(full disclosure) – principen att brister i it-säkerhet (sårbarheter) ska göras allmänt kända så snart de upptäcks. – Principen gäller säkerhetsluckor i program, på webbsidor och i teknisk utrustning. Detta gäller i praktiken främst om bristerna upptäcks av utomstående. En vanlig erfarenhet är nämligen att det inte lönar sig att rapportera upptäckta sårbarheter i tysthet till det företag som levererar produkten med sårbarheten. Antingen händer ingenting eller också blir den som rapporterar felet åtalad. Om säkerhetsluckan däremot publiceras på internet, så att tusentals hackare kan utnyttja den för att göra attacker, tvingas företaget att rätta till felet så snabbt det går. – Principen fullt avslöjande motarbetas av rörelsen Antisec Movement.
[avslöjanden] [sårbarheter] [ändrad 16 maj 2018]
sårbarhet som, trots att den är känd, aldrig tycks bli korrigerad. Ordet anspelar på zero day (dag noll), se dagnollattack.
[sårbarheter] [ändrad 30 december 2017]
en falsk laddare som installerar en trojansk häst på iPhone. – Mactans konstruerades för att demonstrera en sårbarhet i iOS, och är alltså inte en produkt. – Normalt kan man bara installera program som är godkända av Apple på en iPhone, men konstruktören av Mactans fann ett sätt att kringgå skyddet: skadeprogram installeras från en miniatyrdator, Beaglebone, som har byggts in i en laddare. – Mactans utvecklades av forskare på Georgia Tech information security center (smartech.gatech.edu) i Atlanta för att demonstrera svagheter i Apples kontroll av program, se detta pressmeddelande. Mactans visades upp i augusti 2013 på säkerhetskonferensen Black hat. Såvitt man vet hade något liknande då inte förekommit i andra sammanhang. Apple svarade med att förse version 7 av iOS med en funktion som varnar när ett tillbehör försöker inleda datakommunikation. – Namnet: Taget från giftspindeln svarta änkan, på latin Latrodectus mactans. – Läs också om Jekyll.
[sårbarheter] [ändrad 8 september 2021]
(vulnerability) – något som gör ett it‑system känsligt för angrepp. – Sårbarheter kan vara tekniska brister eller förbiseenden, mänskliga svagheter eller en kombination. Oftast menar man brister i datornätverkens system för identifiering, inloggning och rättigheter. Kontrollen av in- och utgående datatrafik kan ha sårbarheter, liksom granskningen av den utrustning som ansluts till nätverket, och de program som körs. – I en bredare bemärkelse kan sårbarheter också vara mänskliga svagheter som slarv, tanklöshet och naivitet (se också social manipulering) i kombination med teknik som inte har utformats för att kompensera för sådana svagheter;
– Sårbarhetsanalys (vulnerability analysis) – systematisk kartläggning av säkerhetsbristerna i ett it‑system. Det är inte samma sak som riskanalys;
– Sårbarhetsredovisning (vulnerability disclosure) – publicering av information om ett it‑säkerhetsproblem. Kan göras av den som upptäcker problemet, av ett säkerhetsorgan som CERT eller, i sällsynta fall, av leverantören av produkten där problemet finns.
– Se också exploit och exponering.
[sårbarheter] [ändrad 1 november 2017]
tiden mellan att en sårbarhet i ett program, ett operativsystem eller en tjänst blir känd för leverantören till att den har åtgärdats. – På engelska: window of vulnerability, förkortat WoV.
[sårbarheter] [ändrad 16 maj 2018]
i it-säkerhet: utnyttjande av sårbarhet för dataintrång, datastöld eller sabotage. Kan översättas med attack eller exploatering. – Post-exploitation står för vad angriparen gör efter att ha lyckats ta sig in i det attackerade systemet. – Se också exploit.
[sårbarheter] [ändrad 23 augusti 2018]
(F1 key vulnerability) – inaktuellt: ett skadligt skript som kunde aktiveras i äldre versioner av Windows om man tryckte på tangenten F1 samtidigt som man hade Internet Explorer öppet. Om det då öppnades en dialogruta där användaren uppmanades trycka på F1 borde man inte lyda uppmaningen. Om användaren tryckte på F1 skapades nämligen möjlighet för utomstående att fjärrstyra vissa funktioner i datorn. I andra sammanhang fungerade F1 som vanligt. – Sårbarheten blev känd i mars 2010, se Microsofts webbsidor. Den avhjälptes kort därefter, och kan bara drabba den som har en version av Windows från 2010 eller tidigare och som inte har installerat någon säkerhetsuppdatering sedan 2010. – Sårbarheten drabbade bara Windows 2000† och Windows XP†, och den kunde aktiveras enbart från Internet Explorer.
[inaktuellt] [sårbarheter] [windows] [ändrad 5 februari 2018]
(residual risk) – sårbarhet som man vet kvarstår efter att man har genomfört åtgärder för it-säkerhet.
[sårbarheter] [ändrad 16 maj 2018]
attackmetod, attack mot sårbarhet; även: svag punkt, lucka, sårbarhet – metod som utnyttjar en sårbarhet i ett datorsystem för att komma åt skyddad information eller för sabotage. Kallas ofta för exploit script, men en exploit behöver inte vara ett skript utan kan vara ett komplett program eller ett annat tillvägagångssätt. Ordet exploit används om:
- – själva attacken (även kallad exploitation);
- – metoden eller programmet som används;
- – sårbarheten som angriparen drar fördel av.
– Om zero-day exploit, se dagnollattack. Ordet exploit används också i datorspel på nätet: ett fel eller förbiseende som spelare kan utnyttja till sin egen fördel på ett sätt som spelets utvecklare inte hade tänkt sig. – För Exploit Wednesday, se Patch Tuesday†. – Ordet: Substantivet exploit betyder normalt äventyr, bravad, men i den betydelse som används här kommer ordet av verbet to exploit i betydelsen att exploatera.
[attacker] [sårbarheter] [språktips] [ändrad 17 mars 2022]