कुछ मामलों में, कमजोरियों की घटना विभिन्न मूल के विकास उपकरणों के उपयोग के कारण होती है, जिससे प्रोग्राम कोड में तोड़फोड़-प्रकार के दोषों का खतरा बढ़ जाता है।
सॉफ़्टवेयर में तृतीय-पक्ष घटकों या स्वतंत्र रूप से वितरित कोड (ओपन सोर्स) को जोड़ने के कारण कमजोरियाँ दिखाई देती हैं। अन्य लोगों के कोड को अक्सर गहन विश्लेषण और सुरक्षा परीक्षण के बिना "जैसा है" उपयोग किया जाता है।
इस बात से इंकार नहीं किया जाना चाहिए कि टीम में अंदरूनी प्रोग्रामर हैं जो जानबूझकर बनाए जा रहे उत्पाद में अतिरिक्त अनिर्दिष्ट कार्यों या तत्वों को पेश करते हैं।
सॉफ़्टवेयर कमजोरियों का वर्गीकरण
प्रोग्राम कोड के डिज़ाइन या लेखन के दौरान होने वाली त्रुटियों के परिणामस्वरूप कमजोरियाँ उत्पन्न होती हैं।
उपस्थिति के चरण के आधार पर, इस प्रकार के खतरे को डिजाइन, कार्यान्वयन और कॉन्फ़िगरेशन कमजोरियों में विभाजित किया गया है।
- डिज़ाइन त्रुटियों का पता लगाना और उन्हें ठीक करना सबसे कठिन है। ये एल्गोरिदम, बुकमार्क, विभिन्न मॉड्यूल के बीच इंटरफ़ेस में विसंगतियां या हार्डवेयर के साथ बातचीत के लिए प्रोटोकॉल में विसंगतियां, उप-इष्टतम प्रौद्योगिकियों की शुरूआत हैं। उनका उन्मूलन एक बहुत ही समय लेने वाली प्रक्रिया है, इसलिए भी कि वे गैर-स्पष्ट मामलों में दिखाई दे सकते हैं - उदाहरण के लिए, जब यातायात की मात्रा पार हो जाती है या जब बड़ी मात्रा में अतिरिक्त उपकरण जुड़े होते हैं, जो आवश्यक स्तर के प्रावधान को जटिल बनाता है सुरक्षा और फ़ायरवॉल को बायपास करने के तरीकों के उद्भव की ओर ले जाता है।
- किसी प्रोग्राम को लिखने या उसमें सुरक्षा एल्गोरिदम पेश करने के चरण में कार्यान्वयन संबंधी कमजोरियाँ दिखाई देती हैं। ये कम्प्यूटेशनल प्रक्रिया का गलत संगठन, वाक्यात्मक और तार्किक दोष हैं। हालाँकि, एक जोखिम है कि दोष बफर ओवरफ्लो या अन्य प्रकार की समस्याओं को जन्म देगा। उनकी खोज में लंबा समय लगता है, और उन्मूलन में मशीन कोड के कुछ अनुभागों को ठीक करना शामिल है।
- हार्डवेयर और सॉफ़्टवेयर कॉन्फ़िगरेशन त्रुटियाँ बहुत आम हैं। उनके सामान्य कारण अपर्याप्त गुणवत्ता विकास और सही संचालन के लिए परीक्षणों की कमी हैं। अतिरिक्त सुविधाओं. भी इस श्रेणी में शामिल हैं सरल पासवर्डऔर डिफ़ॉल्ट खाते अपरिवर्तित छोड़ दिए गए।
आंकड़ों के मुताबिक, कमजोरियां अक्सर लोकप्रिय और व्यापक उत्पादों - डेस्कटॉप और मोबाइल - में पाई जाती हैं। ऑपरेटिंग सिस्टम, ब्राउज़र।
असुरक्षित कार्यक्रमों का उपयोग करने के जोखिम
वे प्रोग्राम जिनमें सबसे अधिक संख्या में कमजोरियाँ पाई जाती हैं, लगभग सभी कंप्यूटरों पर स्थापित होते हैं। साइबर अपराधियों की ओर से ऐसी खामियां ढूंढने और उनके लिए लिखने में सीधी रुचि होती है।
चूंकि किसी भेद्यता का पता चलने से लेकर फिक्स (पैच) के प्रकाशन तक काफी लंबा समय बीत जाता है, इसलिए संक्रमित होने के उचित संख्या में अवसर होते हैं। संगणक प्रणालीकोड में सुरक्षा छिद्रों के माध्यम से। इस मामले में, उपयोगकर्ता को केवल एक बार शोषण के साथ एक दुर्भावनापूर्ण पीडीएफ फाइल खोलने की जरूरत है, जिसके बाद हमलावरों को डेटा तक पहुंच मिल जाएगी।
बाद के मामले में संक्रमण निम्नलिखित एल्गोरिथम के अनुसार होता है:
- उपयोगकर्ता को प्राप्त होता है ईमेलकिसी विश्वसनीय प्रेषक का फ़िशिंग ईमेल.
- शोषण वाली फ़ाइल पत्र के साथ संलग्न है।
- यदि उपयोगकर्ता किसी फ़ाइल को खोलने का प्रयास करता है, तो कंप्यूटर वायरस, ट्रोजन (एन्क्रिप्टर) या अन्य मैलवेयर से संक्रमित है।
- साइबर अपराधी सिस्टम तक अनधिकृत पहुंच प्राप्त कर लेते हैं।
- बहुमूल्य डेटा चोरी हो रहा है.
अनुसंधान किया गया विभिन्न कंपनियाँ(कैस्परस्की लैब, पॉजिटिव टेक्नोलॉजीज), दिखाते हैं कि एंटीवायरस सहित लगभग किसी भी एप्लिकेशन में कमजोरियां हैं। इसलिए, गंभीरता की अलग-अलग डिग्री की खामियों वाले सॉफ़्टवेयर उत्पाद को स्थापित करने की संभावना बहुत अधिक है।
सॉफ़्टवेयर में अंतराल की संख्या को कम करने के लिए, एसडीएल (सुरक्षा विकास जीवनचक्र, सुरक्षित) का उपयोग करना आवश्यक है जीवन चक्रविकास)। एसडीएल तकनीक का उपयोग उनके निर्माण और समर्थन के सभी चरणों में अनुप्रयोगों में बग की संख्या को कम करने के लिए किया जाता है। इस प्रकार, सॉफ़्टवेयर डिज़ाइन करते समय, सूचना सुरक्षा विशेषज्ञ और प्रोग्रामर कमजोरियों का पता लगाने के लिए साइबर खतरों का मॉडल बनाते हैं। प्रोग्रामिंग के दौरान, स्वचालित उपकरण प्रक्रिया में शामिल होते हैं, जो संभावित खामियों की तुरंत रिपोर्ट करते हैं। डेवलपर्स का लक्ष्य असत्यापित उपयोगकर्ताओं के लिए उपलब्ध सुविधाओं को महत्वपूर्ण रूप से सीमित करना है, जिससे हमले की सतह को कम करने में मदद मिलती है।
कमजोरियों के प्रभाव और उनसे होने वाली क्षति को कम करने के लिए, आपको कुछ नियमों का पालन करना होगा:
- एप्लिकेशन के लिए डेवलपर द्वारा जारी फ़िक्सेस (पैच) को तुरंत इंस्टॉल करें या (अधिमानतः) सक्षम करें स्वचालित स्थितिअद्यतन.
- यदि संभव हो तो ऐसे संदिग्ध प्रोग्राम इंस्टॉल न करें जिनकी गुणवत्ता और तकनीकी सहायता संदिग्ध हो।
- विशेष भेद्यता स्कैनर या एंटीवायरस उत्पादों के विशेष कार्यों का उपयोग करें जो आपको सुरक्षा त्रुटियों की खोज करने और यदि आवश्यक हो तो सॉफ़्टवेयर अपडेट करने की अनुमति देते हैं।
भेद्यता प्रबंधन कमजोरियों को खत्म करने के लिए समाधान की पहचान, मूल्यांकन, वर्गीकरण और चयन है। भेद्यता प्रबंधन भेद्यता सूचना रिपॉजिटरी पर आधारित है, जिनमें से एक उन्नत निगरानी भेद्यता प्रबंधन प्रणाली है।
हमारा समाधान ऑपरेटिंग सिस्टम (विंडोज़, लिनक्स/यूनिक्स-आधारित), कार्यालय और एप्लिकेशन सॉफ़्टवेयर, हार्डवेयर सॉफ़्टवेयर, सूचना सुरक्षा उपकरणों में कमजोरियों के बारे में जानकारी की उपस्थिति को नियंत्रित करता है।
डेटा स्रोत
प्रॉस्पेक्टिव मॉनिटरिंग सॉफ़्टवेयर की भेद्यता प्रबंधन प्रणाली का डेटाबेस निम्नलिखित स्रोतों से स्वचालित रूप से पुनः प्राप्त किया जाता है:
- रूस के FSTEC का डेटा बैंक ऑफ़ इंफ़ॉर्मेशन सिक्योरिटी थ्रेट्स (BDU BI)।
- राष्ट्रीय भेद्यता डेटाबेस (एनवीडी) एनआईएसटी।
- लाल टोपीबगज़िला।
- डेबियन सुरक्षा बग ट्रैकर।
- CentOS मेलिंग सूची।
हम अपने डेटाबेस की कमजोरियों को फिर से भरने के लिए एक स्वचालित पद्धति का भी उपयोग करते हैं। हमने एक वेब क्रॉलर और असंरचित डेटा पार्सर विकसित किया है जो प्रतिदिन सौ से अधिक विभिन्न विदेशी और रूसी स्रोतों का विश्लेषण करता है। कीवर्ड- सामाजिक नेटवर्क, ब्लॉग, माइक्रोब्लॉग, मीडिया में समूह समर्पित सूचान प्रौद्योगिकीऔर सूचना सुरक्षा. यदि इन उपकरणों को कुछ ऐसा मिलता है जो खोज मानदंडों से मेल खाता है, तो विश्लेषक मैन्युअल रूप से जानकारी की जांच करता है और इसे भेद्यता डेटाबेस में दर्ज करता है।
सॉफ़्टवेयर भेद्यता नियंत्रण
भेद्यता प्रबंधन प्रणाली का उपयोग करके, डेवलपर्स अपने सॉफ़्टवेयर के तृतीय-पक्ष घटकों में खोजी गई कमजोरियों की उपस्थिति और स्थिति को नियंत्रित कर सकते हैं।
उदाहरण के लिए, किसी कंपनी के सिक्योर सॉफ्टवेयर डेवलपर लाइफ साइकिल (SSDLC) मॉडल में हेवलेट पैकर्डतृतीय-पक्ष पुस्तकालयों का उद्यम नियंत्रण केंद्रीय स्थानों में से एक है।
हमारा सिस्टम एक ही सॉफ़्टवेयर उत्पाद के समानांतर संस्करणों/बिल्ड में कमजोरियों की उपस्थिति की निगरानी करता है।
यह इस तरह काम करता है:
1. डेवलपर हमें उत्पाद में उपयोग की जाने वाली तृतीय-पक्ष लाइब्रेरी और घटकों की एक सूची भेजता है।
2. हम प्रतिदिन जांच करते हैं:
बी। क्या पहले से खोजी गई कमजोरियों को खत्म करने के तरीके हैं।
3. यदि निर्दिष्ट रोल मॉडल के अनुसार भेद्यता की स्थिति या स्कोरिंग बदल गई है तो हम डेवलपर को सूचित करते हैं। यह मतलब है कि विभिन्न समूहकेवल एक कंपनी के डेवलपर्स को सूचित किया जाएगा और वे जिस उत्पाद पर काम कर रहे हैं उसकी कमजोरियों की स्थिति देखेंगे।
भेद्यता प्रबंधन प्रणाली अलर्ट आवृत्ति मनमाने ढंग से कॉन्फ़िगर करने योग्य है, लेकिन जब 7.5 से अधिक सीवीएसएस स्कोर के साथ भेद्यता पाई जाती है, तो डेवलपर्स को तत्काल अलर्ट प्राप्त होगा।
वीआईपीनेट टीआईएएस के साथ एकीकरण
वीआईपीनेट थ्रेट इंटेलिजेंस एनालिटिक्स सिस्टम सॉफ्टवेयर और हार्डवेयर कॉम्प्लेक्स स्वचालित रूप से कंप्यूटर हमलों का पता लगाता है और विभिन्न स्रोतों से आने वाली घटनाओं के आधार पर घटनाओं की पहचान करता है। सूचना सुरक्षा. ViPNet TIAS के लिए घटनाओं का मुख्य स्रोत ViPNet IDS है, जो पर्सपेक्टिव मॉनिटरिंग द्वारा विकसित निर्णय नियमों AM नियमों के आधार का उपयोग करके इनकमिंग और आउटगोइंग नेटवर्क ट्रैफ़िक का विश्लेषण करता है। कुछ हस्ताक्षर कमजोरियों के शोषण का पता लगाने के लिए लिखे गए हैं।
यदि वीआईपीनेट टीआईएएस एक सूचना सुरक्षा घटना का पता लगाता है जिसमें भेद्यता का फायदा उठाया गया था, तो नकारात्मक प्रभाव को खत्म करने या क्षतिपूर्ति करने के तरीकों सहित भेद्यता से संबंधित सभी जानकारी स्वचालित रूप से एसएमएस से घटना कार्ड में दर्ज की जाती है।
घटना प्रबंधन प्रणाली विश्लेषकों को समझौते के संकेतकों और घटना से प्रभावित संभावित सूचना अवसंरचना नोड्स के बारे में जानकारी प्रदान करके सूचना सुरक्षा घटनाओं की जांच में भी मदद करती है।
सूचना प्रणालियों में कमजोरियों की उपस्थिति की निगरानी करना
भेद्यता प्रबंधन प्रणाली का उपयोग करने का एक अन्य परिदृश्य ऑन-डिमांड स्कैनिंग है।
ग्राहक स्वतंत्र रूप से नोड (वर्कस्टेशन, सर्वर, डीबीएमएस, एसजेडआई पैक) पर स्थापित की एक सूची तैयार करता है। नेटवर्क हार्डवेयर) सिस्टम और एप्लिकेशन सॉफ़्टवेयर और घटक, इस सूची को एसएमएस में सबमिट करते हैं और पहचानी गई कमजोरियों पर एक रिपोर्ट और उनकी स्थिति के बारे में समय-समय पर सूचनाएं प्राप्त करते हैं।
सिस्टम और सामान्य भेद्यता स्कैनर के बीच अंतर:
- मेजबानों पर निगरानी एजेंटों की स्थापना की आवश्यकता नहीं है।
- यह नेटवर्क पर लोड नहीं बनाता है, क्योंकि समाधान आर्किटेक्चर स्वयं एजेंटों और स्कैनिंग सर्वरों के लिए प्रदान नहीं करता है।
- घटकों की सूची बन जाने से उपकरण पर भार नहीं पड़ता है सिस्टम कमांडया एक हल्की ओपन सोर्स स्क्रिप्ट।
- सूचना लीक होने की संभावना समाप्त हो जाती है। "संभावित निगरानी" किसी सूचना प्रणाली में किसी नोड के भौतिक और तार्किक स्थान या कार्यात्मक उद्देश्य के बारे में विश्वसनीय रूप से कुछ नहीं सीख सकती है। एकमात्र जानकारी जो ग्राहक की नियंत्रित परिधि को छोड़ती है वह सॉफ़्टवेयर घटकों की सूची वाली एक txt फ़ाइल है। इस फ़ाइल की सामग्री की जाँच की जाती है और ग्राहक द्वारा स्वयं एसएमएस पर अपलोड किया जाता है।
- सिस्टम के काम करने के लिए, हमें नियंत्रित नोड्स पर खातों की आवश्यकता नहीं है। जानकारी नोड प्रशासक द्वारा अपनी ओर से एकत्र की जाती है।
- ViPNet VPN, IPsec या https के माध्यम से सुरक्षित सूचना विनिमय।
भेद्यता प्रबंधन सेवा "संभावित निगरानी" से जुड़ने से ग्राहक को ANZ.1 "पहचान, कमजोरियों का विश्लेषण" की आवश्यकता को पूरा करने में मदद मिलती है सूचना प्रणालीऔर नई पहचानी गई कमजोरियों का शीघ्र उन्मूलन ”रूस के FSTEC नंबर 17 और 21 के आदेश। हमारी कंपनी गतिविधियों के लिए रूस के FSTEC का लाइसेंसधारी है। तकनीकी सुरक्षागोपनीय जानकारी।
कीमत
कनेक्शन के लिए वैध अनुबंध के साथ सिस्टम से जुड़े 50 नोड्स के लिए न्यूनतम लागत 25,000 रूबल प्रति वर्ष है
प्रारंभ होने पर बुद्धिमान स्कैनिंगअवास्ट निम्नलिखित प्रकार की समस्याओं के लिए आपके पीसी की जाँच करेगा और फिर उन्हें ठीक करने के लिए सुझाव देगा।
- वायरस: फ़ाइलें युक्त गलत मंशा वाला कोड, जो आपके पीसी की सुरक्षा और प्रदर्शन को प्रभावित कर सकता है।
- कमज़ोर सॉफ़्टवेयर: ऐसे प्रोग्राम जिन्हें अद्यतन करने की आवश्यकता है और जिनका उपयोग हमलावर आपके सिस्टम तक पहुंच प्राप्त करने के लिए कर सकते हैं।
- ख़राब प्रतिष्ठा वाले ब्राउज़र एक्सटेंशन: ब्राउज़र एक्सटेंशन जो आमतौर पर आपकी जानकारी के बिना इंस्टॉल किए जाते हैं और सिस्टम प्रदर्शन को प्रभावित करते हैं।
- कमजोर पासवर्ड: पासवर्ड जिनका उपयोग एक से अधिक तक पहुंचने के लिए किया जाता है खाताइंटरनेट पर और इसे आसानी से हैक या समझौता किया जा सकता है।
- नेटवर्क ख़तरे : आपके नेटवर्क में कमजोरियाँ जो आप पर हमले की अनुमति दे सकती हैं नेटवर्क उपकरणऔर राउटर.
- निष्पादन मुद्दे: वस्तुएं ( कचरा फाइलेंऔर एप्लिकेशन, सेटिंग्स से संबंधित समस्याएं) जो आपके पीसी को काम करने से रोक सकती हैं।
- परस्पर विरोधी एंटीवायरस: अवास्ट के साथ पीसी पर एंटीवायरस सॉफ़्टवेयर इंस्टॉल किया गया। विभिन्न एंटीवायरस प्रोग्रामपीसी को धीमा कर देता है और एंटी-वायरस सुरक्षा की प्रभावशीलता को कम कर देता है।
टिप्पणी. स्मार्ट स्कैन द्वारा पता लगाए गए कुछ मुद्दों को हल करने के लिए एक अलग लाइसेंस की आवश्यकता हो सकती है। अनावश्यक समस्या प्रकारों का पता लगाना अक्षम किया जा सकता है।
समस्याओं का समाधान पाया गया
स्कैन क्षेत्र के बगल में हरे रंग का चेक इंगित करता है कि इससे संबंधित कोई समस्या नहीं पाई गई। रेड क्रॉस का मतलब है कि स्कैन ने एक या अधिक संबंधित समस्याओं की पहचान की है।
पाई गई समस्याओं के बारे में विशिष्ट विवरण देखने के लिए क्लिक करें सब कुछ सुलझाओ. स्मार्ट स्कैनप्रत्येक समस्या का विवरण दिखाता है और आइटम पर क्लिक करके इसे तुरंत ठीक करने का विकल्प प्रदान करता है तय करना, या बाद में क्लिक करके ऐसा करें इस स्टेप को छोड़ दें.
टिप्पणी. एंटीवायरस स्कैन लॉग को स्कैन इतिहास में देखा जा सकता है, जिसे चयन करके एक्सेस किया जा सकता है सुरक्षा एंटीवायरस.
स्मार्ट स्कैन सेटिंग्स प्रबंधित करना
स्मार्ट स्कैन सेटिंग्स बदलने के लिए, चुनें सेटिंग्स सामान्य स्मार्ट स्कैनऔर निर्दिष्ट करें कि आप किस सूचीबद्ध प्रकार की समस्याओं के लिए स्मार्ट स्कैन चलाना चाहते हैं।
- वायरस
- पुराना सॉफ्टवेयर
- ब्राउज़र ऐड-ऑन
- नेटवर्क ख़तरे
- सुसंगति के मुद्दे
- निष्पादन मुद्दे
- कमजोर पासवर्ड
डिफ़ॉल्ट रूप से, सभी प्रकार के मुद्दे सक्षम हैं। स्मार्ट स्कैन करते समय किसी विशिष्ट समस्या की जाँच बंद करने के लिए स्लाइडर पर क्लिक करें शामिलसमस्या प्रकार के आगे ताकि यह स्थिति बदल सके कामोत्तेजित.
क्लिक समायोजनशिलालेख के बगल में वायरस के लिए स्कैनिंगस्कैन सेटिंग बदलने के लिए.
वर्तमान में, सॉफ़्टवेयर कमजोरियों की खोज को स्वचालित करने के लिए बड़ी संख्या में उपकरण विकसित किए गए हैं। यह लेख उनमें से कुछ पर चर्चा करेगा.
परिचय
स्टेटिक कोड विश्लेषण एक सॉफ्टवेयर विश्लेषण है जो प्रोग्राम के स्रोत कोड पर किया जाता है और अध्ययन के तहत प्रोग्राम को वास्तव में निष्पादित किए बिना लागू किया जाता है।
प्रोग्राम कोड में त्रुटियों के कारण सॉफ़्टवेयर में अक्सर विभिन्न कमजोरियाँ होती हैं। प्रोग्राम के विकास के दौरान की गई त्रुटियाँ, कुछ स्थितियों में, प्रोग्राम के क्रैश होने का कारण बनती हैं, और इसलिए, प्रोग्राम का सामान्य संचालन बाधित होता है: इस मामले में, डेटा अक्सर बदल जाता है और दूषित हो जाता है, प्रोग्राम या यहाँ तक कि सिस्टम भी बंद हो जाता है . अधिकांश कमजोरियाँ बाहर से प्राप्त डेटा के गलत प्रसंस्करण या उनके अपर्याप्त सख्त सत्यापन से संबंधित हैं।
कमजोरियों की पहचान करने के लिए विभिन्न उपकरणों का उपयोग किया जाता है, उदाहरण के लिए, स्थैतिक विश्लेषक सोर्स कोडइस आलेख में कार्यक्रमों की समीक्षा की गई है।
सुरक्षा कमजोरियों का वर्गीकरण
जब आवश्यकता सही संचालनसभी संभावित इनपुट डेटा पर प्रोग्राम का उल्लंघन किया जाता है, तथाकथित सुरक्षा कमजोरियों (सुरक्षा भेद्यता) का उद्भव संभव हो जाता है। सुरक्षा कमजोरियाँ पूरे सिस्टम की सुरक्षा सीमाओं को दूर करने के लिए एक प्रोग्राम का उपयोग करने का कारण बन सकती हैं।
सुरक्षा कमजोरियों का वर्गीकरण इस पर निर्भर करता है सॉफ़्टवेयर त्रुटियाँ:
- बफ़र अधिकता। यह भेद्यता प्रोग्राम निष्पादन के दौरान मेमोरी में आउट-ऑफ-बाउंड ऐरे पर नियंत्रण की कमी के कारण होती है। जब कोई डेटा पैकेट जो बहुत बड़ा होता है, सीमित बफर को ओवरफ्लो कर देता है, तो बाहरी मेमोरी कोशिकाओं की सामग्री अधिलेखित हो जाती है, और प्रोग्राम क्रैश हो जाता है और क्रैश हो जाता है। प्रक्रिया मेमोरी में बफ़र के स्थान के अनुसार, बफ़र ओवरफ़्लो को स्टैक (स्टैक बफ़र ओवरफ़्लो), हीप (हीप बफ़र ओवरफ़्लो) और स्थिर डेटा क्षेत्र (बीएसएस बफ़र ओवरफ़्लो) पर प्रतिष्ठित किया जाता है।
- कमजोरियाँ "दागी इनपुट" (दागी इनपुट भेद्यता)। दूषित इनपुट कमजोरियाँ तब हो सकती हैं जब उपयोगकर्ता इनपुट पर्याप्त नियंत्रण के बिना किसी बाहरी भाषा (आमतौर पर यूनिक्स शेल या एसक्यूएल भाषा) के दुभाषिया को भेज दिया जाता है। इस मामले में, उपयोगकर्ता इनपुट डेटा को इस तरह से निर्दिष्ट कर सकता है कि लॉन्च किया गया दुभाषिया कमजोर प्रोग्राम के लेखकों द्वारा इच्छित की तुलना में पूरी तरह से अलग कमांड निष्पादित करेगा।
- प्रारूप स्ट्रिंग भेद्यता. इस प्रकारसुरक्षा भेद्यता "दूषित इनपुट" भेद्यता का एक उपवर्ग है। यह सी मानक लाइब्रेरी के प्रारूप I/O फ़ंक्शंस printf, fprintf, scanf, आदि का उपयोग करते समय अपर्याप्त पैरामीटर नियंत्रण से उत्पन्न होता है। ये फ़ंक्शन एक पैरामीटर के रूप में एक कैरेक्टर स्ट्रिंग लेते हैं जो बाद के फ़ंक्शन तर्कों के लिए इनपुट या आउटपुट प्रारूप निर्दिष्ट करता है। यदि उपयोगकर्ता फ़ॉर्मेटिंग प्रकार स्वयं सेट कर सकता है, तो यह भेद्यता स्ट्रिंग फ़ॉर्मेटिंग फ़ंक्शंस के विफल अनुप्रयोग के परिणामस्वरूप हो सकती है।
- सिंक्रनाइज़ेशन त्रुटियों (दौड़ की स्थिति) के परिणामस्वरूप कमजोरियाँ। मल्टीटास्किंग से जुड़ी समस्याएं "रेस कंडीशन" नामक स्थितियों को जन्म देती हैं: एक प्रोग्राम जिसे मल्टीटास्किंग वातावरण में चलाने के लिए डिज़ाइन नहीं किया गया है, उदाहरण के लिए, चलने के दौरान उपयोग की जाने वाली फ़ाइलों को किसी अन्य प्रोग्राम द्वारा नहीं बदला जा सकता है। परिणामस्वरूप, एक हमलावर जो समय पर इन कार्यशील फ़ाइलों की सामग्री को बदल देता है, प्रोग्राम को कुछ क्रियाएं करने के लिए बाध्य कर सकता है।
बेशक, सूचीबद्ध के अलावा, सुरक्षा कमजोरियों के अन्य वर्ग भी हैं।
मौजूदा विश्लेषकों का अवलोकन
प्रोग्रामों में सुरक्षा कमजोरियों का पता लगाने के लिए निम्नलिखित उपकरणों का उपयोग किया जाता है:
- गतिशील डिबगर्स. उपकरण जो आपको किसी प्रोग्राम को चलने के दौरान डीबग करने की अनुमति देते हैं।
- स्थैतिक विश्लेषक (स्थैतिक डिबगर्स)। उपकरण जो प्रोग्राम के स्थैतिक विश्लेषण के दौरान संचित जानकारी का उपयोग करते हैं।
स्टेटिक एनालाइज़र प्रोग्राम में उन स्थानों को इंगित करते हैं जहाँ त्रुटि पाई जा सकती है। इन संदिग्ध कोड स्निपेट में या तो बग हो सकता है या पूरी तरह से हानिरहित हो सकता है।
यह आलेख कई मौजूदा स्थैतिक विश्लेषकों का अवलोकन प्रदान करता है। आइए उनमें से प्रत्येक पर करीब से नज़र डालें।
इस समस्या को देखने का दूसरा तरीका यह है कि किसी एप्लिकेशन में भेद्यता होने पर कंपनियों को तुरंत प्रतिक्रिया देने की आवश्यकता होती है। इसके लिए आवश्यक है कि आईटी विभाग निश्चित रूप से ट्रैक करने में सक्षम हो इंस्टॉल किए गए ऐप्स, स्वचालन उपकरण और मानक उपकरण का उपयोग करके घटक और पैच। सॉफ़्टवेयर टैग (19770-2) को मानकीकृत करने का एक उद्योग प्रयास है, जो एक एप्लिकेशन, घटक और/या पैच के साथ स्थापित XML फ़ाइलें हैं जो स्थापित सॉफ़्टवेयर की पहचान करती हैं, और एक घटक या पैच के मामले में, वे कौन से एप्लिकेशन हैं का हिस्सा। टैग में प्रकाशक प्राधिकरण की जानकारी, संस्करण की जानकारी, फ़ाइल नाम वाली फ़ाइलों की एक सूची, एक सुरक्षित फ़ाइल हैश और एक आकार होता है जिसका उपयोग यह पुष्टि करने के लिए किया जा सकता है कि इंस्टॉल किया गया एप्लिकेशन सिस्टम पर है और बायनेरिज़ को किसी द्वारा संशोधित नहीं किया गया है तृतीय पक्ष। ये लेबल हस्ताक्षरित हैं अंगुली का हस्ताक्षरप्रकाशक.
जब किसी भेद्यता का पता चलता है, तो आईटी विभाग अपने परिसंपत्ति प्रबंधन सॉफ़्टवेयर का उपयोग करके कमज़ोर सॉफ़्टवेयर वाले सिस्टम की तुरंत पहचान कर सकते हैं और सिस्टम को अद्यतन करने के लिए कदम उठा सकते हैं। टैग किसी पैच या अपडेट का हिस्सा हो सकते हैं जिनका उपयोग यह सत्यापित करने के लिए किया जा सकता है कि पैच स्थापित किया गया है। इस तरह, आईटी विभाग अपने परिसंपत्ति प्रबंधन उपकरणों के प्रबंधन के साधन के रूप में एनआईएसटी राष्ट्रीय भेद्यता डेटाबेस जैसे संसाधनों का उपयोग कर सकते हैं ताकि एक बार किसी कंपनी द्वारा एनवीडी को भेद्यता प्रस्तुत किए जाने पर, आईटी तुरंत नई कमजोरियों की तुलना उनके साथ कर सके।
कंपनियों का एक समूह गैर-लाभकारी आईईईई/आईएसटीओ के माध्यम से टैगवॉल्ट.ओआरजी (www.tagvault.org) के माध्यम से आईएसओ 19770-2 के मानक कार्यान्वयन पर अमेरिकी सरकार के साथ काम कर रहा है जो इस स्तर के स्वचालन को सक्षम करेगा। इस कार्यान्वयन के अनुरूप ये टैग अगले कुछ वर्षों में किसी समय अमेरिकी सरकार को बेचे जाने वाले सॉफ़्टवेयर के लिए अनिवार्य होंगे।
तो अंत में, यह अच्छा अभ्यास है कि आप कौन से ऐप्स और विशिष्ट सॉफ़्टवेयर संस्करणों का उपयोग कर रहे हैं, यह पोस्ट न करें, लेकिन यह मुश्किल हो सकता है, जैसा कि पहले कहा गया है। आप यह सुनिश्चित करना चाहते हैं कि आपके पास एक सटीक, अद्यतित सॉफ़्टवेयर सूची है जिसकी नियमित रूप से एनवीडी की एनवीआईडी जैसी ज्ञात कमजोरियों की सूची के साथ तुलना की जाती है, और आईटी विभाग खतरे को दूर करने के लिए तत्काल कार्रवाई कर सकता है। इसके साथ ही नवीनतम खोज घुसपैठ, एंटी-वायरस स्कैनिंग, और अन्य माध्यम अवरोधन विधियां कम से कम आपके पर्यावरण से समझौता करना बहुत कठिन बना देंगी, और यदि/जब ऐसा होता है, तो लंबे समय तक इसका पता नहीं लगाया जाएगा।
