fullt avslöjande

(full disclosure) – principen att brister i it-säkerhet (sårbarheter) ska göras allmänt kända så snart de upptäcks. – Principen gäller säker­hets­luckor i program, på webb­sidor och i teknisk utrustning. Detta gäller i praktiken främst om bristerna upp­täcks av utom­stående. En vanlig erfarenhet är nämligen att det inte lönar sig att rapportera upp­täckta sårbarheter i tyst­het till det företag som levererar produkten med sår­bar­heten. Antingen händer ingenting eller också blir den som rapporterar felet åtalad. Om säkerhetsluckan däremot publiceras på inter­net, så att tusen­tals hackare kan utnyttja den för att göra attacker, tvingas före­taget att rätta till felet så snabbt det går. – Prin­cipen fullt avslöjande mot­arbetas av rörelsen Antisec Movement.

[avslöjanden] [sårbarheter] [ändrad 16 maj 2018]

sårbarhet

(vulnerability) – något som gör ett it‑system känsligt för angrepp. – Sårbar­­heter kan vara tekniska brister eller förbiseenden, mänskliga svagheter eller en kombination. Oftast menar man brister i datornätverkens system för identifiering, inloggning och rättigheter. Kontrollen av in- och utgående datatrafik kan ha sårbarheter, liksom granskningen av den utrust­ning som ansluts till nätverket, och de program som körs. – I en bredare bemärkelse kan sårbarheter också vara mänskliga svagheter som slarv, tanklös­het och naivitet (se också social manipulering) i kombination med teknik som inte har ut­formats för att kompensera för sådana svagheter;

– Sårbarhetsanalys (vulnerability analysis) – systematisk kartläggning av säker­hets­­bristerna i ett it-system. Det är inte samma sak som riskanalys;

– Sårbarhetsredo­visning (vulnerability dis­closure) – publicering av information om ett it‑säkerhetsproblem. Kan göras av den som upptäcker problemet, av ett säkerhets­organ som CERT eller, i sällsynta fall, av leverantören av pro­dukten där problemet finns.

– Se också exploit och exponering.

[sårbarheter] [ändrad 1 november 2017]

sårbarhetsfönster

tiden mellan att en sår­bar­het i ett program, ett operativ­­system eller en tjänst blir känd för le­ve­ran­tör­en till att den har åt­gärdats. – På engelska: window of vulnerability, förkortat WoV.

[sårbarheter] [ändrad 16 maj 2018]

exploitation

i it-säkerhet: utnyttjande av sårbarhet för data­intrång, data­stöld eller sabotage. Kan över­sättas med attack eller exploatering. – Post-exploitation står för vad angriparen gör efter att ha lyckats ta sig in i det attackerade systemet. – Se också exploit.

[sårbarheter] [ändrad 23 augusti 2018]

F1-sårbarhet

(F1 key vulnerability) – inaktuellt: ett skadligt skript som kunde aktiveras i äldre versioner av Windows om man tryckte på tangenten F1 samtidigt som man hade Internet Explorer öppet. Om det då öppnades en dialogruta där användaren uppmanades trycka på F1 borde man inte lyda uppmaningen. Om användaren tryckte på F1 skapades nämligen möjlighet för utomstående att fjärrstyra vissa funktioner i datorn. I andra sammanhang fungerade F1 som vanligt. – Sårbarheten blev känd i mars 2010, se Microsofts webbsidor. Den avhjälptes kort därefter, och kan bara drabba den som har en version av Windows från 2010 eller tidigare och som inte har installerat någon säkerhetsuppdatering sedan 2010. – Sårbarheten drabbade bara Windows 2000† och Windows XP†, och den kunde aktiveras enbart från Internet Explorer.

[inaktuellt] [sårbarheter] [windows] [ändrad 5 februari 2018]

exploit

attackmetod, attack mot sår­bar­het; även: svag punkt, lucka, sår­bar­het – metod som ut­nyttjar en sår­­bar­­het i ett dator­system för att komma åt skyddad information eller för sabotage. Kallas ofta för exploit script, men en exploit behöver inte vara ett skript utan kan vara ett komplett pro­gram eller en annan metod. Ordet exploit an­vänds om:

  • – själva attacken (även kallad exploitation);
  • – metoden eller programmet som används;
  • – sårbarheten som angriparen drar fördel av.

– Om zero-day exploit, se dagnollattack. Ordet exploit används också i datorspel på nätet: ett fel eller för­bi­­seende som spelare kan ut­nyttja till sin egen för­del på ett sätt som spelets ut­vecklare inte hade tänkt sig. – För Exploit Wednesday, se Patch Tuesday†. – Ordet: Substantivet exploit betyder normalt äventyr, bravad, men i den be­tydelse som an­vänds här kommer ordet av verbet to exploit i betydelsen att exploatera.

[attacker] [sårbarheter] [språktips] [ändrad 16 maj 2018]