Ladje so mehanske zveri s številnimi deli, ki zagotavljajo varna in uspešna potovanja. Digitalni ekvivalent bi bila programska oprema. Tako kot razvoj programske opreme tudi ladjedelništvo vključuje več korakov in natančen inženiring. Potem, ko je vse končano, graditelji preizkusijo svoje stvaritve pod različnimi pogoji, da zagotovijo, da je plovilo varno in deluje, kot je bilo načrtovano. Skoraj vsa najboljša programska oprema, ki jo danes uporabljamo, gre skozi teste, da se zagotovi tudi njihova varnost.
Eden takšnih testov je vnašanje napak. V primerjavi z ladjedelništvom bi bilo vbrizgavanje napak podobno temu, da bi navtični inženirji namerno naredili luknje v svojih ladjah, da bi videli, kako se spopadajo s potopitvijo ...
Kaj je vnašanje napak in zakaj je pomembno?
Vstavljanje napak je praksa namernega ustvarjanja napak v sistemu. Cilj te prakse je analizirati, kako sistem deluje pod stresom. Inženirji strojne in programske opreme običajno povzročijo napake v svoji strojni ali programski opremi iz več razlogov.
Prvič, želijo odkriti in odpraviti napake, ki bi se lahko pojavile zunaj nadzorovanega okolja proizvodnega laboratorija. To je pomembno, ker nimajo nadzora nad pogoji, pod katerimi bodo kupci uporabljali njihove izdelke. Toplota bi lahko ogrozila komponente ali materiale, ki držijo komponente skupaj; okvara strežnika lahko povzroči, da celotna regija izgubi dostop do svoje najljubše storitve pretakanja; napadalci lahko sprožijo napako, ki zlomi varnostne funkcije. Ko se takšni dogodki zgodijo, razvijalci in proizvajalci naprav želijo zagotoviti, da njihovi izdelki mirujejo zaščitite celovitost podatkov in varnost uporabnikov ali prilagodite porazdelitev obremenitve, da zmanjšate storitev prekinitev.
Navsezadnje je vstavljanje napak potrebno, da so aplikacije in strojna oprema varne, zaščitene in zanesljive. Podobno vstavljanje napak proizvajalcem pomaga zaščititi intelektualno lastnino, zmanjšati tveganje izgube in ohraniti zaupanje strank. Ne bi dali svojega denarja v banko, če se njihova aplikacija ves čas sesuje in imajo hekerji dan na terenu, da jo vdrejo, kajne?
Kako delujejo napadi z vbrizgavanjem napak?
Proizvajalci namerno izvajajo vstavljanje napak, da bi odkrili napake, ki bi lahko ogrozile varnost njihovih izdelkov. Napadalcem nič ne preprečuje, da bi storili enako, da bi razkrili slabosti v sistemu in jih izkoristili. Navsezadnje so orodja, ki se uporabljajo za izvajanje vbrizgavanja napak, javna in metode niso preveč zapletene.
Poleg tega lahko izkušeni napadalci postanejo kreativni s svojimi metodami in potisnejo sistem preko običajnega. Na tej točki morate vedeti, da je vnašanje napak lahko fizično (v strojni opremi) ali digitalno (v programski opremi). Podobno imajo lahko orodja in metode, ki se uporabljajo pri napadih z vbrizgavanjem napak, obe obliki. Proizvajalci in hekerji pri testiranju oziroma napadih pogosto kombinirajo fizična in digitalna orodja.
Nekatera orodja, ki se uporabljajo za vstavljanje napak, so FERRARI (Fault and ERRor Automatic Real-time Injector), FTAPE (Fault Tolerance And Performance Evaluator), Xception, Gremlin, Holodeck in ExhaustiF. Medtem pa metode FIA pogosto vključujejo bombardiranje sistema z intenzivnimi elektromagnetnimi impulzi, zvišanje temperature okolja, prenizko GPE ali CPU, ali sprožitev kratkega stika. Z orodji in metodami FIA lahko pokvarijo sistem dovolj dolgo, da izkoristijo ponastavitev, obidejo protokol ali ukradejo občutljive podatke.
Preprečevanje napadov z vbrizgavanjem napak
Če ste redni potrošnik, vam ni treba skrbeti za preprečevanje napadov FIA. To odgovornost nosi proizvajalec naprave ali razvijalec programske opreme, tako kot je varnost ladje naloga jadralske posadke. Proizvajalci in razvijalci to počnejo tako, da oblikujejo bolj odporne varnostne protokole in hekerjem otežijo pridobivanje podatkov.
Kljub temu popolnih sistemov ni. Napadalci pogosto razvijajo nove metode napada in niso omejeni pri uporabi teh metod, saj ne igrajo po pravilih. Na primer, heker lahko združi FIA z a napad stranskega kanala, še posebej, če je njihov dostop do naprave omejen. Ekipa na drugi strani mora to dejstvo priznati pri oblikovanju prožnih sistemov in načrtovanju svojih testov vbrizgavanja napak.
Bi vas moralo FIA skrbeti?
Ne direktno. Obstaja večja verjetnost, da grožnje kibernetski varnosti prizadenejo vas bolj osebno kot napadi z vbrizgavanjem napak. Poleg tega je FIA redko prikrita. Napadalec bo potreboval fizični dostop do vaše naprave za izvedbo napada z vbrizgavanjem napake. Poleg tega so metode vnašanja napak na splošno invazivne in povzročijo določeno stopnjo začasne ali trajne poškodbe sistema. Zato je zelo verjetno, da boste opazili, da je nekaj narobe, ali pa boste ostali z napravo, ki je ne morete uporabljati.
Ulov je seveda v tem, da je napadalec morda ukradel občutljive podatke, ko opazite poseg. Proizvajalec ali razvijalec mora preprečiti napad in izboljšati varnost svojih izdelkov.
