1996 yil, 4 iyun, seshanba, Frantsiya Gvianasidagi kosmodrom. 9 soat 33 daqiqa 59 soniya. Ariane 5 raketasining birinchi uchirilishi.Raketa osmonga ko'tariladi va uchirilgandan 40 soniya o'tgach, 50 metr balandlikda portlaydi. Zarar ellik milliondan olti milliard dollargacha bo'lgan turli xil ma'lumotlardan iborat edi. Bir yarim oy o'tgach, 19-iyul kuni tergov komissiyasining to'liq hisoboti e'lon qilindi, natijada portlash dasturni amalga oshirishning mumkin bo'lgan variantlaridan birida to'lib toshgan xatolar tufayli sodir bo'lganligi aniq bo'ldi. Dasturiy ta'minotdagi kichik, birinchi qarashda zaiflik, jiddiy zarar jadvaliga xush kelibsiz. Bu odatiy, ammo hali alohida holat emas, bu korporativ tarmoqdagi turli xil zaifliklarning paydo bo'lishidan kelib chiqadigan xavfni namoyish etadi.

Zaiflik klassifikatsiyasi

Zaiflik (zaiflik) yoki men tajovuzkor tahdidni amalga oshirish uchun xabar bo'lishi mumkin bo'lgan axborot tizimining har qanday xususiyatini chaqiraman. Zaiflikdan maqsadli foydalaniladimi yoki qasddan foydalanilmasligi muhim emas. Tarmoq resurslariga ruxsatsiz kirishga xato, nodonlik yoki yovuz aql bilan kirishga urinishga harakat qilgan korporativ tarmoqning har qanday sub'ekti buzuvchidir.

Zaifliklar va ixni aniqlash muammosi juda uzoq vaqt davomida o'rganilib kelinmoqda va mavjud bo'lgan davrda zaifliklarni turli mezonlarga ko'ra tasniflashga turli urinishlar qilingan. Masalan, RISOS, COAST tadqiqot laboratoriyalari yoki Internet Xavfsizlik tizimlarida Amerika himoyasini tahlil qilish loyihasi va boshqalar. Kaidanining tashkiloti uning tasnifini boshqargan va asoslagan. Hech qanday tasnif kategorik bo'lishi mumkin emas. Masalan, Unix OS operatsion tizimida ekspluatatsiya qilish (masalan, statd demon buferining to'lib toshishi) eng dahshatli oqibatlarga olib kelishi mumkin bo'lgan zaiflik (eng yuqori ustuvorlik) hech qachon Windows NT-ga qo'llanilmasligi mumkin. Bundan tashqari, hujumlar va zaifliklar nomlarida chalkashliklar mavjud. Masalan, bir xil hujum, yuvinish turli ishlab chiqaruvchilarning mutlaqo boshqa nomlariga ega (1-jadval).

Jadval 1. Bir xil zaiflik uchun turli xil nomlar

Tashkilot \ Kompaniyani nomlash hujumi

CERT CA-96.06.cgi_example_code

CyberSafe Network: HTTP 'phf' hujumi

ISS http-cgi-phf

AXENT phf CGI buyruqni masofadan bajarishga imkon beradi

Bugtraq PHF hujumlari - butun oila uchun o'yin-kulgi va o'yinlar

BindView # 107 - cgi-phf

Cisco # 3200 - WWW phf hujumi

NCSA / Apache namunaviy kodidagi IBM ERS zaifligi

CERIAS http_escshellcmd

L-3 # 180 HTTP Server CGI kod namunasi HTTP serverini murosaga keltiradi

1999 yilda MITER korporatsiyasi (http://www.mitre.org) zaifliklar va hujumlarni nomlash bilan tavsiflangan chalkashliklarni bartaraf etish uchun turli xil zaifliklarni sotuvchisidan mustaqil bo'lgan echimni taklif qildi. Ushbu yechim CVE (Common Vulnerability Enumeration) ma'lumotlar bazasi shaklida amalga oshirilib, keyinchalik Umumiy zaifliklar va ta'sirlar deb o'zgartirildi. Bu barcha mutaxassislar va ishlab chiqaruvchilarga bir xil tilda gaplashishga imkon berdi. Masalan, 1-jadvalda tasvirlangan bir xil zaiflikning turli xil chertishlari bitta CVE-1999-0067 kodini oldi.

CVE pomito ma'lumotlar bazasini ishlab chiqishda MITER mutaxassislari ko'plab taniqli kompaniya va tashkilotlarning mutaxassislari ishtirokida qatnashdilar. Masalan, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Karnegi Mellon universiteti, SANS instituti, UC Devis Computer Security Lab, CERIAS va boshqalar. Internet xavfsizlik tizimlari CVE bazalarini qo'llab-quvvatlash uchun Cisco, Axent, BindView, IBM va boshqalar. Biroq, imtiyozli tashabbusni ko'rib chiqmasdan, CVE bazasi hali ko'plab tijorat mahsulotlarini olmagan.

Amaliy faoliyat yoki rivojlanish jarayonida har qanday axborot tizimining hayot tsiklining bosqichini aks ettiruvchi uning tasnifi (2-jadval).

Jadval 2. Zaiflik toifalari

IP hayot tsiklining bosqichlari IP zaifliklari toifalari

IS dizayni Dizaynning zaif tomonlari

ISni amalga oshirish Amaliy zaifliklar