fullt avslöjande

(full disclosure) – principen att brister i it-säkerhet (sårbarheter) ska göras allmänt kända så snart de upptäcks. – Principen gäller säker­hets­luckor i program, på webb­sidor och i teknisk utrustning. Detta gäller i praktiken främst om bristerna upp­täcks av utom­stående. En vanlig erfarenhet är nämligen att det inte lönar sig att rapportera upp­täckta sårbarheter i tyst­het till det företag som levererar produkten med sår­bar­heten. Antingen händer ingenting eller också blir den som rapporterar felet åtalad. Om säkerhetsluckan däremot publiceras på inter­net, så att tusen­tals hackare kan utnyttja den för att göra attacker, tvingas före­taget att rätta till felet så snabbt det går. – Prin­cipen fullt avslöjande mot­arbetas av rörelsen Antisec Movement.

[avslöjanden] [sårbarheter] [ändrad 16 maj 2018]

Mactans

en falsk laddare som installerar en trojansk hästiPhone. – Mactans konstruerades för att demonstrera en sårbarhet i iOS, och är alltså inte en produkt. – Normalt kan man bara installera program som är godkända av Apple på en iPhone, men konstruktören av Mactans fann ett sätt att kringgå skyddet: skadeprogram installeras från en miniatyrdator, Beaglebone, som har byggts in i en laddare. – Mactans utvecklades av forskare på Georgia Tech information security center (smartech.gatech.edu) i Atlanta för att demonstrera svag­heter i Apples kontroll av program, se detta pressmeddelande. Mac­tans visades upp i augusti 2013 på säkerhetskonferensen Black hat. Såvitt man vet hade något liknande då inte förekommit i andra sammanhang. Apple svarade med att förse version 7 av iOS med en funktion som varnar när ett tillbehör för­söker inleda datakommunika­tion. – Namnet: Taget från giftspindeln svarta änkan, på latin Latrodectus mactans. – Läs också om Jekyll.

[sårbarheter] [ändrad 8 september 2021]

sårbarhet

(vulnerability) – något som gör ett it‑system känsligt för angrepp. – Sårbarheter kan vara tekniska brister eller förbiseenden, mänskliga svagheter eller en kombination. Oftast menar man brister i datornätverkens system för identifiering, inloggning och rättigheter. Kontrollen av in- och utgående datatrafik kan ha sårbarheter, liksom granskningen av den utrustning som ansluts till nätverket, och de program som körs. – I en bredare bemärkelse kan sårbarheter också vara mänskliga svagheter som slarv, tanklöshet och naivitet (se också social manipulering) i kombination med teknik som inte har ut­formats för att kompensera för sådana svagheter;

– Sårbarhetsanalys (vulnerability analysis) – systematisk kartläggning av säkerhetsbristerna i ett it‑system. Det är inte samma sak som riskanalys;

– Sårbarhetsredo­visning (vulnerability dis­closure) – publicering av information om ett it‑säkerhetsproblem. Kan göras av den som upptäcker problemet, av ett säkerhets­organ som CERT eller, i sällsynta fall, av leverantören av produkten där problemet finns.

– Se också exploit och exponering.

[sårbarheter] [ändrad 1 november 2017]

sårbarhetsfönster

tiden mellan att en sår­bar­het i ett program, ett operativ­­system eller en tjänst blir känd för le­ve­ran­tör­en till att den har åt­gärdats. – På engelska: window of vulnerability, förkortat WoV.

[sårbarheter] [ändrad 16 maj 2018]

exploitation

i it-säkerhet: utnyttjande av sårbarhet för data­intrång, data­stöld eller sabotage. Kan över­sättas med attack eller exploatering. – Post-exploitation står för vad angriparen gör efter att ha lyckats ta sig in i det attackerade systemet. – Se också exploit.

[sårbarheter] [ändrad 23 augusti 2018]

F1-sårbarhet

(F1 key vulnerability) – inaktuellt: ett skadligt skript som kunde aktiveras i äldre versioner av Windows om man tryckte på tangenten F1 samtidigt som man hade Internet Explorer öppet. Om det då öppnades en dialogruta där användaren uppmanades trycka på F1 borde man inte lyda uppmaningen. Om användaren tryckte på F1 skapades nämligen möjlighet för utomstående att fjärrstyra vissa funktioner i datorn. I andra sammanhang fungerade F1 som vanligt. – Sårbarheten blev känd i mars 2010, se Microsofts webbsidor. Den avhjälptes kort därefter, och kan bara drabba den som har en version av Windows från 2010 eller tidigare och som inte har installerat någon säkerhetsuppdatering sedan 2010. – Sårbarheten drabbade bara Windows 2000† och Windows XP†, och den kunde aktiveras enbart från Internet Explorer.

[inaktuellt] [sårbarheter] [windows] [ändrad 5 februari 2018]

exploit

attackmetod, attack mot sår­bar­het; även: svag punkt, lucka, sårbarhet – metod som ut­nyttjar en sårbarhet i ett datorsystem för att komma åt skyddad information eller för sabotage. Kallas ofta för exploit script, men en exploit behöver inte vara ett skript utan kan vara ett komplett program eller ett annat tillvägagångssätt. Ordet exploit används om:

  • – själva attacken (även kallad exploitation);
  • – metoden eller programmet som används;
  • – sårbarheten som angriparen drar fördel av.

– Om zero-day exploit, se dagnollattack. Ordet exploit används också i datorspel på nätet: ett fel eller förbiseende som spelare kan utnyttja till sin egen fördel på ett sätt som spelets ut­vecklare inte hade tänkt sig. – För Exploit Wednesday, se Patch Tuesday†. – Ordet: Substantivet exploit betyder normalt äventyr, bravad, men i den betydelse som används här kommer ordet av verbet to exploit i betydelsen att exploatera.

[attacker] [sårbarheter] [språktips] [ändrad 17 mars 2022]