ספינות הן חיות מכניות עם חלקים רבים הפועלים כדי להבטיח הפלגות בטוחות ומוצלחות. מקבילה דיגיטלית תהיה תוכנה. כמו פיתוח תוכנה, בניית ספינות כוללת מספר שלבים והנדסה מדויקת. לאחר מכן, כשהכל הושלם, הבנאים בודקים את היצירות שלהם בתנאים שונים כדי לוודא שהכלי בטוח ומתפקד כמתוכנן. כמעט כל התוכנות הטובות ביותר שאנו משתמשים בהן כיום עוברות בדיקות כדי לוודא שהן מאובטחות גם כן.
בדיקה אחת כזו היא הזרקת תקלה. בהשוואה לבניית ספינות, הזרקת תקלות תהיה דומה למהנדסי ים שהכניסו חורים בכוונה לאוניות שלהם כדי לראות כיצד הם מתמודדים עם טביעה...
מהי הזרקת תקלות ולמה זה חשוב?
הזרקת תקלות היא תרגול של יצירת פגמים בכוונה במערכת. המטרה של תרגול זה היא לנתח כיצד המערכת מתפקדת תחת לחץ. מהנדסי חומרה ותוכנה גורמים בדרך כלל לתקלות בחומרה או בתוכנה שלהם מכמה סיבות.
ראשית, הם רוצים לחשוף ולטפל בכשלים שעלולים להתעורר מחוץ לסביבה המבוקרת של מעבדת הייצור. זה חשוב כי אין להם שליטה על התנאים שבהם הלקוחות ישתמשו במוצרים שלהם. חום עלול לסכן רכיבים או חומרים המחזיקים רכיבים יחד; כשל בשרת עלול לגרום לאזור שלם לאבד גישה לשירות הסטרימינג המועדף עליו; תוקפים עלולים להפעיל תקלה ששוברת את תכונות האבטחה. כאשר אירועים כאלה קורים, מפתחים ויצרני מכשירים רוצים להבטיח שהמוצרים שלהם עדיין להגן על שלמות הנתונים והבטיחות של המשתמשים או להתאים את חלוקת העומס כדי למזער את השירות הפרעה.
בסופו של דבר, הזרקת תקלות נחוצה כדי להפוך אפליקציות וחומרה לבטוחות, מאובטחות ואמינות. כמו כן, הזרקת תקלות מסייעת ליצרנים להגן על קניין רוחני, להפחית את הסיכון לאובדן ולשמור על אמון הלקוחות שלהם. לא היית מכניס את הכסף שלך לבנק אם האפליקציה שלהם קורסת כל הזמן ולהאקרים יש יום שטח לפצח אותו, נכון?
כיצד פועלות התקפות הזרקת תקלות?
יצרנים מבצעים בכוונה הזרקת תקלות כדי לחשוף פגמים שעלולים לסכן את אבטחת המוצרים שלהם. שום דבר לא מונע מהתוקפים לעשות את אותו הדבר כדי לחשוף חולשות במערכת ולנצל אותן. הרי הכלים המשמשים לביצוע הזרקת תקלות הם ציבוריים, והשיטות אינן מורכבות מדי.
יתר על כן, תוקפים מנוסים יכולים להיות יצירתיים בשיטות שלהם ולדחוף את המערכת מעבר למה שרגיל. בשלב זה, עליך לדעת שהזרקת תקלות יכולה להיות פיזית (בחומרה) או דיגיטלית (בתוכנה). כמו כן, הכלים והשיטות המשמשים בהתקפות הזרקת תקלות יכולים ללבוש כל צורה. לעתים קרובות יצרנים והאקרים משלבים כלים פיזיים ודיגיטליים בבדיקות ובתקיפות שלהם, בהתאמה.
כמה כלים המשמשים להזרקת תקלות הם FERRARI (Fault and ERRor Automatic Time Real Injector), FTAPE (Fault Tolerance And Performance Evaluator), Xception, Gremlin, Holodeck ו-ExhaustiF. בינתיים, שיטות FIA כוללות לעתים קרובות הפצצת המערכת בפולסים אלקטרומגנטיים עזים, העלאת הטמפרטורה הסביבתית, תת-מתח GPUs או CPUs, או הפעלת קצר חשמלי. באמצעות כלים ושיטות של FIA, הם יכולים להשחית מערכת מספיק זמן כדי לנצל איפוס, לעקוף פרוטוקול או לגנוב נתונים רגישים.
מניעת התקפות הזרקת תקלות
אתה לא צריך לדאוג לגבי מניעת התקפות FIA אם אתה צרכן רגיל. האחריות הזו היא על יצרן המכשיר או על מפתח התוכנה, בדיוק כמו שבטיחות הספינה היא תפקידו של צוות השייט. יצרנים ומפתחים עושים זאת על ידי תכנון פרוטוקולי אבטחה עמידים יותר ומקשים על חילוץ נתונים עבור האקרים.
עם זאת, אין מערכות מושלמות. תוקפים מפתחים שיטות התקפה חדשות לעתים קרובות, והם אינם מוגבלים באופן שבו הם מיישמים את השיטות הללו מכיוון שהם אינם פועלים לפי הכללים. לדוגמה, האקר עשוי לשלב את FIA עם א התקפת ערוץ צדדי, במיוחד אם הגישה שלהם למכשיר מוגבלת. הצוות בצד השני חייב להכיר בעובדה זו בתכנון מערכות גמישות ובתכנון בדיקות הזרקת התקלה שלהם.
האם אתה צריך לדאוג לגבי FIA?
לא ישיר. יש סבירות גבוהה יותר לאיומי אבטחת סייבר שמשפיעים עליך באופן אישי יותר מאשר התקפות הזרקת תקלות. חוץ מזה, FIA הוא סמוי לעתים רחוקות. תוקף יצטרך גישה פיזית למכשיר שלך כדי לבצע התקפת הזרקת תקלות. כמו כן, שיטות הזרקת תקלות הן בדרך כלל פולשניות ומביאות לרמה מסוימת של נזק זמני או קבוע למערכת. לכן, סביר מאוד שתבחין שמשהו לא בסדר או תישאר עם מכשיר שאתה לא יכול להשתמש בו.
הקאץ', כמובן, הוא שייתכן שהתוקף גנב נתונים רגישים עד שתבחין בשיבוש. זה תלוי ביצרן או המפתח למנוע את ההתקפה מלכתחילה ולשפר את אבטחת המוצרים שלהם.
