metafrasi banner

exploit = κώδικας εκμετάλλευσης αδυναμιών (λογισμικού)

drsiebenmal

drsiebenmal

HandyMod
Staff member
Σε ερώτηση που διατυπώθηκε από συνάδελφο στο ΦΒ με την επόμενη έννοια (από wikipedia)

An exploit is a piece of software, a chunk of data, or a sequence of commands that takes advantage of a bug or vulnerability in order to cause unintended or unanticipated behavior to occur on computer software, hardware, or something electronic (usually computerized). Such behavior frequently includes things like gaining control of a computer system, allowing privilege escalation, or a denial-of-service attack.

προτάθηκε ο όρος «ακολουθία κωδικού». Η πρόταση μού φαίνεται υπέρμετρα γενική, αλλά δεν γνωρίζω προσωπικά την απάντηση. Μήπως υπάρχουν απαντήσεις ή να ρίχναμε κάποιες ιδέες; Αν π.χ. φτιάχναμε τον εκμεταλλευτή τρωτού σημείου;
 
daeman

daeman

Administrator
Staff member
...
Ακολουθία κωδικού; Ακολουθία κωδικού;!

Πρώτα απ' όλα και για πολλοστή φορά, άλλο κώδικας και άλλο κωδικός.

Δεύτερον, αν υποθέσουμε ότι διορθώνουμε το «κωδικού» σε «ακολουθία κώδικα», αυτό το τελευταίο είναι όχι απλά γενικό, αλλά σαν να λέμε ότι ο άνθρωπος είναι έμβιο ον ή να αποκαλούμε οποιοδήποτε βιολογικό φαινόμενο «ακολουθία DNA», γιατί ακολουθία κώδικα μπορούμε να πούμε τα πάντα στο λογισμικό. Επομένως:

Εκμετάλλευση αδυναμιών (λογισμικού), π.χ.:

1. Exploitation (Εκμετάλλευση αδυναμιών). Κάθε εφαρμογή, λειτουργικό σύστημα και γενικά κάθε πρόγραμμα αποτελείται από εκατοντάδες, χιλιάδες ή και εκατομμύρια γραμμές κώδικα. Οι κακόβουλοι χρήστες αναζητούν προγραμματιστικές αδυναμίες στις παραπάνω εφαρμογές, οι οποίες με κατάλληλη εκμετάλλευση δίνουν την δυνατότητα για απόκτηση πρόσβασης στον Η/Υ που “τρέχει” αυτά τα προγράμματα.
http://www.geetha.mil.gr/el/it-security-el.html

Να συσχετίζει συμβάντα εντοπισμού επιθέσεων με προηγούμενα αποτελέσματα σάρωσης τρωτοτήτων για να προσδιορίζει εάν μία γνωστή εκμετάλλευση (exploit) χρησιμοποιήθηκε εναντίον ενός τρωτού στόχου.

Οι κακόβουλοι χρήστες μπορούν να εισαγάγουν συγκεκριμένο κώδικα εκμετάλλευσης αδυναμιών (exploits) και να αποκτήσουν πρόσβαση σε τρωτούς υπολογιστές.

Οι κακόβουλοι χρήστες αναζητούν αυτές τις υπηρεσίες, τις οποίες προσπαθούν να εκμεταλλευτούν και να αποκτήσουν πρόσβαση, είτε με χρήση προεπιλεγμένων (default) ονομάτων χρηστών και κωδικών πρόσβασης είτε με χρήση κώδικα εκμετάλλευσης λογισμικού (exploit) που είναι ευρέως διαθέσιμος.

Η πιο διαδεδομένη μορφή επίθεσης είναι όταν ο τελικός χρήστης, που λειτουργεί ως διαχειριστής, εξαπατάται είτε ανοίγοντας κάποιο κακόβουλο συνημμένο ενός ηλεκτρονικού μηνύματος, είτε κατεβάζοντας και ανοίγοντας ένα αρχείο από μια κακόβουλη ιστοσελίδα, ή απλά σερφάροντας στον δικτυακό τόπο του εισβολέα που περιέχει ιομορφικό κώδικα εκμετάλλευσης αδυναμιών των περιηγητών (browser exploit-kits). Το αρχείο ή ο κώδικας εκμετάλλευσης αδυναμιών (exploit) περιέχει εκτελέσιμο κώδικα που εκτελείται στον υπολογιστή του θύματος με σκοπό την παραβίασή του.

Τεχνικό Σχέδιο Δράσης για την Ανάπτυξη Κυβερνοάμυνας, Γενικό Επιτελείο Άμυνας, Δ/νση Κυβερνοάμυνας, Αθήνα, Μάρτιος 2014

Εκμετάλλευση (Exploit)
Εκμετάλλευση είναι ένα πρόγραμμα, ή κατ’ελάχιστο ένα κομμάτι αυτόνομου κώδικα, που καταδεικνύει ή εκμεταλλεύεται ένα Τρωτό Σημείο.

http://artemis.cslab.ntua.gr/el_thesis/artemis.ntua.ece/DT2014-0238/DT2014-0238.pdf


Exploit - Εκμετάλλευση: Ένα τμήμα λογισμικού ή μια ακολουθία εντολών με σκοπό την εκμετάλλευση μιας ευπάθειας που προκαλεί ανεπιθύμητη ή απρόβλεπτη συμπεριφορά στο υλικό ή στο λογισμικό ενός υπολογιστικού συστήματος.

https://dspace.lib.uom.gr/bitstream/2159/16091/3/DoxanidisApostolosMsc2014.pdf

Προσβολή μέσω εκμετάλλευσης (exploit*) κάποιας ευπάθειας (vulnerability) του λειτουργικού συστήματος ή κάποιου άλλου προγράμματος ή υπηρεσίας του συστήματος. Στην περίπτωση αυτή κακόβουλοι χρήστες με ιδιαίτερες γνώσεις γνωστοί και ως black hat hackers, χρησιμοποιούν προγράμματα τα οποία εκμεταλλεύονται τυχόν παραλείψεις στην πολιτική ασφαλείας των πληροφοριακών συστημάτων ή αδυναμίες στο λογισμικό των συστημάτων αυτών, έτσι ώστε να εκτελέσουν απομακρυσμένα κακόβουλο κώδικα και να αποκτήσουν πρόσβαση σε αυτά.

* Το ‘exploit’ είναι ένα κομμάτι λογισμικού, ένα μπλοκ δεδομένων ή μια σειρά εντολών οι οποίες εκμεταλλεύονται σφάλματα, δυσλειτουργίες ή ευπάθειες με σκοπό να προκαλέσουν μη ηθελημένη και απρόβλεπτη συμπεριφορά σε λογισμικό ή υλικό υπολογιστών.
http://www.mm.aueb.gr/master_theses/polyzos/2009_sidiropoulos.pdf

Μια αποτελεσματική μορφή εκπαίδευσης θα πρέπει να περιλαμβάνει τα εξής: την περιγραφή του προβλήματος, την τεχνολογία ασφάλειας (security engineering), τις αρχές και οδηγίες σχεδίασης, τους κινδύνους που πρέπει να λαμβάνονται υπ’ όψιν στην υλοποίηση, τα πιθανά ελαττώματα στη σχεδίαση και το πώς να αποφεύγονται, τις τεχνικές ανάλυσης, την εκμετάλλευση σφαλμάτων στο λογισμικό (software exploits) και τον έλεγχο ασφάλειας (security testing).

Εκμετάλλευση (exploit) ή αλλιώς «αδυναμίες - κενά - τρύπες». Αυτές αποτελούν ένα μικρό μέρος του λογισμικού, στο οποίο εντοπίζονται προγραμματιστικά σφάλματα. Τα σφάλματα αυτά οδηγούν συνήθως σε μη εξουσιοδοτημένη πρόσβαση στο σύστημα ή/και σε κατάρρευση τύπου άρνησης παροχής υπηρεσιών του δικτύου του πληροφοριακού συστήματος. Οι εκμεταλλεύσεις προσδιορίζουν έναν προκαθορισμένο τρόπο παραβίασης της ασφάλειας ενός πληροφοριακού συστήματος σε μια ευπάθεια. Κατηγοριοποιούνται σε εκείνα που εκμεταλλεύονται αδυναμίες του συστήματος με σκοπό την πρόσβαση σε αυτό και σε εκείνα που στοχεύουν στην απόκτηση περισσότερων δικαιωμάτων μέσα στο σύστημα. Οι αναλυτές με την χρήση κατάλληλων εργαλείων προσπαθούν να εντοπίσουν «κενά» που βασίζονται στη λανθασμένη ή μη παραμετροποίηση του λειτουργικού συστήματος, του δικτύου και των προεγκατεστημένων εφαρμογών του συστήματος. Η εύρεση τέτοιων «κενών» ασφάλειας και η διόρθωση τους, μπορούν να αποτρέψουν μια πιθανή επίθεση στο σύστημα ή δίκτυο-στόχο.

Έρευνα Εκμεταλλεύσεων-αδυναμιών και Επαλήθευση (Exploit Research and Verification)

Η γνώση της έκδοσης και του τύπου ενός εξυπηρέτη ιστού (web server), επιτρέπει στους ελεγκτές να προσδιορίσουν τις γνωστές ευπάθειες και τις κατάλληλες εκμεταλλεύσεις (exploits), τις οποίες μπορούν να χρησιμοποιήσουν κατά τη διάρκεια του ελέγχου.

Exploit αποκαλείται ένα κακόβουλο και επιθετικό πρόγραμμα το οποίο εκμεταλλεύεται τα κενά ασφαλείας σε κάποιον υπολογιστή για να αποκτηθεί πρόσβαση σε αυτόν. Για παράδειγμα, κάποιο κενό στο λειτουργικό σύστημα, ή ένα κακορυθμισμένο firewall.

Περιγράφει το πώς να γίνει έλεγχος για μια εκμετάλλευση HTTP (HTTP Exploit), όπως HTTP Verb, HTTP Splitting, HTTP Smuggling.

Το πρώτο βήμα είναι να ταυτοποιηθεί ένας κίνδυνος ασφάλειας, που πρέπει να εκτιμηθεί. Θα πρέπει να συγκεντρωθούν πληροφορίες: για τον πράκτορα (agent) απειλής που εμπλέκεται, για την επίθεση που χρησιμοποιεί, για την ευπάθεια που εμπλέκεται και την επίπτωση μιας επιτυχούς εκμετάλλευσής (exploit) της στην επιχείρησή μας.

Ευκολία εκμετάλλευσης - Ease of exploit

Εκμεταλλεύσεις που χρησιμοποιήθηκαν (Exploits used)

Το επίπεδο λεπτομερούς εξήγησης των υπηρεσιών, των εργαλείων ασφάλειας που χρησιμοποιούνται και των πιθανών εκμεταλλεύσεων (exploits), είναι υψηλό και μπορεί να βοηθήσει έναν πεπειραμένο ελεγκτή ασφάλειας αλλά και κάποιον που κάνει τα πρώτα του βήματα στον έλεγχο.

ΜΕΘΟΔΟΙ ΑΞΙΟΛΟΓΗΣΗΣ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΛΟΓΙΣΜΙΚΟΥ ΕΦΑΡΜΟΓΩΝ, Πανεπιστήμιο Πελοποννήσου, Σχολή Θετικών Επιστημών και Τεχνολογίας, Τμήμα Επιστήμης και Τεχνολογίας Υπολογιστών, Μεταπτυχιακή εργασία

Στα πρώτα κεφάλαια αυτής της εργασίας παρουσιάσθηκε ο τρόπος που γίνεται μία επίθεση βασισμένη στην εκμετάλλευση (Exploit) της αδυναμίας υπερχείλισης μνήμης (buffer overflow vulnerability) μιας εφαρμογής ή υπηρεσίας. Ακόμα παρουσιάστηκαν αναφορικά διάφοροι τρόποι αντιμετώπισης του προβλήματος είτε σε επίπεδο δικτύου είτε σε επίπεδο εφαρμογής είτε σε επίπεδο συστήματος.

Detection of Buffer Overflow Exploits


Εκμετάλλευση ευπαθειών του λογισμικού ή του λειτουργικού συστήματος (Exploitations): Ο εισβολέας αποκτά πρόσβαση στο σύστημα μέσω γνωστών ευπαθειών του λειτουργικού συστήματος ή του λογισμικού το οποίο έχει εντοπίσει (π.χ. port scanning) ότι χρησιμοποιεί το σύστημα-στόχος.

Το Metasploit Framework – MSF είναι ένα εργαλείο ανοιχτού κώδικα, με το οποίο οι επαγγελματίες ασφάλειας διενεργούν ελέγχους τρωτότητας (Penetration testing), ανάπτυξη shellcode και αναζήτηση ευπαθειών. Χρησιμοποιείται για τη συγγραφή, τον έλεγχο και τη χρήση κώδικα ο οποίος εκμεταλλεύεται τις ευπάθειες των συστημάτων (exploit code).

Σκοπός είναι να πραγματοποιηθεί η εκμετάλλευση μιας ευπάθειας, εκτελώντας επιθυμητά από τον χρήστη exploits (κώδικα που εκμεταλλεύεται κάποιο σφάλμα του συστήματος) τα οποία μπορεί ο ίδιος να διαλέξει, να παραμετροποιήσει, ακόμα και να συντάξει.

“Έλεγχος τρωτότητας δικτυοκεντρικών Πληροφοριακών Συστημάτων”, Διπλωματική εργασία, ΕΑΠ

Η ερευνητική ομάδα μας είναι αναγνωρισμένη από την διαδικτυακή κοινότητα ασφάλειας για τις δημοσιεύσεις της, αλλά είναι ακόμα πιο γνωστή για τα μη δημοσιευμένα προγράμματα εκμετάλλευσης ευπαθειών (zero-day exploit code) και τα αυτοματοποιημένα εργαλεία τα οποία αναπτύχθηκαν σταδιακά.
http://www.trust-it.gr/research-and-development/

Hellegennes said:
... Τέλος, υπάρχει και η εκμετάλλευση αδυναμιών ή bugs και glitches του παιχνιδιού ώστε να παρακάμψεις εμπόδια με τρόπο που δεν είχε σχεδιαστεί ή προβλεφτεί. Αυτό λέγεται system abuse και exploit ή bug exploit αντίστοιχα (ανορθόδοξη παράκαμψη ή κατάχρηση του συστήματος).
...
Click to expand...

Απαγορεύεται η εκμετάλλευση αδυναμιών του συστήματος (system exploit).
http://www.erepublik.com/en/article/-monp-tricks-and-tips--2559948/1/20
 
nickel

nickel

Administrator
Staff member
Χριστέ Δαεμάνε μου! Μάζεψες ό,τι υπήρχε και δεν υπήρχε!

Με δυο λόγια, γιατί τα έχουν μπερδέψει λιγάκι οι πηγές:

exploitation = εκμετάλλευση αδυναμιών (λογισμικού)
exploit = κώδικας εκμετάλλευσης αδυναμιών (λογισμικού)

Αν ποτέ παίξουμε με καθημερινούς όρους, δεν αποκλείεται να το ονομάσουμε εκμεταλλευτήρι. :)
 
You must log in or register to reply here.
Top