Lodě jsou mechanická zvířata s mnoha součástmi, které zajišťují bezpečné a úspěšné plavby. Digitální ekvivalent by byl software. Stejně jako vývoj softwaru, stavba lodí zahrnuje několik kroků a přesné inženýrství. Poté, když je vše dokončeno, stavitelé otestují své výtvory za různých podmínek, aby se ujistili, že plavidlo je bezpečné a funguje tak, jak bylo navrženo. Téměř veškerý nejlepší software, který dnes používáme, prochází testy, abychom se ujistili, že je také bezpečný.
Jedním z takových testů je poruchové vstřikování. V porovnání se stavbou lodí by se vstřikování chyb podobalo tomu, že námořní inženýři záměrně dávají do svých lodí díry, aby viděli, jak zvládají potopení...
Co je poruchové vstřikování a proč je důležité?
Fault injection je praxe záměrného vytváření defektů v systému. Cílem tohoto cvičení je analyzovat, jak se systém chová při zátěži. Hardwaroví a softwaroví inženýři obvykle způsobují chyby ve svém hardwaru nebo softwaru z několika důvodů.
Jednak chtějí odhalit a řešit poruchy, které by mohly vzniknout mimo kontrolované prostředí produkční laboratoře. To je důležité, protože nemají žádnou kontrolu nad podmínkami, za kterých budou zákazníci jejich produkty používat. Teplo by mohlo ohrozit součásti nebo materiály držící součásti pohromadě; selhání serveru může způsobit ztrátu přístupu k oblíbené streamovací službě celé oblasti; útočníci by mohli vyvolat chybu, která naruší bezpečnostní funkce. Když k takovým událostem dojde, vývojáři a výrobci zařízení chtějí zajistit, aby jejich produkty byly stále chránit integritu dat a bezpečnost uživatelů nebo upravit rozložení zátěže tak, aby se minimalizovala služba narušení.
Injekce chyb je nakonec nezbytná k zajištění bezpečnosti, zabezpečení a spolehlivosti aplikací a hardwaru. Stejně tak injekce chyb pomáhá výrobcům chránit duševní vlastnictví, snižovat riziko ztráty a udržet si důvěru zákazníků. Neuložili byste své peníze do banky, pokud by jejich aplikace neustále padala a hackeři by ji rozlouskali, že?
Jak fungují útoky chybným vstřikováním?
Výrobci záměrně provádějí vstřikování chyb, aby odhalili nedostatky, které by mohly ohrozit bezpečnost jejich produktů. Útočníkům nic nebrání v tom, aby udělali totéž, aby odhalili slabá místa v systému a využili je. Koneckonců, nástroje používané k provádění injekce chyb jsou veřejné a metody nejsou příliš složité.
Navíc zkušení útočníci mohou být kreativní se svými metodami a posouvat systém nad rámec toho, co je normální. V tomto okamžiku musíte vědět, že injekce poruchy může být fyzická (v hardwaru) nebo digitální (v softwaru). Podobně nástroje a metody používané při útocích s injekcí chyb mohou mít obě formy. Výrobci a hackeři často při testování a útocích kombinují fyzické a digitální nástroje.
Některé nástroje používané pro vstřikování poruch jsou FERRARI (automatický injektor Fault and ERRor Automatic Real-time Injector), FTAPE (Fault Tolerance And Performance Evaluator), Xception, Gremlin, Holodeck a ExhaustiF. Mezitím metody FIA často zahrnují bombardování systému intenzivními elektromagnetickými pulsy, zvýšení okolní teploty, podpětí GPU nebo CPUnebo spuštění zkratu. Pomocí nástrojů a metod FIA mohou poškodit systém dostatečně dlouho, aby zneužili reset, obešli protokol nebo ukradli citlivá data.
Zabránění útokům při chybném vstřikování
Pokud jste pravidelným spotřebitelem, nemusíte se obávat, že zabráníte útokům FIA. Tato odpovědnost je na výrobci zařízení nebo vývojáři softwaru, stejně jako bezpečnost lodi je úkolem posádky plachty. Výrobci a vývojáři to dělají tím, že navrhují odolnější bezpečnostní protokoly a ztěžují hackerům extrakci dat.
Přesto neexistují žádné dokonalé systémy. Útočníci často vyvíjejí nové metody útoku a nejsou omezeni v tom, jak tyto metody uplatňují, protože nehrají podle pravidel. Hacker může například kombinovat FIA s a útok postranním kanálem, zejména pokud je jejich přístup k zařízení omezený. Tým na druhé straně musí tuto skutečnost uznat při navrhování odolných systémů a plánování svých testů vstřikování chyb.
Měli byste se obávat FIA?
Ne přímo. Existují pravděpodobnější hrozby kybernetické bezpečnosti, které se vás dotknou více osobně, než útoky s injekcí chyb. Kromě toho je FIA zřídkakdy tajná. Útočník bude potřebovat fyzický přístup k vašemu zařízení, aby mohl provést útok injekce chyb. Také metody vstřikování chyb jsou obecně invazivní a vedou k určité úrovni dočasného nebo trvalého poškození systému. Je tedy velmi pravděpodobné, že si všimnete, že je něco špatně, nebo vám zůstane zařízení, které nemůžete použít.
Háček je samozřejmě v tom, že útočník mohl odcizit citlivá data v době, kdy si všimnete manipulace. Je na výrobci nebo vývojáři, aby útoku zabránil a zlepšil zabezpečení svých produktů.
