船舶是一种机械巨兽,有许多部件可以确保安全、成功的航行。数字等价物是软件。与软件开发一样,造船涉及多个步骤和精确的工程设计。然后,当一切都完成后,建造者会在不同条件下测试他们的作品,以确保船只安全并按设计运行。我们今天使用的几乎所有最好的软件都经过测试以确保它们也是安全的。 一种这样的测试是故障注入。与造船相比,故障注入类似于航海工程师故意在他们的船上打洞,看看他们如何处理沉没……

什么是故障注入及其重要性?

故障注入是在系统中故意制造缺陷的做法。本实践的目标是分析系统在压力下的表现。硬件和软件工程师通常会出于多种原因在其硬件或软件中引入故障。 一方面,他们希望发现并解决可能在生产实验室的受控环境之外出现的故障。这很重要,因为他们无法控制客户使用其产品的条件。热量可能会损坏组件或将组件固定在一起的材料;服务器故障可能导致整个地区无法访问他们最喜欢的流媒体服务;攻击者可能会触发破坏安全功能的故障。当此类事件发生时,开发人员和设备制造商希望确保他们的产品仍然保护用户数据的完整性和安全性,或者调整负载分配以最大程度地减少服务中断。 最终,故障注入对于使应用程序和硬件安全、可靠和可靠是必要的。同样,故障注入可帮助制造商保护知识产权、降低损失风险并保持客户的信心。如果他们的应用程序一直崩溃并且黑客在现场破解它,你不会把钱存入银行,对吗?

故障注入攻击如何工作?

pexels-george-desipris 制造商有意执行故障注入以发现可能危及其产品安全性的缺陷。没有什么能阻止攻击者做同样的事情来暴露系统中的弱点并加以利用。毕竟,用于进行故障注入的工具是公开的,方法也不是太复杂。 此外,经验丰富的攻击者可以通过他们的方法发挥创意,并使系统超出正常范围。此时,您需要知道故障注入可以是物理的(在硬件中)或数字的(在软件中)。同样,故障注入攻击中使用的工具和方法可以采用任何一种形式。制造商和黑客经常在他们的测试和攻击中分别结合物理和数字工具。 用于故障注入的一些工具有 FERRARI(故障和错误或自动实时注入器)、FTAPE(容错和性能评估器)、Xception、Gremlin、Holodeck 和 ExhaustiF。同时,FIA 方法通常涉及用强烈的电磁脉冲轰击系统、提高环境温度、降低 GPU 或 CPU 的电压,或触发短路。使用 FIA 工具和方法,他们可以破坏系统足够长的时间以利用重置、绕过协议或窃取敏感数据。

防止故障注入攻击

如果您是普通消费者,则不必担心防止 FIA 攻击。这个责任在设备制造商或软件开发商身上,就像船舶的安全是船员的工作一样。制造商和开发人员通过设计更具弹性的安全协议并使黑客难以提取数据来做到这一点。 然而,没有完美的系统。攻击者经常开发新颖的攻击方法,而且他们不按规则行事,因此在应用这些方法方面不受限制。例如,黑客可能会将 FIA 与侧信道攻击相结合,尤其是在他们对设备的访问受限的情况下。另一方的团队在设计弹性系统和规划故障注入测试时必须承认这一事实。

你应该担心国际汽联吗?

不直接。与故障注入攻击相比,网络安全威胁对您的影响更大。此外,国际汽联很少是隐蔽的。攻击者需要对您的设备进行物理访问才能执行故障注入攻击。此外,故障注入方法通常是侵入性的,会对系统造成某种程度的临时或永久损坏。因此,您很可能会注意到出现问题或留下无法使用的设备。 当然,要注意的是,当您注意到篡改时,攻击者可能已经窃取了敏感数据。制造商或开发商首先要防止攻击并提高其产品的安全性。


本站由 Diebug 使用 Stellar 1.29.1 主题创建。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
本站总访问量 | 本站总访客数