หน่วยความจำ – ส่วนหนึ่งของคอมพิวเตอร์ที่คุณไม่เคยมีเพียงพอ – เป็นจุดอ่อนสำหรับความปลอดภัยทางไซเบอร์ ผู้โจมตีใช้ประโยชน์จากหน่วยความจำตั้งแต่นั้นเป็นต้นมา ขณะนี้สำนักงานความมั่นคงแห่งชาติได้เผยแพร่แนวทางใหม่เพื่อช่วยให้ทั้งนักพัฒนาซอฟต์แวร์และผู้ใช้หลีกเลี่ยงการใช้ประโยชน์จากหน่วยความจำ หากต้องการทราบรายละเอียดFederal Drive กับ Tom Teminได้พูดคุยกับ Neal Ziring ผู้อำนวยการด้านเทคนิคของ NSA’s Capabilities Directorate
Neal Ziringดังนั้นภายในคอมพิวเตอร์ ในขณะที่ซอฟต์แวร์ชิ้นหนึ่ง
กำลังเรียกใช้แอปพลิเคชันใดๆ ซอฟต์แวร์นั้นจะอ่านจากหน่วยความจำและเขียนไปยังหน่วยความจำอย่างต่อเนื่อง เพื่อให้ซอฟต์แวร์ทำงานได้อย่างถูกต้อง จะต้องอ่านและเขียนในส่วนที่ถูกต้องของหน่วยความจำ และผู้โจมตีอาจพยายามโน้มน้าวให้ซอฟต์แวร์เขียนเกินขอบเขตเพื่อเขียนลวก ๆ นอกส่วนที่เหมาะสมของหน้า เมื่อสิ่งนี้เกิดขึ้น คุณอาจได้รับผลเสียทุกประเภท เช่น โปรแกรมหยุดทำงาน หรือทำสิ่งที่ไม่เหมาะสม หรือแม้แต่การอำนวยความสะดวกในการเข้าถึงโดยผู้โจมตี
ข้อมูลเชิงลึกโดย Ciena และ AT&T: ข้อกำหนดของภารกิจในการรับความเร็วและแบนด์วิธสูงแก่ผู้ใช้ทั่วโลกคือหน่วยงานชั้นนำในการปรับใช้ 5G ดาวเทียมพื้นต่ำ และเทคโนโลยีเครือข่ายที่คล่องตัวอื่นๆ ที่เกิดขึ้นใหม่ เราแบ่งปันรายละเอียดจากความพยายามของ Coast Guard, CBP, CISA และ Energy ในการบรรยายสรุปสำหรับผู้บริหารสุดพิเศษนี้
Tom Teminฉันเห็นจุดที่โปรแกรมเมอร์อาจทำผิดพลาดในการให้คำสั่งแก่โปรแกรมว่าจะเขียนหน่วยความจำที่ใด และถ้าสิ่งนั้นเกิดขึ้น คุณก็รู้ สิ่งต่างๆ จะหยุดลงหรือจะพังหรืออะไรก็ตาม แต่ผู้แสวงประโยชน์จะเข้ามาได้อย่างไรเมื่อซอฟต์แวร์ชิ้นหนึ่งกำลังทำงานโดยใช้หน่วยความจำ จะไปเปลี่ยนแปลง ณ จุดนั้นได้อย่างไร?
นีล ซีริงคำถามที่ดี ในซอฟต์แวร์ทั่วไปที่เราอาจใช้อยู่ทุกวันนี้เขียนด้วยภาษา
แบบดั้งเดิม ไม่มีการป้องกันใดๆ ในวิธีที่โปรแกรมเมอร์มีการป้องกันน้อยมากเกี่ยวกับวิธีที่โปรแกรมเมอร์สามารถใช้หน่วยความจำได้ ดังนั้นโปรแกรมเมอร์อาจคาดหวังพฤติกรรมบางอย่างในช่องทางการสื่อสารหรือการโต้ตอบกับผู้ใช้ และพวกเขาเขียนซอฟต์แวร์โดยขึ้นอยู่กับสมมติฐานเหล่านั้น หากมีใครทำลายข้อสันนิษฐานเหล่านั้น เช่น ผู้โจมตี จะไม่มีเกราะป้องกัน โปรแกรมจะทราบทันทีนอกขอบเขตหรืออ่านหน่วยความจำไม่ถูกต้องและมีผลเสียเหล่านี้ รายงานที่เราเผยแพร่เมื่อวันก่อนพูดถึงการใช้เทคโนโลยี โดยเฉพาะอย่างยิ่งภาษาโปรแกรมที่ช่วยกำหนดแนวป้องกันที่เปลี่ยนภาระทางจิตนั้นออกจากโปรแกรมเมอร์และไปยังภาษาโปรแกรมเพื่อหลีกเลี่ยงปัญหาประเภทเหล่านั้น
Tom Temin
กล่าวอีกนัยหนึ่ง คุณกำลังวางผู้ว่าการบนรถ เพื่อไม่ให้ใครขับเร็วเกินไปในตอนแรก
Neal Ziring
นั่นไม่ใช่การเปรียบเทียบที่ไม่ดี แต่ฉันไม่ต้องการที่จะสานต่อตำนานที่ว่าการใช้ภาษาที่ปลอดภัยสำหรับหน่วยความจำทำให้ซอฟต์แวร์ของคุณมีประสิทธิภาพต่ำ นั่นไม่เป็นความจริงมาหลายปีแล้ว ภาษาเหล่านี้ คอมไพเลอร์เหล่านี้ มีประสิทธิภาพมาก และสามารถเขียนซอฟต์แวร์ได้เร็วพอๆ กับภาษาดั้งเดิมใดๆ
หน่วยความจำ Tom Temin
Plus นั้นมีอยู่มากมาย ทุกวันนี้ข้อจำกัดเรื่องโปรแกรมเมอร์น้อยลงมากแล้ว จริงไหม?
นีล ซีริง
มันคือ สิ่งที่ฉันพบ อย่างน้อยก็จากประสบการณ์ส่วนตัวของฉัน ความพร้อมของหน่วยความจำที่มากขึ้นในคอมพิวเตอร์ทั่วไปในปัจจุบัน ที่จริงแล้ว ช่วยให้โปรแกรมเมอร์สามารถเขียนซอฟต์แวร์ในลักษณะที่หลวมกว่า และอาจไม่ได้คำนึงถึงหน่วยความจำมากนัก ซึ่งบางครั้งก็ช่วยนำไปสู่ปัญหาเหล่านี้ ซึ่งเป็นเหตุผลมากกว่าที่จะเปลี่ยนภาระนั้นกลับไปที่ระบบภาษาเอง เพื่อช่วยโปรแกรมเมอร์และปลดภาระบางส่วนออกจากบ่า
Tom Temin
เรากำลังคุยกับ Neal Ziring เขาเป็นผู้อำนวยการด้านเทคนิคของ Cybersecurity Directorate ที่ National Security Agency อะไรคือข้อได้เปรียบของแฮ็กเกอร์สำหรับคนที่เข้าสู่ระบบโดยใช้ประโยชน์จากช่องโหว่ของหน่วยความจำ พวกเขาได้อะไรจากมัน?
Neal Ziring
หากผู้ใช้ประโยชน์จากซอฟต์แวร์หรือผู้โจมตีทราบช่องโหว่ด้านความปลอดภัยของหน่วยความจำในโปรแกรม เช่น บัฟเฟอร์ล้น หรือการใช้งานหลังจากช่องโหว่ฟรี สิ่งเหล่านี้เป็นเพียงคำศัพท์ทางเทคนิค พวกเขาสามารถทำหลายสิ่งหลายอย่าง อาจทำให้ซอฟต์แวร์พังได้ สามารถทำให้ซอฟต์แวร์ทำสิ่งที่ไม่เหมาะสมในแง่ของ a, คุณรู้ไหม, เขียนไปยังส่วนที่ไม่ถูกต้องของคอมพิวเตอร์หรือเปิดเผยข้อมูลที่ไม่ควรทำ, หรือแม้กระทั่งเข้าควบคุมการทำงานของซอฟต์แวร์นั้น, และทำให้รันโค้ดที่แทรกโดย ผู้โจมตี ช่องโหว่ด้านความปลอดภัยของหน่วยความจำอาจมีประสิทธิภาพมาก และนั่นสามารถเปิดใช้งานรูปแบบการโจมตีที่แตกต่างกันทั้งหมดเหล่านี้
credit: jpbagscoachoutletonline.com
CopdTreatmentsBlog.com
SildenafilBlog.com
maple-leaf-singers.com
faulindesign.com
doodeenarak.com
coachjpoutletbagsonline.com
MigraineTreatmentBlog.com
GymAsTicsWeek.com
