Home → Zagrożenia → Inne artykuły → Luki w oprogramowaniu
'Mylić się jest rzeczą ludzką, ale żeby naprawdę coś spaprać - do tego potrzeba komputera''
Paul Ehrlich, wybitny naukowiec
Termin 'luka' (ang. vulnerability) często pojawia się w związku z tematem bezpieczeństwa komputerowego i występuje w wielu różnych kontekstach.
Termin 'luka', w swym najszerszym znaczeniu, odnosi się do naruszenia polityki bezpieczeństwa. Przyczyną mogą być słabe uregulowania dotyczące bezpieczeństwa lub też samo oprogramowanie. Teoretycznie wszystkie systemy komputerowe obarczone są lukami. Czy są to poważne luki, zależy od ewentualnego wykorzystania ich do uszkodzenia systemu.
Podejmowano wiele prób jednoznacznego zdefiniowania terminu 'luka' oraz rozróżnienia jego dwóch znaczeń. MITRE, amerykańska grupa naukowo-rozwojowa finansowana przez rząd federalny, skoncentrowała się na analizie i rozwiązaniu krytycznych zagadnień bezpieczeństwa. Grupa ta stworzyła następujące definicje:
Według terminologii CVE grupy MITRE
[...] luka jest stanem systemu komputerowego (lub grupy systemów), który:
Według MITRE, jeśli atak umożliwia słaba lub nieodpowiednia polityka bezpieczeństwa, należy raczej stosować określenie 'podatność na atak' (ang. exposure):
Podczas prób zdobycia nieautoryzowanego dostępu do systemu, intruz przeprowadza najpierw rutynowe skanowanie (lub badanie) celu, zbiera wszystkie 'niezabezpieczone dane', a następnie wykorzystuje słabe punkty lub luki w polityce bezpieczeństwa. Podczas zabezpieczania systemu przed nieautoryzowanym dostępem należy dokonać sprawdzenia pod kątem zarówno luk, jak i podatności na atak.
Analizy
Blog