'Errare humanum est' (' Irren ist menschlich.')
Marcus Tullius Cicero, römischer Staatsmann, Philosoph und Schriftsteller
'Irren ist menschlich, aber um etwas richtig zu versauen, braucht man einen Computer'
Paul Ehrlich
Zur Bezeichnung von Schwachstellen in Verbindung mit Computersicherheit wird in vielen verschiedenen Zusammenhängen häufig der englische Begriff 'Vulnerability' verwendet. (Im nachfolgenden Artikel verwenden wir diesen Begriff.)
Allgemein gesagt steht so eine Vulnerability im Zusammenhang mit der Verletzung eines Sicherheitsverfahrens und kann entweder mit einigen unzureichenden Regeln in der Struktur des Verfahrens oder mit einem Problem in der Sicherheitsoftware selbst zu tun haben, die der Seite, die das Sicherheitsverfahren anwendet, nicht bekannt sind. Es muss auch gesagt werden, dass theoretisch alle Computersysteme Schwachstellen haben - der Unterschied, ob sie praktisch ausgenutzt werden können oder nicht, liegt in den Kosten eines Angriffs.
Im weitesten Sinne steht der Begriff Vulnerability im Zusammenhang mit einem Verstoß gegen ein Sicherheitsverfahren. Die Ursache können unzureichende Sicherheitsregeln sein, oder es kann sein, dass es in der Software selbst ein Problem gibt. Theoretisch haben alle Computersysteme Schwachstellen; ob sie schwerwiegend sind oder nicht, hängt davon ab, ob sie benutzt werden, um dem System Schaden zuzufügen.
Es hat schon viele Versuche gegeben, den Begriff Vulnerability als Schwachstelle klar zu definieren und die zwei Bedeutungen zu trennen. MITRE, eine Forschungs- und Entwicklungsgruppe, die in den USA auf Bundesebene finanziert wird, konzentriert sich auf die Untersuchung und Lösung entscheidender Sicherheitsfragen. Die Gruppe hat die folgenden Definitionen erstellt:
[...] ist eine universelle Vulnerability der Zustand in einem Computersystem (oder Systemsatz), der entweder:
einen Angreifer Befehle ausführen lässt wie ein Anwender, oder/und
einen Angreifer auf Daten zugreifen lässt im Widerspruch zu festgelegten Zugangsbeschränkungen, oder/und
einen Angreifer als Entität auftreten lässt, oder/und
einen Angreifer eine DoS-Attacke (Verweigerung der Dienstleistung/Ablehnung) ausführen lässt.
MITRE ist der Ansicht, dass eine Situation, wo ein Angriff durch ein fehlerhaftes oder unpassendes Sicherheitsverfahren ermöglicht wird, besser als 'Exposure' beschrieben werden sollte:
Eine Exposure ist ein Zustand in einem Computersystem (oder Systemsatz), der keine universelle Schwachstelle ist, der aber entweder:
einen Angreifer Informationen sammeln lässt, oder/und
einen Angreifer Aktivitäten verbergen lässt, oder/und
ein Leistungsmerkmal hat, das sich zwar wie erwartet verhält, aber leicht gefährdet werden kann, oder /und
ein vorrangiger Eingangspunkt ist, an dem ein Angreifer versuchen könnte, Zugriff auf das System oder Daten zu erlangen, oder die nach einem sinnvollen Sicherheitsverfahren als Problem betrachtet wird.
Wenn ein Eindringling versucht, unbefugt Zugang zu einem System zu erlangen, führt er gewöhnlich zunächst eine Routineabfrage (oder Untersuchung) des Ziels durch, erfaßt alle etwa wegen einer Sicherheitslücke ungeschützten Daten, und nutzt dann (mit Exploits) Fehler oder Schwachstellen des Sicherheitsverfahrens aus. Schwachstellen und Sicherheitslücken sind deshalb beides wichtige Punkte, die bei der Sicherung eines Systems gegen unbefugten Zugriff zu prüfen sind.
SELFPHP
SELFPHP - Damir Enseleit, info@selfphp.de, Impressum, Kontakt