属製のキャビネットでは、さまざまなコンポーネントが決して小型化されておらず、特定の条件下では、毛虫がカリカリに熟したリンゴを食べるように、パンチカードを食べる可能性のある小動物が大量に繁殖することを許容するスペースがありました。この表現はまさにこうした状況の中で生まれました。 ソフトウェアのバグ 半世紀以上もひるむことなく色を保ち続けています(そして少し オタク) 開発者の世界。

つまり、 バグ ただし、脆弱性が発生する場合には、いくつかの重要な条件が存在する必要があります。

1つ目は、それにつながる一連の出来事です。 バグ 開発者が最初に犯した間違いによる悪影響を生み出し、自分自身を世界に示すために。この用語を使用するのは重大な間違いであるだけでなく、 バグ と脆弱性は同じ意味ですが、 バグ 既知であることは脆弱性と同義ではありません。

このニュアンスをよりよく理解するために、アメリカの脅威分析組織 MITRE からインスピレーションを得て、脆弱性がどのように報告されるかを調べてみましょう。 MITRE の無数の活動の中には、実際、CVE (Common Vulnerabilities and Exposures) と呼ばれる脆弱性データベースの管理と更新があります。

以下は、脆弱性が一般の人々に対してどのように表現されるかの例です。

コンテキストの説明は、例を示さずにバグを悪用する可能性のある方法以上のことを伝えていることがすぐに明らかになります。 実際のように: たとえば、製造元 TP-Link の Omada ER605 モデルにバッファ オーバーフローの問題があることがわかります。これは、開発エラーにより、デバイスのメモリが収容できる以上のデータを受け入れてしまったことを意味します。このメモリへの書き込みには認証が必要ないことがわかります。これがどのように悪用されるかを私たちに明らかにします。 クレープ の資格があれば、リモートで行うこともできます。 リモートでコードが実行される.

脆弱性レポートには、いくつかの正当な理由により、その悪用方法が記載されていません。

まず第一に、もしそうなった場合、たとえばメーカーからのソフトウェアアップデートの適用や、 patch.

第二に、 タスク 脆弱性を悪用可能にするのは作成者の責任です エクスプロイト.

L 'エクスプロイト 実行すると、エラーを悪用するコードやプロシージャを表します。 バグ 開発者のコ​​ードに残されます。

要約: バグ、脆弱性編 エクスプロイト それらは 3 つの別個のエンティティであり、どちらかといえば結果的ですが、確かに同義ではありません.

脆弱性の特性、修復手順、脆弱性の利用可能性を分析する実践。 patch メーカーによるセキュリティ対策は、すべての企業のサイバーセキュリティ対策のプロセスの一部を構成します。 脆弱性管理 そしてそれは、優れた企業サイバーセキュリティ ポリシーの最も困難な目標の 1 つです。