Esiste uno standard per etichettare una vulnerabilità come backdoor intenzionale?

3

Le preoccupazioni degli Stati Uniti relative a vulnerabilità collocate in apparecchiature prodotte all'estero sono accese titoli. Esiste uno standard che classifica (differenzia) i disegni poveri da vulnerabilità intenzionalmente posizionate?

Esempio: in un sistema viene rilevata una vulnerabilità backdoor non documentata, qual è il processo di pensiero per decidere se la vulnerabilità è intenzionalmente inserita per l'accesso remoto o è il risultato di una progettazione scadente.

Aggiornamento: potrebbe esserci più di una definizione per backdoor . Detto questo, per i nostri scopi, una backdoor è qualsiasi accesso remoto non documentato al sistema. Tutte le risposte sono state premurose e sono state apprezzate.

    
posta gatorback 09.12.2018 - 15:05
fonte

4 risposte

2

Non penso che ci sia uno "standard" e non credo che ce ne possa essere uno. È difficile o impossibile scoprire se una vulnerabilità è stata accidentalmente aggiunta come sottoprodotto di una cattiva progettazione o di un processo di sviluppo scadente, seppure sia il processo di progettazione e sviluppo siano risultati soddisfacenti o sia stato intenzionalmente aggiunto a un buon progetto ma ben nascosto per sembrare innocuo come in The Underhanded C Contest ecc. Ci sono probabilmente alcuni casi in cui un problema specifico può essere ricondotto a un intento malevolo ma nella maggior parte dei casi casi questo non è possibile.

    
risposta data 09.12.2018 - 15:43
fonte
2

Se sfogli un manuale CISSP, scoprirai che questo corso di sicurezza di alto livello tocca in realtà le porte posteriori dei sistemi. Universalmente, afferma che tali porte posteriori sono di design scadente, anche se sono realizzate con le migliori intenzioni. Qualsiasi backdoor può essere scoperta ed eseguita contro un'entità nota ed è quindi un grosso rischio per la sicurezza. Pertanto, la creazione di uno "standard" per questa cattiva pratica equivarrebbe a dire che esiste un numero minimo approvato di malware che si possono avere sul computer prima che sia necessario intervenire.

Detto questo, ci sono stati molti tentativi da parte di NSA, NIST e altre entità governative (in tutto il mondo che potrei aggiungere) per influenzare gli sviluppatori a lasciare una tale backdoor. Il feedback consistente da parte della comunità di sicurezza è che le backdoor non hanno alcun metodo per apprendere l'intento dell'utente e impedire che persone malintenzionate provengano. Ciò è particolarmente evidente quando si considerano le industrie come l'assistenza sanitaria in cui il 65% degli aggressori sono minacce interne. L'unico standard, quindi, è di non avere backdoor.

    
risposta data 08.01.2019 - 19:48
fonte
1

Cosa è richiesto per una backdoor

Per definizione, una backdoor viene creata da qualcuno che ha accesso al sistema o al codice in questione per facilitare l'accesso futuro.

Una backdoor è una funzionalità software creata o installata da qualcuno intenzionalmente. Al contrario, una tipica vulnerabilità non ha scopo. Una tipica vulnerabilità è il risultato di un incidente o di una supervisione da parte di uno sviluppatore, un integratore o un amministratore.

Come identificarne uno

Non esiste uno standard definitivo per l'identificazione di una backdoor. Questo è generalmente valutato considerando il metodo con cui opera e se sembra essere progettato piuttosto che accidentale.

Il motivo principale è se la parte che l'ha creata sarebbe stata anche quella a usarlo (o forse a vendergli l'accesso).

Esempi

Ad esempio, se un programma di accesso accetta sempre uno specifico nome utente / password non documentato, allora è probabile che si tratti di una backdoor. È del tutto ragionevole supporre che uno sviluppatore abbia codificato tale funzionalità in modo specifico per consentirgli l'accesso.

D'altro canto, potrebbe essere un semplice errore di troncamento o di "prestazione" se viene creata un'utilità di accesso in modo che utilizzi solo i primi 8 caratteri di una password per generare un hash. Ovviamente, questo rende il sistema vulnerabile agli attacchi brute forcing o rainbow table, ma non esiste una base chiara per presumere che lo sviluppatore possa sfruttarlo.

    
risposta data 08.01.2019 - 21:54
fonte
0

Queste risposte in realtà non sembrano appropriate.

La risposta (nel mio libro) è No, non c'è uno standard ... perché l'uso del termine 'Backdoor' per riferirsi a 'vulnerabilità accidentali' non è corretto. Il termine "backdoor" si riferisce molto chiaramente a un sottoinsieme di un virus informatico. Non sorprende quindi che l'industria anti-virus abbia inventato convenzioni di denominazione e terminologia per classificare gruppi e ceppi di virus informatici molti anni fa. Quello per una Backdoor ... semplice ... 'Backdoor'.

Una backdoor che è vista solo come un binario di Windows a 32 bit? facile. 'W32 / Backdoor' o 'Backdoor.Win32' (i prodotti antivirus sono in gran parte compatibili con molte convenzioni di denominazione, ma sembrano in conflitto su altri [presumendo che io stia interpretando i nomi correttamente]).

Che ne dici di una Backdoor, che è un binario di Windows a 32 bit, che ha il suo bel nome "DoubleAgent"? Facile ancora ... 'Backdoor.Win32.DoubleAgent.c'.

Ti incoraggio a visitare il link e cercare "backdoor". Controlla tutti i milioni di campioni di virus caricati e guarda i diversi nomi forniti dai prodotti antivirus. È uno spazio davvero interessante, ma condivideranno tutti una comunanza ... 'Backdoor'.

    
risposta data 09.01.2019 - 16:02
fonte

Leggi altre domande sui tag