Lode sú mechanické zvieratá s mnohými časťami pracujúcimi na zaistení bezpečných a úspešných plavieb. Digitálnym ekvivalentom by bol softvér. Rovnako ako vývoj softvéru, stavba lodí zahŕňa niekoľko krokov a presné inžinierstvo. Potom, keď je všetko dokončené, stavitelia testujú svoje výtvory za rôznych podmienok, aby sa uistili, že plavidlo je bezpečné a funguje tak, ako bolo navrhnuté. Takmer všetok najlepší softvér, ktorý dnes používame, prechádza testami, aby sme sa uistili, že je tiež bezpečný.
Jedným z takýchto testov je chybové vstrekovanie. V porovnaní so stavbou lodí by sa vstrekovanie chýb podobalo tomu, že námorní inžinieri zámerne vkladajú diery do svojich lodí, aby videli, ako zvládajú potápanie...
Čo je chybné vstrekovanie a prečo je dôležité?
Fault injection je prax zámerného vytvárania defektov v systéme. Cieľom tejto praxe je analyzovať, ako systém funguje pri strese. Hardvérový a softvérový inžinieri zvyčajne spôsobujú chyby vo svojom hardvéri alebo softvéri z niekoľkých dôvodov.
Po prvé, chcú odhaliť a riešiť poruchy, ktoré by mohli vzniknúť mimo kontrolovaného prostredia výrobného laboratória. Je to dôležité, pretože nemajú žiadnu kontrolu nad podmienkami, za ktorých budú zákazníci ich produkty používať. Teplo by mohlo ohroziť komponenty alebo materiály, ktoré držia komponenty pohromade; zlyhanie servera môže spôsobiť, že celý región stratí prístup k svojej obľúbenej streamovacej službe; útočníci by mohli spustiť chybu, ktorá naruší bezpečnostné funkcie. Keď k takýmto udalostiam dôjde, vývojári a výrobcovia zariadení chcú svoje produkty stále ubezpečiť chrániť integritu údajov a bezpečnosť používateľov alebo upraviť rozloženie záťaže, aby sa minimalizovala služba rušenie.
V konečnom dôsledku je vloženie chýb nevyhnutné na to, aby boli aplikácie a hardvér bezpečné, zabezpečené a spoľahlivé. Podobne, vkladanie chýb pomáha výrobcom chrániť duševné vlastníctvo, znižovať riziko straty a udržiavať dôveru zákazníkov. Neuložili by ste svoje peniaze do banky, ak by ich aplikácia neustále padala a hackeri ju prelomili počas dňa, však?
Ako fungujú útoky pri chybnom vstrekovaní?
Výrobcovia zámerne vykonávajú chybové vstrekovanie, aby odhalili nedostatky, ktoré by mohli ohroziť bezpečnosť ich produktov. Nič nebráni útočníkom v tom, aby urobili to isté, aby odhalili slabé miesta v systéme a zneužili ich. Koniec koncov, nástroje používané na vykonanie injekcie chýb sú verejné a metódy nie sú príliš zložité.
Navyše, skúsení útočníci môžu byť kreatívni so svojimi metódami a posunúť systém nad rámec toho, čo je normálne. V tomto bode musíte vedieť, že vstrekovanie chýb môže byť fyzické (v hardvéri) alebo digitálne (v softvéri). Podobne nástroje a metódy používané pri útokoch s chybovým vstrekovaním môžu mať obe formy. Výrobcovia a hackeri pri svojom testovaní a útokoch často kombinujú fyzické a digitálne nástroje, resp.
Niektoré nástroje používané na vstrekovanie porúch sú FERRARI (automatický vstrekovač porúch a chýb v reálnom čase), FTAPE (hodnotiteľ tolerancie a výkonu chýb), Xception, Gremlin, Holodeck a ExhaustiF. Medzitým metódy FIA často zahŕňajú bombardovanie systému intenzívnymi elektromagnetickými impulzmi, zvyšovanie teploty prostredia, podpätie. GPU alebo CPUalebo spustenie skratu. Pomocou nástrojov a metód FIA môžu poškodiť systém dostatočne dlho na to, aby zneužili reset, obišli protokol alebo ukradli citlivé údaje.
Predchádzanie útokom pri poruche vstrekovania
Ak ste pravidelným spotrebiteľom, nemusíte sa obávať predchádzania útokom FIA. Táto zodpovednosť je na výrobcovi zariadenia alebo vývojárovi softvéru, rovnako ako bezpečnosť lode je úlohou posádky plachty. Výrobcovia a vývojári to robia tak, že navrhujú odolnejšie bezpečnostné protokoly a hackerom sťažujú extrakciu údajov.
Napriek tomu neexistujú dokonalé systémy. Útočníci často vyvíjajú nové metódy útoku a nie sú obmedzené v tom, ako tieto metódy používajú, pretože nehrajú podľa pravidiel. Hacker môže napríklad skombinovať FIA s a útok bočným kanálom, najmä ak je ich prístup k zariadeniu obmedzený. Tím na druhej strane musí uznať túto skutočnosť pri navrhovaní odolných systémov a plánovaní ich testov vstrekovania porúch.
Mali by ste sa obávať FIA?
Nie priamo. Existuje viac pravdepodobných hrozieb kybernetickej bezpečnosti, ktoré sa vás osobne dotýkajú viac ako útoky s chybným vstrekovaním. Okrem toho je FIA málokedy utajená. Útočník bude potrebovať fyzický prístup k vášmu zariadeniu, aby mohol vykonať útok na injekciu chýb. Metódy chybového vstrekovania sú tiež vo všeobecnosti invazívne a vedú k určitej úrovni dočasného alebo trvalého poškodenia systému. Je teda veľmi pravdepodobné, že si všimnete, že niečo nie je v poriadku, alebo vám zostane zariadenie, ktoré nemôžete použiť.
Háčik je samozrejme v tom, že útočník mohol ukradnúť citlivé údaje v čase, keď si všimnete manipuláciu. Je na výrobcovi alebo vývojárovi, aby v prvom rade zabránil útoku a zlepšil bezpečnosť svojich produktov.