säkerhet

Vad är mjukvarusäkerhet?

Vad är mjukvarusäkerhet?
Mjukvarusäkerhet är byggandet av säker mjukvara med inneboende försvar så att den fortsätter att fungera under skadliga attacker, till nöjdhet för användare och ägare av programvaran. Den här artikeln förklarar hoten och lösningarna ur en allmän synvinkel. Standardordförråd inom informationssäkerhet förklaras också. Du bör vara dator- och internetkunnig för att förstå den här artikeln; du borde också ha studerat ett datorspråk, t.ex.g., Perl, C, C ++, PHP, etc.

Vad som är säkert är informations- och mjukvarupaket (applikationer och dokument). Information är alla meddelanden som är användbara för alla. ”Information” är ett vagt ord. Det sammanhang där det används ger sin mening. Det kan betyda nyheter, föreläsning, handledning (eller lektion) eller lösning. Ett mjukvarupaket är vanligtvis en lösning på vissa problem eller relaterade problem. Tidigare var all information som inte talades skriven på papper. Idag kan programvaran betraktas som en delmängd av information.

Programvaran kan finnas i en dator eller vara i transit från en dator till en annan. Filer, data, e-post, inspelad röst, inspelade videor, program och applikationer finns på en dator. Medan du bor i en dator kan den skadas. Under transport kan det fortfarande skadas.

Alla enheter med processor och minne är en dator. Så, i den här artikeln, en miniräknare, en smartphone eller en surfplatta (t.ex.g., iPad) är en dator. Var och en av dessa enheter och deras nätverksöverföringsmedier har programvara eller programvara i transit som bör skyddas.

Privilegier

En användare kan ges privilegiet att köra en fil på en dator. En användare kan ges rätten att läsa koden för en fil på en dator. En användare kan ges befogenhet att ändra (skriva) koden för en fil i en dator. En användare kan ges en, två eller alla dessa tre behörigheter. Det finns andra behörigheter för ett operativsystem eller en databas. Användare har olika mängder eller nivåer av behörigheter i ett system.

Hot

Baser på hot mot programvara

För att skydda programvaran måste du känna till dess hot. Programvaran måste skyddas från obehöriga som får åtkomst till dess data. Det måste skyddas mot olaglig användning (till exempel för att skada). Programvaran ska skyddas mot avslöjande för konkurrenter. Programvaran ska inte skadas. Programvaran ska inte raderas oavsiktligt. Programvaran ska inte störas. Programvaran bör inte ha någon modifiering som inte krävs. Data (programvara) bör inte inspekteras utan goda skäl, särskilt av obehöriga. Programvaran ska inte kopieras (piratkopierad).

En eller flera av dessa baser, vilket resulterar i en viss typ av klassiskt hot.

Klasser av programvaruhot

Spoofing Attack

Detta är situationen där en person (eller ett program) framgångsrikt representerar en annan person (eller ett program) i någon programvaruaktivitet. Detta görs med falska data för att få en fördel som är olaglig.

Förkastande

Detta är den situation där någon gör något fel och vägrar att han / hon inte är den som gjorde det. Personen kan använda en annan persons signatur för att göra fel saker.

Dataintrång

Ett dataintrång är när säker eller privat information släpps avsiktligt eller oavsiktligt till en miljö som inte är tillförlitlig.

Denial-of-Service Attack

Ett programdatornätverk har programvara som körs i datorerna i nätverket. Varje användare använder vanligtvis sin dator framför sig och begär vanligtvis tjänster från andra datorer i nätverket. En kriminell användare kan besluta att översvämma en server med överflödiga förfrågningar. En server har ett begränsat antal förfrågningar som den kan hantera under en varaktighet. I detta översvämningsschema kan legitima användare inte använda servern så ofta som de borde, eftersom servern är upptagen med att svara på gärningsmännens önskemål. Detta överbelastar servern, vilket tillfälligt eller på obestämd tid avbryter servern. Under det här saktar värden (servern) i drift för legitima användare, medan förövaren utför sin onda, vilket inte upptäcks, eftersom de legitima användare som står och väntar på service inte kunde veta vad som händer kl. servern. De bra användarna nekas tjänst, medan attacken pågår.

Privilege Escalation

Olika användare av ett operativsystem eller applikation har olika behörigheter. Så vissa användare får mer värde än andra från systemet. Att utnyttja en programvarufel eller konfigurationsövervakning för att få förhöjd tillgång till resurser eller obehörig information är Privilege Escalation.

Ovanstående klassificeringsscheman kan användas för att orsaka datavirus och maskar.

Ett eller flera av ovanstående klassificeringsscheman kan användas för programvaruattacker, som inkluderar: stöld av immateriell egendom, databasskada, identitetsstöld, sabotage och informationsutpressning. Om en person använder ett eller flera av scheman för att ändra destruktivt, en webbplats så att webbplatsens kunder tappar förtroende, det är sabotage. Informationsutpressning är att stjäla ett företags dator eller att falskt få hemlig information om företaget. Den stulna datorn kan ha hemlig information. Detta kan leda till ransomware, där tjuven skulle be om en betalning, i utbyte mot fastigheten eller information som stulits.

Integritet

När något är känsligt eller till sin natur speciellt för dig, är den saken privat för dig. Detta gäller även för en grupp människor. En individ behöver uttrycka sig själv selektivt. För att uppnå sådan selektivitet måste individen schemalägga sig själv eller schemalägga information om sig själv; det är integritet. En grupp människor måste uttrycka sig selektivt. För att uppnå sådan selektivitet måste gruppen schemalägga sig själv eller schemalägga information om sig själva; det är integritet. En individ behöver skydda sig själv selektivt. För att uppnå ett sådant selektivt skydd måste individen skydda sig själv eller skydda information om sig själv på ett selektivt sätt; det vill säga integritet. En grupp människor måste skydda sig själva selektivt. För att uppnå ett sådant selektivt skydd måste gruppen skydda sig själv eller skydda information om sig själva på ett selektivt sätt; det vill säga integritet.

Identifiering och autentisering

När du reser till ett främmande land når du en hamn i det landet. I hamnen kommer en polis att be dig att identifiera dig. Du kommer att presentera ditt pass. Polisen känner till din ålder (från födelsedatum), ditt kön och ditt yrke från passet, och han kommer att titta på dig (ditt ansikte); det är identifiering. Polisen kommer att jämföra ditt riktiga ansikte och fotot i passet. Han kommer också att uppskatta din ålder med vad som finns i passet för att veta om det är du.

Att titta på dig och associera din ålder, kön och yrke med dig är identifikation. Att verifiera om ditt riktiga ansikte och ditt foto är desamma och att uppskatta om din presentation matchar din ålder är autentisering. Identifiering är att associera en person eller något till vissa attribut. Att indikera en identitet är också identifikation. Autentisering är att bevisa att identiteten (identifiering) är sant. Med andra ord är autentisering handlingen att bevisa ett påstående.

I datorer är det vanligaste sättet för autentisering att använda ett lösenord. En server har till exempel många användare. Vid inloggning anger du din identitet (identifierar dig själv) med ditt användarnamn. Du bevisar din identitet med ditt lösenord. Ditt lösenord ska vara känt endast av dig. Autentisering kan gå längre; genom att ställa dig en fråga, som ”I vilken stad eller stad föddes du?”

Säkerhetsmål

Säkerhetsmålen i information är konfidentialitet, integritet och tillgänglighet. Dessa tre funktioner kallas CIA-triaden: C för konfidentialitet, I för integritet och A för tillgänglighet.

Sekretess

Informationen får inte avslöjas för obehöriga, obehöriga enheter eller obehöriga processer; detta är sekretess för information inom informationssäkerhet (liksom mjukvarusäkerhet). Att stjäla lösenord eller skicka känsliga e-postmeddelanden till en felaktig person äventyras. Sekretess är en del av sekretess som skyddar information från obehöriga individer, obehöriga enheter eller obehöriga processer.

Integritet

Information eller data har en livscykel. Med andra ord har information eller data en starttid och sluttid.  I vissa fall, efter slutet av livscykeln, måste informationen (eller data) raderas (lagligt). Integritet består av två funktioner, som är: 1) underhåll och säkerställande av informationens (eller data) noggrannhet under hela livscykeln, och 2) informationens (eller data) fullständighet under hela livscykeln. Så information (eller data) får inte minskas eller modifieras på ett obehörigt eller oupptäckt sätt.

Tillgänglighet

För att alla datorsystem ska kunna tjäna sitt syfte måste information (eller data) finnas tillgänglig vid behov. Detta innebär att datorsystemet och dess överföringsmedia måste fungera korrekt. Tillgängligheten kan äventyras av systemuppgraderingar, maskinvarufel och strömavbrott. Tillgängligheten kan också äventyras av attacker om denial-of-service.

Icke förnekande

När någon använder din identitet och din signatur för att underteckna ett kontrakt som han aldrig har uppfyllt, är icke-avslag när du inte framgångsrikt kan förneka i domstol att du inte har skrivit avtalet.

I slutet av ett avtal måste den part som erbjuder tjänsten ha erbjudit tjänsten. den som betalar måste ha gjort betalningen.

För att förstå hur icke-repudiering är tillämplig på digital kommunikation måste du först veta betydelsen av nyckel och innebörden av digital signatur. En nyckel är en kodkod. En digital signatur är en algoritm som använder en nyckel för att producera någon annan kod som liknas med en skriftlig signatur från avsändaren.

I digital säkerhet tillhandahålls icke-repudiering (inte nödvändigtvis garanterad) genom en digital signatur. I mjukvarusäkerhet (eller informationssäkerhet) handlar icke-repudiation om dataintegritet. Datakryptering (som du kanske har hört) i kombination med digital signatur bidrar också till konfidentialitet.

Säkerhetsmålen i information är konfidentialitet, integritet och tillgänglighet. Icke-avvisning är dock en annan funktion som du måste ta hänsyn till när du arbetar med informationssäkerhet (eller mjukvarusäkerhet).

Svar på hot

Hot kan besvaras på ett eller flera av följande tre sätt:

- Minskning / lindring: Detta är implementeringen av skyddsåtgärder och motåtgärder för att eliminera sårbarheter eller blockera hot.

- Tilldela / överföra: Detta placerar hotet på en annan enhet, till exempel ett försäkringsbolag eller ett outsourcingföretag.

- Accept: Detta utvärderar om kostnaden för motåtgärderna överväger den möjliga förlustkostnaden på grund av hotet.

Åtkomstkontroll

Inom informationssäkerhet som mjukvarusäkerhet är en del av är åtkomstkontroll en mekanism som säkerställer att endast kvalificerade användare har tillgång till skyddade resurser i ett visst system, med sina olika förtjänade behörigheter.

Nuvarande lösning på informationssäkerhet

Det nuvarande och populära sättet att göra informationssäkerhet är att genomdriva åtkomstkontroll. Detta inkluderar åtgärder som att validera inmatning till ett program, installera antivirus, använda en brandvägg till ett lokalt nätverk och använda Transport Layer Security.

När du förväntar dig ett datum som inmatning till en applikation men användaren anger ett nummer måste en sådan inmatning avvisas. Det är ingångsvalidering.

Ett antivirusprogram installerat på din dator förhindrar att virus skadar filer på din dator. Detta hjälper till med tillgängligheten av programvara.

Regler kan göras för att övervaka och kontrollera inkommande och utgående trafik i ett lokalt nätverk för att skydda nätverket. När sådana regler implementeras som programvara i det lokala nätverket är det en brandvägg.

Transport Layer Security (TLS) är ett säkerhetsprotokoll som är utformat för att underlätta integritet och datasäkerhet för överföringar över Internet. Detta innebär att kryptera kommunikationen mellan sändande värd och mottagande värd.

Att göra informationssäkerhet genom att tillämpa åtkomstkontroll kallas Security Software, vilket skiljer sig från Software Security, som förklaras nedan. Båda metoderna har samma mål, men de är olika.

Programvarusäkerhet korrekt

Applikationer, som de är skrivna idag, har många programvarusårbarheter som programmerare har insett mer och mer under de senaste 20 åren. De flesta attacker görs genom att dra nytta av dessa sårbarheter än att övervinna eller arbeta kring åtkomstkontroll.

En buffert är som en matris men utan en pålagd längd. När en programmerare skriver in en buffert är det möjligt att omedvetet skriva över bortom dess längd. Denna sårbarhet är ett buffertöverflöde.

Programvara idag har avvikit med säkerhetsförgreningar - inklusive implementeringsfel som buffertöverflöden och designfel som inkonsekvent felhantering. Dessa är sårbarheter.

Du kanske har hört talas om datorspråkfusk som PHP-fusk, Perl-fusk och C ++ fusk. Dessa är sårbarheter.

Programvarusäkerhet, i motsats till säkerhetsprogramvara, övervinner dessa sårbarheter genom att skriva en defensiv kod där sårbarheterna skulle förhindras. Medan applikationen används, eftersom fler sårbarheter upptäcks, bör utvecklare (programmerare) leta efter sätt att omkoda sårbarheterna, defensivt.

Hotet, denial-of-service attack, kan inte stoppas av åtkomstkontroll, för att gärningsmannen ska kunna göra det måste han redan ha tillgång till värden (servern). Det kan stoppas genom att inkludera viss intern programvara som övervakar vad användarna gör i värden.

Mjukvarusäkerhet är en robust design inifrån, som försvårar programvaruattacker. Programvaran ska vara självskyddande och på gränsen inte ha någon sårbarhet. På så sätt blir det enklare och mer kostnadseffektivt att driva ett säkert nätverk.

Mjukvarusäkerhet utformar defensiv kod inifrån applikationen medan säkerhetsmjukvara verkställer (utformar) åtkomstkontroll. Ibland överlappar dessa två frågor, men ofta gör de det inte.

Mjukvarusäkerhet är redan ganska utvecklad, även om den fortfarande utvecklas är den inte lika utvecklad som säkerhetsprogramvara. Dåliga hackare når sina mål mer genom att dra nytta av sårbarheter i programvara än genom att övervinna eller arbeta kring säkerhetsprogramvara. Man hoppas att informationssäkerhet i framtiden kommer att vara mer av programvarusäkerhet än säkerhetsprogramvara. För närvarande måste både programvarusäkerhet och säkerhetsprogramvara pågå.

Mjukvarusäkerhet kommer inte att vara effektiv om det inte görs noggranna tester i slutet av programvaruutvecklingen.

Programmerare måste utbildas i att genomföra defensiv kodprogrammering. Användare måste också utbildas om hur man använder applikationer defensivt.

I mjukvarusäkerhet måste utvecklaren se till att användaren inte får fler privilegier än han förtjänar.

Slutsats

Mjukvarusäkerhet är utformningen av applikationer med defensiv kodning mot sårbarheter för att göra programvaruattacker svåra. Säkerhetsprogramvara är å andra sidan produktion av programvara som tvingar åtkomstkontroll. Programvarusäkerhet utvecklas fortfarande, men det är mer lovande för informationssäkerhet än säkerhetsprogramvara. Den används redan och den växer i popularitet. I framtiden kommer båda att behövas, men med programvara behövs mer säkerhet.

Spel 5 bästa arkadspel för Linux
5 bästa arkadspel för Linux
Numera är datorer seriösa maskiner som används för spel. Om du inte kan få den nya poängen vet du vad jag menar. I det här inlägget kommer du att känn...
Spel Strid om Wesnoth 1.13.6 Utveckling släppt
Strid om Wesnoth 1.13.6 Utveckling släppt
Strid om Wesnoth 1.13.6 släpptes förra månaden, är den sjätte utvecklingsversionen i 1.13.x-serien och den levererar ett antal förbättringar, framför ...
Spel Så här installerar du League Of Legends på Ubuntu 14.04
Så här installerar du League Of Legends på Ubuntu 14.04
Om du gillar League of Legends är det här en möjlighet för dig att testa League of Legends. Observera att LOL stöds på PlayOnLinux om du är en Linux-a...