Skibe er mekaniske bæster med mange dele, der arbejder for at sikre sikre, vellykkede rejser. En digital ækvivalent ville være software. Ligesom softwareudvikling involverer skibsbygning flere trin og præcis konstruktion. Så, når alt er færdigt, tester bygherrerne deres kreationer under forskellige forhold for at sikre, at fartøjet er sikkert og fungerer som designet. Stort set al den bedste software, vi bruger i dag, gennemgår tests for at sikre, at den også er sikker.
En sådan test er fejlinjektion. Sammenlignet med skibsbygning ville fejlinjektion svare til, at nautiske ingeniører med vilje satte huller i deres skibe for at se, hvordan de håndterer at synke...
Hvad er fejlinjektion, og hvorfor er det vigtigt?
Fejlinjektion er praksis med bevidst at skabe defekter i et system. Målet med denne praksis er at analysere, hvordan systemet fungerer under stress. Hardware- og softwareingeniører forårsager typisk fejl i deres hardware eller software af flere årsager.
For det første ønsker de at afdække og adressere fejl, der kan opstå uden for det kontrollerede miljø i produktionslaboratoriet. Dette er vigtigt, fordi de ikke har kontrol over de forhold, som kunderne vil bruge deres produkter under. Varme kan kompromittere komponenter eller materialer, der holder komponenter sammen; en serverfejl kan få en hel region til at miste adgangen til deres foretrukne streamingtjeneste; angribere kan udløse en fejl, der bryder sikkerhedsfunktioner. Når sådanne begivenheder sker, ønsker udviklere og enhedsproducenter at sikre, at deres produkter stadig er beskytte integriteten af brugernes data og sikkerhed eller justere belastningsfordelingen for at minimere servicen forstyrrelse.
I sidste ende er fejlinjektion nødvendig for at gøre apps og hardware sikre, sikre og pålidelige. På samme måde hjælper fejlinjektion producenter med at beskytte intellektuel ejendom, reducere risikoen for tab og bevare deres kunders tillid. Du ville ikke lægge dine penge i en bank, hvis deres app går ned hele tiden, og hackere har en feltdag til at knække den, ville du?
Hvordan virker fejlinjektionsangreb?
Producenter udfører bevidst fejlinjektion for at afdække fejl, der kan kompromittere sikkerheden af deres produkter. Intet forhindrer angribere i at gøre det samme for at afsløre svagheder i et system og udnytte dem. De værktøjer, der bruges til at udføre fejlinjektion, er trods alt offentlige, og metoderne er ikke alt for komplekse.
Ydermere kan erfarne angribere blive kreative med deres metoder og skubbe systemet ud over, hvad der er normalt. På dette tidspunkt skal du vide, at fejlinjektion kan være fysisk (i hardware) eller digital (i software). Ligeledes kan de værktøjer og metoder, der anvendes ved fejlinjektionsangreb, antage begge former. Producenter og hackere kombinerer ofte fysiske og digitale værktøjer i henholdsvis deres test og angreb.
Nogle værktøjer, der bruges til fejlinjektion, er FERRARI (Fault and ERRor Automatic Real-time Injector), FTAPE (Fault Tolerance And Performance Evaluator), Xception, Gremlin, Holodeck og ExhaustiF. I mellemtiden involverer FIA-metoder ofte at bombardere systemet med intense elektromagnetiske impulser, hæve miljøtemperaturen, underspænding GPU'er eller CPU'er, eller udløser en kortslutning. Ved at bruge FIA-værktøjer og -metoder kan de ødelægge et system længe nok til at udnytte en nulstilling, omgå en protokol eller stjæle følsomme data.
Forebyggelse af fejlinjektionsangreb
Du behøver ikke bekymre dig om at forhindre FIA-angreb, hvis du er en almindelig forbruger. Det ansvar ligger på enhedsproducenten eller softwareudvikleren, ligesom skibets sikkerhed er sejlbesætningens opgave. Producenter og udviklere gør dette ved at designe mere modstandsdygtige sikkerhedsprotokoller og gøre dataudtrækning vanskelig for hackere.
Ikke desto mindre er der ingen perfekte systemer. Angribere udvikler ofte nye angrebsmetoder, og de er ikke begrænset i, hvordan de anvender disse metoder, da de ikke spiller efter reglerne. For eksempel kan en hacker kombinere FIA med en side-kanal angreb, især hvis deres adgang til enheden er begrænset. Holdet på den anden side skal erkende dette faktum, når de designer elastiske systemer og planlægger deres fejlinjektionstest.
Bør du være bekymret for FIA?
Ikke direkte. Der er mere sandsynlige cybersikkerhedstrusler, der påvirker dig mere personligt end fejlinjektionsangreb. Desuden er FIA sjældent skjult. En angriber skal have fysisk adgang til din enhed for at udføre et fejlinjektionsangreb. Desuden er fejlinjektionsmetoder generelt invasive og resulterer i et vist niveau af midlertidig eller permanent skade på systemet. Så det er meget sandsynligt, at du bemærker, at noget er galt, eller at du står tilbage med en enhed, du ikke kan bruge.
Fangsten er selvfølgelig, at angriberen kan have stjålet følsomme data, når du bemærker manipulationen. Det er op til producenten eller udvikleren at forhindre angrebet i første omgang og forbedre deres produkters sikkerhed.
