Kuģi ir mehāniski zvēri ar daudzām daļām, kas darbojas, lai nodrošinātu drošus, veiksmīgus braucienus. Digitālais ekvivalents būtu programmatūra. Tāpat kā programmatūras izstrāde, kuģu būve ietver vairākus posmus un precīzu inženieriju. Pēc tam, kad viss ir pabeigts, celtnieki pārbauda savus darbus dažādos apstākļos, lai pārliecinātos, ka kuģis ir drošs un darbojas, kā paredzēts. Gandrīz visa labākā programmatūra, ko mēs izmantojam šodien, tiek pārbaudīta, lai nodrošinātu arī tās drošību.
Viens no šādiem testiem ir kļūdas ievadīšana. Salīdzinot ar kuģu būvniecību, defektu ievadīšana būtu līdzīga tam, ka kuģniecības inženieri apzināti ieliek caurumus savos kuģos, lai redzētu, kā viņi izturas pret nogrimšanu...
Kas ir kļūdas iesmidzināšana un kāpēc tā ir svarīga?
Bojājuma ievadīšana ir prakse ar nolūku radīt sistēmas defektus. Šīs prakses mērķis ir analizēt, kā sistēma darbojas stresa apstākļos. Aparatūras un programmatūras inženieri parasti izraisa savas aparatūras vai programmatūras kļūdas vairāku iemeslu dēļ.
Pirmkārt, viņi vēlas atklāt un novērst kļūmes, kas varētu rasties ārpus ražošanas laboratorijas kontrolētās vides. Tas ir svarīgi, jo viņi nevar kontrolēt apstākļus, kādos klienti izmantos savus produktus. Siltums var apdraudēt sastāvdaļas vai materiālus, kas satur sastāvdaļas kopā; servera kļūmes dēļ viss reģions var zaudēt piekļuvi savam iecienītākajam straumēšanas pakalpojumam; uzbrucēji var izraisīt kļūdu, kas sabojā drošības funkcijas. Kad šādi notikumi notiek, izstrādātāji un ierīču ražotāji vēlas nodrošināt savu produktu nekustīgumu aizsargāt lietotāju datu integritāti un drošību vai pielāgot slodzes sadalījumu, lai samazinātu pakalpojumu traucējumus.
Galu galā kļūdu ievadīšana ir nepieciešama, lai lietotnes un aparatūra būtu droša, droša un uzticama. Tāpat defektu ievadīšana palīdz ražotājiem aizsargāt intelektuālo īpašumu, samazināt zaudējumu risku un saglabāt klientu uzticību. Jūs taču neliktu savu naudu bankā, ja viņu lietotne visu laiku avarē un hakeri to uzlauž, vai ne?
Kā darbojas kļūdas injekcijas uzbrukumi?
Ražotāji apzināti veic kļūdu ievadīšanu, lai atklātu trūkumus, kas varētu apdraudēt viņu produktu drošību. Nekas neliedz uzbrucējiem rīkoties tāpat, lai atklātu sistēmas vājās vietas un tās izmantotu. Galu galā defektu injekcijas veikšanai izmantotie rīki ir publiski, un metodes nav pārāk sarežģītas.
Turklāt pieredzējuši uzbrucēji var radoši izmantot savas metodes un virzīt sistēmu tālāk par ierasto. Šajā brīdī jums jāzina, ka kļūdu ievadīšana var būt fiziska (aparatūrā) vai digitāla (programmatūra). Tāpat defektu injekcijas uzbrukumos izmantotie rīki un metodes var izpausties jebkurā formā. Ražotāji un hakeri testēšanā un uzbrukumos bieži apvieno fiziskos un digitālos rīkus.
Daži defektu ievadīšanai izmantotie rīki ir FERRARI (kļūdu un kļūdu vai automātiskā reāllaika inžektors), FTAPE (kļūdu tolerances un veiktspējas novērtētājs), Xception, Gremlin, Holodeck un ExhaustiF. Tikmēr FIA metodes bieži ietver sistēmas bombardēšanu ar intensīviem elektromagnētiskiem impulsiem, vides temperatūras paaugstināšanu, nepietiekamu spriegumu. GPU vai CPU, vai izraisot īssavienojumu. Izmantojot FIA rīkus un metodes, viņi var sabojāt sistēmu pietiekami ilgi, lai izmantotu atiestatīšanu, apietu protokolu vai nozagtu sensitīvus datus.
Bojājumu iesmidzināšanas uzbrukumu novēršana
Ja esat parasts patērētājs, jums nav jāuztraucas par FIA uzbrukumu novēršanu. Šī atbildība ir ierīces ražotājam vai programmatūras izstrādātājam, tāpat kā kuģa drošība ir burāšanas apkalpes uzdevums. Ražotāji un izstrādātāji to dara, izstrādājot elastīgākus drošības protokolus un apgrūtinot datu ieguvi hakeriem.
Tomēr ideālu sistēmu nav. Uzbrucēji bieži izstrādā jaunas uzbrukuma metodes, un viņiem nav ierobežots šo metožu pielietojums, jo viņi nespēlē pēc noteikumiem. Piemēram, hakeris var apvienot FIA ar a sānu kanālu uzbrukums, it īpaši, ja viņu piekļuve ierīcei ir ierobežota. Otras puses komandai šis fakts ir jāatzīst, izstrādājot elastīgas sistēmas un plānojot to kļūdu iesmidzināšanas testus.
Vai jums jāuztraucas par FIA?
Ne tieši. Pastāv lielāka iespējamība, ka kiberdrošības apdraudējumi jūs ietekmē personiskāk nekā kļūdu ievadīšanas uzbrukumi. Turklāt FIA reti kad ir slēpta. Lai veiktu kļūdas ievadīšanas uzbrukumu, uzbrucējam būs nepieciešama fiziska piekļuve jūsu ierīcei. Arī kļūdu ievadīšanas metodes parasti ir invazīvas un rada zināmu īslaicīgu vai pastāvīgu sistēmas bojājumu. Tātad jūs, ļoti iespējams, pamanīsit, ka kaut kas nav kārtībā, vai arī jums tiks atstāta ierīce, kuru nevarat izmantot.
Protams, galvenais ir tas, ka uzbrucējs, iespējams, ir nozadzis sensitīvus datus, kad pamanāt manipulācijas. Ražotāja vai izstrādātāja ziņā ir vispirms novērst uzbrukumu un uzlabot savu produktu drošību.
