¿Todas las amenazas de seguridad son provocadas por errores de software?

13

La mayoría de las amenazas de seguridad de las que he escuchado han surgido debido a un error en el software (por ejemplo, todas las entradas no están correctamente comprobadas, los desbordamientos de pila, etc.) Entonces, si excluimos todo hackeo social, ¿todas las amenazas de seguridad se deben a errores? En otras palabras, si no hubiera errores, ¿no habría amenazas de seguridad (de nuevo, excluyendo las fallas de los seres humanos, como la revelación de contraseñas y demás)? ¿O pueden los sistemas ser explotados en formas no causadas por errores?

    
pregunta gablin 21.12.2012 - 10:19

7 respuestas

25

Un error se define como un software que no funciona según las especificaciones. Ahora si las especificaciones son defectuosas, no es un error de software. Si un cliente tonto exige que todas las contraseñas deben ser códigos de tres dígitos sin un período de gracia entre las entradas defectuosas, no se debe culpar al software.

Muchos sistemas tienen un "modo de servicio" que puede anular la seguridad, y si bien el acceso a él debe ser seguro, los códigos a menudo se filtran al público.

Los avances en matemáticas comprometen los métodos de criptografía antiguos. Algo que era seguridad viable hace 30 años se debilita hoy en día.

Hay varios métodos de robo de datos que a menudo se pasan por alto. Un teclado inalámbrico tiene un alcance de aproximadamente 2 m, debido a las pequeñas antenas, y el código enviado no está cifrado. Leerlo desde el otro lado de la calle con una buena antena es un método conocido.

En ocasiones, las compensaciones de seguridad se realizan con plena conciencia de las consecuencias: los sistemas de cifrado toman el poder y el tiempo de CPU. Las aplicaciones de monitoreo integradas a menudo envían sus datos de una manera claramente legible para el público porque primero, el valor de comprometer los datos es insignificante, y luego el costo adicional de implementar la seguridad es innecesario.

Toda la seguridad se basa en la confianza. No hace falta ninguna ingeniería social para que el administrador designado se desvíe de la cuenta y lea su correo.

Y al final, ¿se puede considerar la aplicación de un bate de béisbol en una rodilla como una técnica social?

    
respondido por el SF. 21.12.2012 - 11:52
12

También puede haber situaciones en las que los errores de hardware causen problemas de seguridad. Solo considere un chip RAM defectuoso que voltea espontáneamente el bit "isAdmin".

O considere un error de hardware hipotético donde la protección de la memoria no funciona como se esperaba y un proceso puede sobrescribir la memoria de otro proceso sin provocar una interrupción.

Para su placer de lectura: Seguridad informática comprometida por un fallo de hardware

    
respondido por el user281377 21.12.2012 - 10:24
6

Muchas de las amenazas de seguridad surgen de las características del software, no de los errores. Muchas funciones de software muy útiles resultan tener usos para bien o para mal, dependiendo solo del usuario. intención.

    
respondido por el ddyer 21.12.2012 - 10:30
5

Considere un ataque distribuido de denegación de servicio (DDOS). Eso puede ser un riesgo de seguridad, pero no es causado por un error de software sino por un atacante que pasa los límites de lo que fue diseñado para el sistema. Y cada sistema tiene un límite.

Entonces, la respuesta a su pregunta es: no, no todas las amenazas de seguridad son provocadas por errores de software.

    
respondido por el Pieter B 21.12.2012 - 11:10
4

Ingeniería social.

  

Hola, soy XX del departamento de TI. Su computadora actualmente está propagando virus a otras computadoras de oficina. Necesito tu nombre de usuario y   Contraseña para poder eliminarlo.

Cuando el hacker tiene el nombre de usuario / contraseña, puede instalar troyanos de forma segura, etc.

La ingeniería social se puede aplicar de varias maneras y usarla para eludir la seguridad es una.

    
respondido por el jgauffin 21.12.2012 - 11:02
3

¿Qué tal algo como Firesheep , el complemento de Firefox que roba cookies que se transmiten en una red inalámbrica compartida? >

Podría argumentar que la vulnerabilidad a tales ataques es un error, pero también podría argumentar en contra de ella. No hay mucho que pueda hacer un sitio web para evitar que los usuarios se vean comprometidos además de ejecutar todas las comunicaciones a través de HTTPS. ¿Puede decir que es un error aceptar las comunicaciones HTTP en su sitio web?

    
respondido por el Carson63000 21.12.2012 - 10:34
1

Sí, en la medida en que una falla en la seguridad del software es, cualquiera que sea la causa proximate , una falla del software para cumplir con sus requisitos.

Acepto que esto es solo una tautología, pero esa es la medida de ello.

    
respondido por el user4051 21.12.2012 - 11:21

Lea otras preguntas en las etiquetas