Qual è il modo migliore per spiegare (una persona non tecnica) il rischio di divulgare informazioni sulla versione?

4

Mi chiedo quale sia il modo più semplice per spiegare una persona non tecnica (leggi: gestione) perché la perdita di un numero di versione semplice è considerata inutile / un rischio potenziale e dovrebbe essere evitata.

Ad esempio perdita di versione tramite:

  1. l'header X-Powered-By HTTP,
  2. l'header Server HTTP e / o,
  3. file readme e changelog pubblici.

C'è qualche esempio o metafora che lo rende facile da spiegare? Di solito non riesco ad andare oltre "I numeri di versione trapelati rendono più facile per un utente malintenzionato corrispondere con gli exploit software specifici della versione in database di vulnerabilità pubblici ..."

    
posta Bob Ortiz 21.06.2016 - 01:50
fonte

4 risposte

4

Immagina un ladro d'auto specializzato nel rubare i modelli Toyota Prius dal 2010 al 2015. Sarà facile per lui identificare questo tipo di auto, semplicemente guardandosi attorno e analizzando le caratteristiche del modello.

Ora supponiamo che il ladro d'auto sia cieco e possa solo identificare i modelli di auto toccandoli. Ciò renderebbe molto più difficile per lui individuare il tipo di auto in cui è specializzato.

È più probabile che il ladro d'auto identifichi e rubi più auto di questo tipo, nel primo scenario.

In questa metafora:

  • Il ladro di auto è l'attaccante
  • Il modello di auto è l'informazione sulla versione
  • Il ladro d'auto cieco è l'attaccante cieco
risposta data 21.06.2016 - 06:12
fonte
2

Quello che potrebbe piacere di più è che è meno trasmissione e quindi meno costi a lungo termine per il sovraccarico di Internet e il throughput dei dati (meno a lungo termine se si paga per il traffico in base alle dimensioni totali come nella maggior parte dei servizi cloud o configurazioni del server Web ).

Metafore:

  • A Locked Safe Le casseforti funzionano con pistoni e solenoidi. Supponiamo che tu abbia un solenoide sicuro. Questa cassastrong ha un blocco specifico su di essa che ha una vulnerabilità in cui qualcuno con un magnete può aprire la cassastrong. Se qualcuno conoscesse il modello della serratura, saprebbero che se hanno un magnete non avrebbero nemmeno bisogno di indovinare il codice alla serratura. Potrebbero semplicemente sbloccare la cassastrong con un magnete.

  • XBox Live
    XBox ha un problema nel fatto che se qualcuno può modificarli può imbrogliare e rubare il contenuto dal negozio. Purtroppo esistono tecniche per superare questo. L'unico problema è che le tecniche dipendono dalla versione del sistema. Se vuoi mod Xbox e non hai una versione modificabile, verrai fuori e troverai una versione modificabile.

Questi esempi sono come lo scenario in cui XBox è il più vicino. Con questo esempio puoi dimostrare che se non hai un sistema che puoi modificare potresti uscire e trovarne uno. Proprio come con gli hacker che hanno bisogno dell'hardware di altre persone per cercare di rubare anonimamente le cose hanno bisogno di server che non sono collegati a loro. Se vedono una versione di un server web con una vulnerabilità e la prendono, possono facilmente usarla per fare cose illegali e verrebbero accusati e devono dimostrare che il tuo server è stato attaccato e quindi ti verrebbero multati perché non lo facevi prendere le migliori pratiche per prevenire l'attacco. In ogni modo stai perdendo un sacco di soldi.

C'è una ragione per cui è considerata una buona pratica di sicurezza dopo tutto.

    
risposta data 21.06.2016 - 02:09
fonte
1

Per trovare e sfruttare una vulnerabilità specifica per prodotto / versione, un utente malintenzionato deve determinare il prodotto / versione. Questo richiede tempo e potrebbe non essere accurato.

Forse il tempo dell'attaccante è molto limitato e lui non vuole investire in enumerazione. Potrebbe quindi eseguire un'ampia varietà di exploit. Molti di loro non funzioneranno perché sono in grado di sfruttare altre vulnerabilità di altri prodotti / versioni. Questo approccio è lento e rumoroso. Questo aiuta i difensori.

Ma se l'attaccante conosce questi dettagli sul bersaglio e raccoglierli in un semplice banner-grabbing è molto facile, potrebbe trovare una vulnerabilità esistente e lanciare l'exploit in modo molto rapido.

Prevenire che il software rilasci tali informazioni viene in genere fatto anche rapidamente. E aumenterebbe la richiesta di sforzo da parte dell'attaccante di magnitudo. L'ignoranza di questo tipo di indurimento da parte degli amministratori è spesso solo un segno della loro pigrizia.

    
risposta data 21.06.2016 - 22:24
fonte
0

Informazioni sulla versione del servizio è un annuncio. E siti come Shodan sono i Penny Saver che raccolgono tutti gli annunci di tutti i domini su Internet, dove gli hacker possono sfogliare le sue pagine per gli annunci che li interessano, quelli per cui hanno un exploit o uno strumento. Uno sportello unico e amp; è tutto gratis.

    
risposta data 21.06.2016 - 03:28
fonte