バージョン情報を漏らすリスク(技術者ではない人)を説明する最良の方法は何ですか?
単純なバージョン番号の漏洩が不必要/潜在的なリスクと見なされ、回避する必要がある理由を非技術者(読む:管理)に説明する最も簡単な方法は何だろうと思います。
たとえば、次を介したバージョンのリーク:
- hTTP
X-Powered-Byヘッダー、 - hTTP
Serverヘッダーおよび/または - 公開readmeおよびchangelogファイル。
これを簡単に説明できる例やメタファーはありますか?通常、これ以上は取得しません"リークされたバージョン番号により、攻撃者は、公開されている脆弱性データベースの既知のバージョン固有のソフトウェアエクスプロイトと簡単に照合できます..."
2010年から2015年までトヨタプリウスモデルを盗むことに特化した車の強盗を想像してみてください。モデルの特徴を見回して分析するだけで、このタイプの車を簡単に特定できます。
さて、車の強盗は盲目で、車のモデルに触れることでしか車のモデルを識別できないとしましょう。これは、彼が専門としている車のタイプを見つけるのをはるかに困難にするでしょう。
最初のシナリオでは、車の強盗がこのタイプの車をより多く識別して盗む可能性が高くなります。
この比喩では:
- 車の強盗は攻撃者です
- 車種はバージョン情報です
- ブラインドカーロバーはブラインドアタッカーです
彼がもっと好きかもしれないのは、それがインターネットのオーバーヘッドとデータスループットのための長期にわたるより少ない伝送とその結果のコストが少ないということです(ほとんどのクラウドサービスやWebサーバーのセットアップのように合計サイズでトラフィックに支払う場合、長期的には安くなります)。
隠喩:
ロックされた金庫金庫はピストンとソレノイドから作動します。あなたがソレノイドベースの金庫を持っているとしましょう。この金庫には、磁石が付いている人が金庫を開けるという脆弱性がある特定のロックが施されています。誰かがロックのモデルを知っていれば、磁石があれば、ロックまでのコードを推測する必要さえないことがわかるでしょう。彼らはただ磁石で金庫の鍵を開けることができた。
XBox Live
XBoxには、誰かがModを実行できる場合、ストアのコンテンツをだまして盗むことができるという問題があります。悲しいことに、これを乗り越えるテクニックが存在します。唯一の問題は、手法がシステムのバージョンに依存することです。 Xboxを変更したいが、変更可能なバージョンがない場合は、変更可能なバージョンを探します。
これらの例は、XBoxが最も近いシナリオのようなものです。その例を使用して、システムがない場合は変更してシステムを見つけることができることを示すことができます。攻撃者が他の人のハードウェアを試して匿名で盗むのと同じように、それらに関連付けられていないサーバーが必要です。脆弱性のあるWebサーバーのバージョンを見つけて乗っ取られた場合、簡単にそれを使用して違法な行為を行うことができ、非難され、サーバーが攻撃されたことを証明する必要があります。攻撃を防ぐためのベストプラクティスを実践してください。とにかく、あなたはたくさんのお金を失っています。
結局のところ、それがセキュリティのベストプラクティスと見なされるのには理由があります。
製品/バージョン固有の脆弱性を見つけて悪用するには、攻撃者は製品/バージョンを特定する必要があります。これには時間がかかり、正確性に欠ける場合があります。
おそらく、攻撃者の時間は非常に限られており、彼はそれを列挙に投資したくありません。その後、彼はさまざまなエクスプロイトを実行する可能性があります。それらのほとんどは、他の製品/バージョンの他の脆弱性を悪用できるため、機能しません。このアプローチは遅くて騒々しいです。これは防御側を助けます。
しかし、攻撃者がターゲットに関するこれらの詳細を知っていて、単純なバナーグラブ内でそれらを収集することが非常に簡単である場合、攻撃者は既存の脆弱性を見つけ、それに応じたエクスプロイトを非常に迅速に起動する可能性があります。
ソフトウェアがそのような情報を漏らすのを防ぐことも、通常は迅速に行われます。そして、それは攻撃者が必要とする労力を大幅に増加させます。管理者によるこの種の強化に関する無知は、しばしば彼らの怠惰のしるしです。
サービスバージョン情報は広告です。また、Shodanのようなサイトは、インターネット上のすべてのドメインからすべての広告を収集するペニーセーバーです。ハッカーは、自分の興味のある広告(エクスプロイトまたはツールを使用しているもの)のページを閲覧できます。ワンストップショッピング&それはすべて無料です。