Уязвимость (вычисления)
Из Википедии, свободной энциклопедии
  (Перенаправлено с раскрытия уязвимости )
Перейти к навигации Перейти к поиску
Часть серии о
Информационной безопасности
Инциденты информационной безопасности по категориям, 2014 финансовый год.svg
Связанные категории безопасности
Угрозы
Защита
  • Безопасность приложений
    • Безопасное кодирование
    • Безопасно по умолчанию
    • Безопасность по дизайну
      • Дело о неправильном использовании
  • Контроль доступа к компьютеру
    • Аутентификация
      • Многофакторная аутентификация
    • Авторизация
  • Программное обеспечение для компьютерной безопасности
    • Антивирусная программа
    • Операционная система, ориентированная на безопасность
  • Безопасность, ориентированная на данные
  • Обфускация кода
  • Маскировка данных
  • Шифрование
  • Брандмауэр
  • Система обнаружения вторжений
    • Хост-система обнаружения вторжений (HIDS)
    • Обнаружение аномалий
  • Информация о безопасности и управление событиями (SIEM)
  • Мобильный безопасный шлюз
  • Самозащита приложений во время выполнения
  • в
  • т
  • е
Часть серии о
Взлом компьютера
История
  • Фрикинг
  • Криптовирусология
  • Взлом бытовой электроники
  • Список хакеров
Хакерская культура и этика
  • Хакатон
  • Хакерский манифест
  • Хакерспейс
  • Хактивизм
  • Культура создателя
  • Типы хакеров
    • Черная шляпа
    • Серая шляпа
    • белая шляпа
Конференции
  • Брифинги черной шляпы
  • Хаос Коммуникационный Конгресс
  • ЗАЩИТА КОН
  • Хакеры на планете Земля
  • Безопасность
  • ШмуКон
  • Саммеркон
Компьютерное преступление
  • Криминальное ПО
  • Список компьютерных преступников
  • Сценарий малыш
Инструменты взлома
  • Эксплойт
  • криминалистические операционные системы
  • Полезная нагрузка
  • Социальная инженерия
  • Уязвимость
Практические сайты
  • Взломать этот сайт
  • Зона-H
Вредоносное ПО
  • руткит
  • Задняя дверь
  • троянский конь
  • Вирус
  • Червь
  • Шпионское ПО
  • Программы-вымогатели
  • Логическая бомба
  • Ботнет
  • Регистрация нажатий клавиш
  • СКРЫТ
  • Веб-оболочка
  • РЦЭ
Компьютерная безопасность
  • Безопасность приложений
  • Безопасность облачных вычислений
  • Сетевая безопасность
Группы
  • Анонимный
  • Компьютерный Клуб Хаоса
  • Клуб домашних компьютеров (несуществующий)
  • Легион Судьбы (несуществующий)
  • LulzSec (несуществующий)
  • Мастера обмана (несуществующий)
  • Красная команда / Синяя команда
Публикации
  • 2600: Ежеквартальное издание «Хакер»
  • Хакер Новости
  • Орехи и вольты
  • Фрак
  • в
  • т
  • е

В компьютерной безопасности уязвимость — это уязвимость, которую может использовать субъект угрозы , например злоумышленник, для пересечения границ привилегий (т. е. выполнения несанкционированных действий) в компьютерной системе. Чтобы воспользоваться уязвимостью, злоумышленник должен иметь по крайней мере один применимый инструмент или метод, который может подключиться к слабости системы. В этом фрейме уязвимости также известны как поверхность атаки .

Управление уязвимостями — это циклическая практика, которая теоретически различается, но содержит общие процессы, которые включают: обнаружение всех ресурсов, определение приоритетов активов, оценку или выполнение полного сканирования уязвимостей, отчет о результатах, устранение уязвимостей, проверку исправления — повторение. Эта практика обычно относится к уязвимостям программного обеспечения в вычислительных системах. [1] Гибкое управление уязвимостями означает предотвращение атак путем максимально быстрого выявления всех уязвимостей. [2]

Угроза безопасности часто ошибочно классифицируется как уязвимость. Использование уязвимости с тем же значением риска может привести к путанице. Риск — это возможность значительного воздействия в результате использования уязвимости. Затем есть уязвимости без риска: например, когда затронутый актив не имеет ценности. Уязвимость с одним или несколькими известными экземплярами работающих и полностью реализованных атак классифицируется как эксплуатируемая уязвимость — уязвимость, для которой существует эксплойт . Окно уязвимости — это время с момента появления или проявления уязвимости в развернутом программном обеспечении до момента, когда доступ был удален, стало доступно/развернуто исправление безопасности или злоумышленник был отключен — см . Атака нулевого дня .

Ошибка безопасности ( дефект безопасности ) — более узкое понятие. Есть уязвимости, не связанные с программным обеспечением: аппаратные , сайтовые, кадровые уязвимости — примеры уязвимостей, которые не являются программными ошибками безопасности.

Конструкции в языках программирования , которые трудно использовать должным образом, могут содержать большое количество уязвимостей.

Определения

ISO 27005 определяет уязвимость как: [3]

Слабость актива или группы активов, которые могут быть использованы одной или несколькими угрозами, где активом является все, что имеет ценность для организации, ее бизнес-операций и их непрерывности, включая информационные ресурсы, поддерживающие миссию организации [4] .

Уязвимость IETF RFC 4949 как: [5]

Недостаток или слабость в конструкции, реализации или эксплуатации и управлении системой, которые могут быть использованы для нарушения политики безопасности системы.

Комитет по системам национальной безопасности Соединенных Штатов Америки определил уязвимость в Инструкции CNSS № 4009 от 26 апреля 2010 г. Национальный глоссарий обеспечения информации : [6]

Уязвимость — уязвимость в информационной системе, процедурах обеспечения безопасности системы, внутреннем контроле или реализации, которая может быть использована источником угрозы.

Многие публикации NIST определяют уязвимость в контексте ИТ в разных публикациях: термин FISMApedia [7] [8] приводит список. Между ними СП 800-30, [9] дают более широкое:

Недостаток или слабость в процедурах безопасности системы, дизайне, реализации или внутреннем контроле, которые могут быть реализованы (случайно или преднамеренно) и привести к нарушению безопасности или политике безопасности системы.

ENISA определяет уязвимость в [10] как:

Существование слабости, ошибки проектирования или реализации, которые могут привести к неожиданному нежелательному событию [G.11], ставящему под угрозу безопасность задействованной компьютерной системы, сети, приложения или протокола (ITSEC).

Open Group определяет уязвимость в [11] как

Вероятность того, что возможности угрозы превышают возможности противостоять угрозе .

Факторный анализ информационного риска (FAIR) определяет уязвимость как: [12]

Вероятность того, что актив не сможет противостоять действиям агента угрозы

Согласно FAIR уязвимость связана с силой контроля, т. е. силой контроля по сравнению со стандартной мерой силы и возможностями угрозы , т. е. вероятным уровнем силы, которую агент угрозы способен применить к активу.

ISACA определяет уязвимость в структуре Risk It как:

Слабость в дизайне, реализации, эксплуатации или внутреннем контроле

Data and Computer Security: Словарь понятий и терминов стандартов, авторы Деннис Лонгли и Майкл Шейн, Stockton Press, ISBN  0-935859-17-9 , определяет уязвимость как:

1) В компьютерной безопасности уязвимость в процедурах безопасности автоматизированных систем, административном контроле, интернет-контроле и т. д., которая может быть использована с целью получения несанкционированного доступа к информации или нарушения критической обработки. 2) В компьютерной безопасности слабость в физическом расположении, организации, процедурах, персонале, управлении, администрировании, оборудовании или программном обеспечении, которая может быть использована для причинения вреда системе или деятельности ADP. 3) В компьютерной безопасности любая слабость или изъян, существующий в системе. Атака или вредоносное событие, или возможность, доступная агенту угрозы для организации этой атаки.

Мэтт Бишоп и Дэйв Бейли [13] дают следующее определение компьютерной уязвимости :

Компьютерная система состоит из состояний, описывающих текущую конфигурацию объектов, составляющих компьютерную систему. Система вычисляет посредством применения переходов между состояниями, которые изменяют состояние системы. Все состояния, достижимые из заданного начального состояния с помощью набора переходов между состояниями, попадают в класс авторизованных или неавторизованных, как определено политикой безопасности. В данной работе определения этих классов и переходов считаются аксиоматическими. Уязвимое состояние — это авторизованное состояние, из которого можно перейти в неавторизованное состояние с помощью авторизованных переходов между состояниями. Скомпрометированное состояние — это достигнутое таким образом состояние. Атака — это последовательность авторизованных переходов между состояниями, которые заканчиваются скомпрометированным состоянием. По определению атака начинается в уязвимом состоянии.Уязвимость — это характеристика уязвимого состояния, которая отличает его от всех неуязвимых состояний. Если уязвимость является общей, она может характеризовать множество уязвимых состояний; если конкретно, то может характеризовать только один...

Национальный учебный и образовательный центр обеспечения информации определяет уязвимость : [14] [15]

Слабость в автоматизированных процедурах безопасности системы, административного контроля, внутреннего контроля и т. д., которая может быть использована угрозой для получения несанкционированного доступа к информации или нарушения критической обработки. 2. Слабые места в процедурах безопасности системы, аппаратном обеспечении, внутреннем контроле и т. д., которые могут быть использованы для получения несанкционированного доступа к секретной или конфиденциальной информации. 3. Слабые места в физическом расположении, организации, процедурах, персонале, управлении, администрировании, оборудовании или программном обеспечении, которые могут быть использованы для причинения вреда системе или деятельности ADP. Наличие уязвимости само по себе не причиняет вреда; Уязвимость — это просто условие или набор условий, которые могут привести к повреждению системы или деятельности ADP в результате атаки. 4.

Модели уязвимости и факторов риска

Ресурс (физический или логический) может иметь одну или несколько уязвимостей, которые могут быть использованы злоумышленником. Результат может поставить под угрозу конфиденциальность , целостность или доступность ресурсов (не обязательно уязвимых), принадлежащих организации и/или другим вовлеченным сторонам (клиенты, поставщики). Так называемая триада ЦРУ является краеугольным камнем информационной безопасности .

Атака может быть активной , когда она пытается изменить системные ресурсы или повлиять на их работу, ставя под угрозу целостность или доступность. « Пассивная атака » пытается получить или использовать информацию из системы, но не затрагивает системные ресурсы, ставя под угрозу конфиденциальность. [5]

OWASP: связь между агентом угрозы и влиянием на бизнес

OWASP (см. рисунок) изображает то же явление в несколько иных терминах: агент угрозы через вектор атаки использует слабость (уязвимость) системы и связанные с ней элементы управления безопасностью, вызывая техническое воздействие на ИТ-ресурс (актив), подключенный к воздействие на бизнес.

Общая картина представляет собой факторы риска сценария риска. [16]

Система управления информационной безопасностью

Набор политик, касающихся системы управления информационной безопасностью (ISMS), был разработан для управления, в соответствии с принципами управления рисками , контрмерами для обеспечения того, чтобы стратегия безопасности была настроена в соответствии с правилами и положениями, применимыми к данной организации. Эти контрмеры также называются средствами безопасности , но применительно к передаче информации они называются службами безопасности . [17]

Классификация

Уязвимости классифицируются в соответствии с классом активов, к которому они относятся: [3]

  • аппаратное обеспечение
    • восприимчивость к влажности или пыли
    • восприимчивость к незащищенному хранению
    • возрастной износ, который приводит к выходу из строя
    • перегрев
  • программное обеспечение
    • недостаточное тестирование
    • небезопасное кодирование
    • отсутствие аудиторского следа
    • недостаток конструкции
  • сеть
    • незащищенные линии связи (например, отсутствие криптографии )
    • небезопасная сетевая архитектура
  • персонал
    • неправильный процесс найма
    • недостаточная осведомленность о безопасности
    • внутренняя угроза
  • физический сайт
    • территория, подверженная стихийным бедствиям (например, наводнение, землетрясение)
    • прерывание источника питания
  • организационный
    • отсутствие регулярных проверок
    • отсутствие планов преемственности
    • отсутствие безопасности

Причины

  • Сложность. Большие и сложные системы повышают вероятность ошибок и непреднамеренных точек доступа . [18]
  • Знакомство: использование общеизвестного кода, программного обеспечения, операционных систем и/или оборудования увеличивает вероятность того, что злоумышленник имеет или может найти знания и инструменты для использования уязвимости. [19]
  • Возможности подключения: больше физических подключений, привилегий, портов, протоколов и сервисов, а также время, в течение которого каждый из них доступен, повышают уязвимость. [12]
  • Недостатки управления паролями: пользователь компьютера использует слабые пароли, которые могут быть обнаружены методом грубой силы. [20] Пользователь компьютера сохраняет пароль на компьютере, где программа может получить к нему доступ. Пользователи повторно используют пароли между многими программами и веб-сайтами. [18]
  • Фундаментальные недостатки дизайна операционной системы : разработчик операционной системы выбирает неоптимальные политики управления пользователями/программами. Например, операционные системы с такими политиками, как разрешение по умолчанию, предоставляют каждой программе и каждому пользователю полный доступ ко всему компьютеру. [18] Этот недостаток операционной системы позволяет вирусам и вредоносным программам выполнять команды от имени администратора. [21]
  • Просмотр веб-сайтов в Интернете. Некоторые веб-сайты в Интернете могут содержать вредоносное шпионское или рекламное ПО , которое может автоматически устанавливаться в компьютерных системах. После посещения этих веб-сайтов компьютерные системы заражаются, а личная информация будет собираться и передаваться третьим лицам. [22]
  • Ошибки программного обеспечения : программист оставляет в программе ошибку, которую можно использовать. Программная ошибка может позволить злоумышленнику использовать приложение не по назначению. [18]
  • Непроверенный пользовательский ввод : программа предполагает, что весь пользовательский ввод безопасен. Программы, которые не проверяют пользовательский ввод, могут допустить непреднамеренное прямое выполнение команд или операторов SQL (известное как переполнение буфера , внедрение SQL или другие непроверенные вводы). [18]
  • Не учиться на прошлых ошибках: [23] [24] например, большинство уязвимостей, обнаруженных в программном обеспечении протокола IPv4 , были обнаружены в новых реализациях IPv6 . [25]

Исследование показало, что наиболее уязвимым местом в большинстве информационных систем является человек-пользователь, оператор, разработчик или другой человек: [26] поэтому людей следует рассматривать в их различных ролях как актив, угроза, информационные ресурсы. Социальная инженерия становится все более серьезной проблемой безопасности.

Последствия

Последствия нарушения безопасности могут быть очень высокими. [27] Большинство законодательных актов рассматривает неспособность ИТ-менеджеров устранить уязвимости ИТ-систем и приложений, если они известны им как неправомерные действия; ИТ-менеджеры несут ответственность за управление ИТ-рисками . [28] Закон о конфиденциальности обязывает менеджеров действовать, чтобы уменьшить влияние или вероятность этого риска безопасности. Аудит безопасности информационных технологий — это способ позволить другим независимым людям подтвердить, что ИТ-среда управляется должным образом, и уменьшить ответственность, по крайней мере, продемонстрировав добросовестность. Тест на проникновение — это форма проверки слабости и контрмер, принятых организацией: Белая шляпахакер пытается атаковать активы информационных технологий организации, чтобы выяснить, насколько легко или сложно взломать ИТ-безопасность. [29] Надлежащий способ профессионально управлять ИТ-рисками — это принять Систему управления информационной безопасностью, такую ​​как ISO/IEC 27002 или Risk IT , и следовать им в соответствии со стратегией безопасности, установленной высшим руководством. [17]

Одной из ключевых концепций информационной безопасности является принцип эшелонированной защиты , т. е. создание многоуровневой системы защиты, которая может: [27]

  • предотвратить эксплойт
  • обнаружить и перехватить атаку
  • выяснить агентов угрозы и привлечь их к ответственности

Система обнаружения вторжений является примером класса систем, используемых для обнаружения атак .

Физическая безопасность — это набор мер по физической защите информационного актива: если кто-то может получить физический доступ к информационному активу, общепризнано, что злоумышленник может получить доступ к любой информации на нем или сделать ресурс недоступным для его законных пользователей.

Были разработаны некоторые наборы критериев, которым должен удовлетворять компьютер, его операционная система и приложения для обеспечения хорошего уровня безопасности: два примера - ITSEC и общие критерии .

Раскрытие уязвимости

Скоординированное раскрытие уязвимостей (некоторые называют это « ответственным раскрытием », но другие считают этот термин предвзятым) об уязвимостях является предметом серьезных споров. Как сообщала The Tech Herald в августе 2010 года, « Google , Microsoft , TippingPoint и Rapid7 выпустили инструкции и заявления, касающиеся того, как они будут поступать с раскрытием информации в будущем». [30] Другим методом обычно является полное раскрытие информации ., когда публикуются все подробности уязвимости, иногда с намерением оказать давление на автора программного обеспечения, чтобы тот быстрее опубликовал исправление. В январе 2014 года, когда Google обнаружил уязвимость Microsoft до того, как Microsoft выпустила исправление для ее устранения, представитель Microsoft призвал разработчиков программного обеспечения координировать действия по раскрытию информации. [31]

Инвентаризация уязвимостей

Корпорация Mitre ведет неполный список публично раскрытых уязвимостей в системе под названием Common Vulnerabilities and Exposures . Эта информация немедленно передается в Национальный институт стандартов и технологий (NIST), где каждой уязвимости присваивается оценка риска с использованием общей системы оценки уязвимостей (CVSS), схемы общего перечисления платформ (CPE) и общего перечисления слабых мест .

OWASP ведет список классов уязвимостей с целью обучения проектировщиков систем и программистов, тем самым снижая вероятность непреднамеренной записи уязвимостей в программное обеспечение. [32]

Дата раскрытия уязвимости

Время раскрытия уязвимости определяется по-разному в сообществе безопасности и отрасли. Чаще всего это называют «видом публичного раскрытия информации о безопасности определенной стороной». Обычно информация об уязвимостях обсуждается в списке рассылки или публикуется на веб-сайте по безопасности, после чего выдается совет по безопасности.

Моментом раскрытия является первая дата описания уязвимости безопасности на канале, где раскрываемая информация об уязвимости должна соответствовать следующему требованию:

  • Информация находится в свободном доступе для общественности
  • Информация об уязвимости публикуется надежным и независимым каналом/источником.
  • Уязвимость была проанализирована экспертами, поэтому информация о рейтинге риска включается при раскрытии.
Выявление и устранение уязвимостей

Существует множество программных инструментов, которые могут помочь в обнаружении (а иногда и в устранении) уязвимостей в компьютерной системе. Хотя эти инструменты могут предоставить аудитору хороший обзор возможных уязвимостей, они не могут заменить человеческое суждение. Если полагаться исключительно на сканеры, это приведет к ложным срабатываниям и ограниченному обзору проблем, присутствующих в системе.

Уязвимости были обнаружены во всех основных операционных системах [33] , включая Windows , macOS , различные формы Unix и Linux , OpenVMS и другие. Единственный способ снизить вероятность того, что уязвимость будет использована против системы, — это постоянное наблюдение, включая тщательное обслуживание системы (например, применение исправлений программного обеспечения), передовой опыт развертывания (например, использование брандмауэров и средств контроля доступа ) и аудит (как во время разработки и на протяжении всего жизненного цикла развертывания).

Места, в которых проявляются уязвимости

Уязвимости связаны и могут проявляться в:

  • физическая среда системы
  • персонал (т.е. сотрудники, руководство)
  • административные процедуры и политика безопасности
  • ведение бизнеса и предоставление услуг
  • оборудование, включая периферийные устройства [34] [35]
  • программное обеспечение (например, локально или в облаке)
  • подключение (т.е. коммуникационное оборудование и средства)

Очевидно, что чисто технический подход не всегда может защитить материальные активы: необходимо иметь административную процедуру, позволяющую обслуживающему персоналу входить на объекты, и людей, обладающих достаточным знанием процедур, мотивированных следовать ей с должным вниманием. Однако технические средства защиты не обязательно останавливают атаки социальной инженерии (безопасности) .

Примеры уязвимостей:

  • злоумышленник находит и использует уязвимость, связанную с переполнением буфера, для установки вредоносного ПО, а затем эксфильтрации конфиденциальных данных;
  • злоумышленник убеждает пользователя открыть сообщение электронной почты с прикрепленным вредоносным ПО;
  • наводнение повреждает компьютерные системы, установленные на первом этаже.

Уязвимости программного обеспечения

Общие типы недостатков программного обеспечения, которые приводят к уязвимостям, включают:

  • Нарушения безопасности памяти , такие как:
    • Буфер переполняется и перечитывается
    • Висячие указатели
  • Ошибки проверки ввода , такие как:
    • Внедрение кода
    • Межсайтовый скриптинг в веб-приложениях
    • Обход каталога
    • Электронная почта
    • Атаки на строку формата
    • Внедрение HTTP-заголовка
    • Разделение HTTP-ответа
    • SQL-инъекция
  • Ошибки путаницы привилегий , такие как:
    • кликджекинг
    • Подделка межсайтовых запросов в веб-приложениях
    • FTP-атака отказом
  • Повышение привилегий
  • Условия гонки , такие как:
    • Гонки по символическим ссылкам
    • Ошибки от времени проверки до времени использования
  • Атака по побочному каналу
    • Атака по времени
  • Сбои пользовательского интерфейса , такие как:
    • Обвинение жертвы , побуждающее пользователя принять решение о безопасности, не предоставляя пользователю достаточно информации для ответа [36] .
    • Условия гонки [37] [38]
    • Предупреждение об усталости [39] или кондиционирования пользователя.

Был разработан некоторый набор руководств по кодированию, и было использовано большое количество статических анализаторов кода для проверки того, что код соответствует рекомендациям.

Смотрите также

  • Безопасность браузера
  • Группа реагирования на компьютерные аварии
  • Информационной безопасности
  • Интернет-безопасность
  • Мобильная безопасность
  • Сканер уязвимостей
  • Ответственное раскрытие информации
  • Полное раскрытие

использованная литература

  1. ^ «Жизненный цикл управления уязвимостями | NPCR | CDC» . www.cdc.gov (на американском английском). 2019-03-12 . Проверено 4 июля 2020 г. .
  2. ^ Дин, Аарон Йи; Де Хесус, Джанлука Лимон; Янссен, Марин (2019). «Этический взлом для улучшения управления уязвимостями IoT: первый взгляд на программы вознаграждения за обнаружение ошибок и ответственное раскрытие информации» . Материалы Восьмой Международной конференции по телекоммуникациям и дистанционному зондированию - ICTRS '19 . Иктры '19. Родос, Греция: ACM Press: 49–55. архив : 1909.11166 . дои : 10.1145/3357767.3357774 . ISBN 978-1-4503-7669-3. S2CID  202676146 .
  3. ^ a b ISO / IEC, «Информационные технологии. Методы безопасности. Управление рисками информационной безопасности» ISO / IEC FIDIS 27005: 2008
  4. ^ Британский институт стандартов, Информационные технологии. Методы безопасности. Управление безопасностью информационных и коммуникационных технологий. Часть 1: Концепции и модели управления безопасностью информационных и коммуникационных технологий. BS ISO/IEC 13335-1-2004.
  5. ^ a b Internet Engineering Task Force RFC 4949 Глоссарий интернет-безопасности, версия 2
  6. ^ «Инструкция CNSS № 4009» (PDF) . 26 апреля 2010 г. Архивировано из оригинала (PDF) 28 июня 2013 г.
  7. ^ "ФИСМАпедия" . fismapedia.org .
  8. ^ «Термин: Уязвимость» . fismapedia.org .
  9. ^ NIST SP 800-30 Руководство по управлению рисками для систем информационных технологий
  10. ^ "Глоссарий" . Европа.eu .
  11. ^ Технический стандарт таксономии рисков ISBN 1-931624-77-1 Номер документа: C081 Опубликовано The Open Group, январь 2009 г. 
  12. ^ a b «Введение в факторный анализ информационных рисков (FAIR)», Risk Management Insight LLC, ноябрь 2006 г. Архивировано 18 ноября 2014 г. в Wayback Machine ;
  13. ^ Мэтт Бишоп и Дэйв Бейли. Критический анализ таксономий уязвимостей. Технический отчет CSE-96-11, факультет компьютерных наук Калифорнийского университета в Дэвисе, сентябрь 1996 г.
  14. ^ Скоу, Кори (1996). Справочник терминов INFOSEC, версия 2.0. CD-ROM (Университет штата Айдахо и Организация безопасности информационных систем)
  15. ^ Глоссарий НИАТЕК
  16. ^ ISACA THE RISK IT FRAMEWORK (требуется регистрация) . Архивировано 5 июля 2010 г. на Wayback Machine .
  17. ^ б Райт, Джо ; Харменинг, Джим (2009). "15". В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. с. 257. ИСБН 978-0-12-374354-1.
  18. ^ a b c d e Какарека, Алмантас (2009). "23". В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. с. 393. ИСБН 978-0-12-374354-1.
  19. ↑ Крсул , Иван (15 апреля 1997 г.). «Технический отчет CSD-TR-97-026» . Лаборатория COAST, факультет компьютерных наук, Университет Пердью. CiteSeerX 10.1.1.26.5435 .  {{cite journal}}: Журнал цитирования требует |journal=( помощь )
  20. Паули, Даррен (16 января 2017 г.). «Просто сдавайся: 123456 по-прежнему остается самым популярным паролем в мире» . Регистр . Проверено 17 января 2017 г. .
  21. ^ «Шесть самых глупых идей в области компьютерной безопасности» . ranum.com .
  22. ^ «Консорциум безопасности веб-приложений / Статистика безопасности веб-приложений» . webappsec.org .
  23. ^ Росс Андерсон. Почему криптосистемы терпят неудачу. Технический отчет, Университетская компьютерная лаборатория, Кембридж, январь 1994 г.
  24. ^ Нил Шлагер. Когда технологии терпят неудачу: серьезные технологические катастрофы, аварии и неудачи двадцатого века. Гейл Рисёрч Инк., 1994.
  25. ^ Взлом: Искусство эксплуатации, второе издание
  26. ^ Киунтузис, Э.А.; Коколакис, С.А. (31 мая 1996 г.). Безопасность информационных систем: перед лицом информационного общества 21 века . Лондон: Chapman & Hall , Ltd. ISBN 0-412-78120-4.
  27. ↑ a b Расмуссен, Джереми (12 февраля 2018 г.). «Лучшие методы кибербезопасности: оставайтесь кибер-УМНЫМИ» . Технические решения . Проверено 18 сентября 2020 г. .
  28. ^ «Что такое уязвимость? - База знаний - ICTEA» . www.ictea.com . Проверено 03 апреля 2021 г. .
  29. ^ Бависи, Санджай (2009). "22". В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. с. 375. ISBN 978-0-12-374354-1.
  30. ^ «Новая эра раскрытия уязвимостей — краткий разговор с Х.Д. Муром» . Технический вестник . Архивировано из оригинала на 2010-08-26 . Проверено 24 августа 2010 г. .
  31. Бетц, Крис (11 января 2015 г.). «Призыв к более скоординированному раскрытию информации об уязвимостях — MSRC — Домашняя страница сайта — Блоги TechNet» . blogs.technet.com . Проверено 12 январю 2015 .
  32. ^ «Категория: Уязвимость» . owasp.org .
  33. Дэвид Харли (10 марта 2015 г.). «Уязвимости операционной системы, эксплойты и небезопасность» . Проверено 15 января 2019 г.
  34. ^ Большинство ноутбуков уязвимы для атак через периферийные устройства. http://www.sciencedaily.com/releases/2019/02/190225192119.htm Источник: Кембриджский университет]
  35. ^ Использование сетевых принтеров. Институт ИТ-безопасности, Рурский университет, Бохум
  36. ^ [1] Архивировано 21 октября 2007 г. в Wayback Machine .
  37. ^ «Джесси Рудерман» Условия гонки в диалогах безопасности» . SquareFree.com .
  38. ^ "блог lcamtuf" . lcamtuf.blogspot.com . 16 августа 2010 г.
  39. ^ "Предупреждение об усталости" . свобода-to-tinker.com .

внешняя ссылка

  • СМИ, связанные с уязвимостью (вычисления) на Викискладе?
  • Ссылки на рекомендации по безопасности из Open Directory http://dmoz-odp.org/Computers/Security/Advisories_and_Patches/
Получено с https://en.wikipedia.org/w/index.php?title=Vulnerability_(computing)&oldid=1064173061 "
Contribute a better translation