Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Luki w oprogramowaniu

Tagi:

'Errare humanum est' ('Mylić się jest rzeczą ludzką')
Marcus Tullius Cicero, rzymski mąż stanu, filozof i autor

'Mylić się jest rzeczą ludzką, ale żeby naprawdę coś spaprać - do tego potrzeba komputera''
Paul Ehrlich, wybitny naukowiec

Termin 'luka' (ang. vulnerability) często pojawia się w związku z tematem bezpieczeństwa komputerowego i występuje w wielu różnych kontekstach.

Termin 'luka', w swym najszerszym znaczeniu, odnosi się do naruszenia polityki bezpieczeństwa. Przyczyną mogą być słabe uregulowania dotyczące bezpieczeństwa lub też samo oprogramowanie. Teoretycznie wszystkie systemy komputerowe obarczone są lukami. Czy są to poważne luki, zależy od ewentualnego wykorzystania ich do uszkodzenia systemu.

Podejmowano wiele prób jednoznacznego zdefiniowania terminu 'luka' oraz rozróżnienia jego dwóch znaczeń. MITRE, amerykańska grupa naukowo-rozwojowa finansowana przez rząd federalny, skoncentrowała się na analizie i rozwiązaniu krytycznych zagadnień bezpieczeństwa. Grupa ta stworzyła następujące definicje:

Według terminologii CVE grupy MITRE

[...] luka jest stanem systemu komputerowego (lub grupy systemów), który:

  • umożliwia agresorowi wykonanie poleceń komputerowego imieniu innego użytkownika
  • umożliwia agresorowi zdobycie dostępu do danych z naruszeniem określonych ograniczeń dostępu do tych danych
  • umożliwia agresorowi podszywanie się pod inną jednostkę
  • umożliwia agresorowi przeprowadzenie ataku DoS (Denial of Service)

Według MITRE, jeśli atak umożliwia słaba lub nieodpowiednia polityka bezpieczeństwa, należy raczej stosować określenie 'podatność na atak' (ang. exposure):

Podatność na atak jest stanem systemu komputerowego (lub grupy systemów), który nie jest luką, a jedynie:

  • umożliwia agresorowi gromadzenie informacji
  • umożliwia agresorowi ukrywanie czynności
  • uwzględnia funkcję, która zachowuje się zgodnie z oczekiwaniami, jednak może zostać łatwo wykorzystana do zaatakowania systemu
  • jest głównym punktem wejścia, które agresor może wykorzystać do zdobycia dostępu do systemu lub danych, lub stanowi problem z punktu widzenia polityki bezpieczeństwa

Podczas prób zdobycia nieautoryzowanego dostępu do systemu, intruz przeprowadza najpierw rutynowe skanowanie (lub badanie) celu, zbiera wszystkie 'niezabezpieczone dane', a następnie wykorzystuje słabe punkty lub luki w polityce bezpieczeństwa. Podczas zabezpieczania systemu przed nieautoryzowanym dostępem należy dokonać sprawdzenia pod kątem zarówno luk, jak i podatności na atak.