Gjetja e zbrazëtirave të Sigurisë

Zbrazëtirat apo dobësitë e sigurisë në një sistem janë defekte harduerike apo/dhe softuerike të cilat ndikojnë drejtpërdrejtë në sigurinë e atij sistemi. Keqbërësit pasi t’i njohin këto dobësi provojnë t’i përdorin ato përmes një mekanizimi të quajtur “Exploit”.

Këto dobësi, pasi të zbulohen, më shumë ka gjasë të diskutohen dhe përhapen në rrjetat sociale, se që ato të raportohen tek kompania mëmë e atij hardueri/softueri apo tek sitet qeveritare për raportim të zbrazëtirave të tilla.

Exploit është një term i cili përshkruan një program të krijuar i cili kryen një veprim duke shfrytëzuar dobësitë e njohura në një sistem Harduerik apo Softuerik. Akti i shfrytëzimit të një exploit-i kundër një zbrazëtire quhet sulm apo ne anglisht “Attack”. Qëllimi i një sulmi është që sulmuesi të fitoj sa më shumë qasje tek një sistem, tek të dhënat që ruan apo tek ndonjë shërbim specifik brenda sistemit.

Dobësitë Softuerike

Dobësitë softuerike zakonisht janë të shkaktuara nga gabimet në Sistemin Operativ ose në kod të aplikacioneve, përkundër përpjekjeve të ekipeve të tëra për identifikimin dhe korrigjimin e këtyre gabimeve ato mund të gjenden dhe dalin në sipërfaqe. Microsoft, Apple, dhe kompani të tjera të sistemeve operative, në baza ditore lëshojnë përditësime dhe plotësime të zbrazëtirave në aplikacionet dhe sistemet e tyre. Aplikacionet e tjera, si shfletuesit e uebit (web browser), aplikacionet për mobil dhe serverët e uebit, përditësohen nga kompania ose organizata që janë përgjegjëse për to.

Në vitin 2015, një dobësi e madhe e njohur si “SYNful Knock” u evidentua në IOS të disa pajisje të Cisco-s. Kjo dobësi ka mundësuar që sulmuesit të marrin nën kontroll disa Router të Cisco-s dhe të bëjnë monitorim të të gjitha komunikimeve në rrjet, si dhe të infektojnë edhe pajisjet e tjera në rrjet. Këtë dobësi Cisco e kishte eliminuar duke publikuar versionin e ri të IOS-it, i cili u vendos në këto pajisje të rrjetit.

Qëllimi i përditësimit të softuerëve është të qëndrojnë në versionin e fundit dhe të shmangin gjetjen e dobësive. Disa kompani kanë ekipe të tëra që bëjnë testime të ndërhyrjes, që ndryshe njihen si “Penetration testing” apo “Pen testing”, me qëllim të kërkimit të dobësive të mundshme në sistemet e tyre, apo edhe duke kontraktuar palë të treta që të kryej një shërbim të tillë për ta.

“Project Zero” i kompanisë Google është një shembull praktik. Google pasi ka gjetur se janë raportuar një numër i madh i dobësive në lloje të ndryshme të softuerëve të shfrytëzuar nga shfrytëzuesit e saj fundor, ka formuar një ekip të dedikuar për identifikimin e këtyre dobësive softuerike të quajtur “Google Security Research”

Dobësitë Harduerike

Dobësitë harduerike janë kryesisht të shkaktuara nga dizajni harduerik. Si shembull i tillë është Memoria RAM ku kondensatorët janë të instaluar shumë afër njëri me tjetrin. Është gjetur se për shkak të afërsisë së tyre, ndryshimet e vazhdueshme të aplikuara në njërin prej kondensatorëve mund të ndikojnë edhe tek kondensatorët e afërm. Bazuar në këtë dizajn, një program i krijuar (exploit) i quajtur “Rowhammer” ishte aktivizuar. Duke rishkruar vazhdimisht në të njëjtën adresë të memories RAM, virusi “Rowhammer” merr të dhëna nga adresat e afërta të memories, kështu duke krijuar një zinxhirë të rrjedhjes së të dhënave përmes një adrese në RAM.

Dobësitë Harduerike janë specifike tek disa modele të pajisjeve dhe nuk janë dobësi që hulumtohen apo zbulohen nga ndonjë tentim i rastësishëm. Kështu që hulumtimet rreth dobësive harduerike dhe shfrytëzimit të këtyre dobësive janë më shumë tek ndonjë cak shumë i rëndësishëm.

Kategorizimi i Zbrazëtirave të Sigurisë

Shumica e zbrazëtirave të sigurisë softuerike mund të hyjnë në njërën nga kategoritë e më poshtme:

Buffer Overflow (Mbingarkesë e  memories) – Kjo zbrazëti shfaqet kur shkruhen më shumë të dhëna se që është limiti në një “Buffer”. Buffer janë hapësira të memories të caktuara (ndara) për një aplikacion. Duke i ndryshuar të dhënat përtej kufijve të një Buffer-i, aplikacioni qaset në pjesën tjetër të memories të rezervuar për një tjetër proces, dhe kështu vije deri tek prishja e sistemit, komprometimi i të dhënave ose deri tek marrja e privilegjeve.

Non-validated input (Hyrje jo-valide) – Programet shpeshherë punojnë me futje të të dhënave. Këto të dhëna që futen në programe mund të kenë përmbajtje me qëllim të keq (malicious), të dizajnuar për të detyruar programin të punoj në një mënyre jo të rregullt. Shembull: një program që pranon një fotografi për procesim. Një shfrytëzues keqbërës mund ta krijoj një file-fotografi me dimensione të pa njohura dhe e fut në sistem. Kjo fotografi mund ta detyroi sistemin të rezervoj pjesë të memories për një madhësi të pa njohur.

Race condition (Gjendja e garës) – Kjo zbrazëti është kur veprimet apo ngjarjet nuk përkojnë me kohën kur është kërkuar apo është marrë veprimi. Shembull i tillë mund të jetë kur data e krijimit të një dokumenti është më e hershme se sa data reale e krijimit. Ose data e ndryshimit të dokumentit të jetë para datës së krijimit të dokumentit, duke krijuar kështu paqartësi.

Weaknesses in security practices (Dobësitë në praktikat e Sigurisë) – Sistemet dhe të dhënat senzitive mund të mbrohen përmes teknikave siç janë autentikimi, autorizimi dhe enkriptimi. Zhvilluesit e aplikacioneve nuk duhet të krijojnë algoritmet e tyre të sigurisë sepse ato mund të jenë më të pëlqyera për hulumtimin e zbrazëtive në to. Është shumë e rekomanduar që zhvilluesit të përdorin librari sigurie të cilat më herët janë krijuar, testuar, dhe verifikuar.

Access-control problems (Problemet me kontroll të qasjes) – Kontrolli i qasjes është procesi i kontrollimit se kush dhe si duhet të qaset nga menaxhimi i pajisjeve fizike, qasjes ne resurse siç janë dosjet dhe dokumentet, të dhënat e tjera, dhe se çfarë qasje të kenë, në lexim apo ndryshim të dosjes.

Pothuaj se të gjitha kontrollet e qasjes dhe praktikat e sigurisë janë të kalueshme nëse sulmuesit kanë qasje fizike tek pajisjet që kanë shërbimet e caktuara (target). Për shembull, pavarësisht se çfarë kufizimesh në të dhëna keni vendosur, sistemi operativ nuk mund ta ndaloj dikë që anashkalon sistemin operativ dhe i lexon të dhënat direkt në diskun e hequr – nga një pajisje (sistem) tjetër.

Mbrojtja e pajisjeve dhe e të dhënave është konstante. Ajo duhet të bëhet vazhdimisht. Qasja fizike duhet të kufizohet dhe teknikat e enkriptimit duhet të shfrytëzohen për mbrojtjen e të dhënave nga vjedhja apo ndryshimi i tyre.