Të fundit

Udhëzuesi joformal i Soatok për modelimin e kërcënimeve

📖 Ky artikull lexohet për 2 min🔊 ose dëgjoje me zë

Pas bisedave të gjata rreth kriptografisë hibride post-kuantike dhe përpjekjeve për sulme ndaj aplikacioneve të mesazheve të koduara, është bërë e qartë se koncepti i “modelit të kërcënimit” mbetet i panjohur për shumë njerëz. Nëse kërkoni një burim akademik me qindra citime për të hartuar një dokument formal për një startup që përdor blockchain, ky nuk është vendi i duhur. Megjithatë, nëse dëshironi të ndërtoni një intuitë mbi pyetjet që duhet të adresojë një model i mirë i kërcënimit, ky udhëzues mund t’ju ndihmojë.

Një model i kërcënimit është një proces formal i sigurisë kibernetike, por ai mund të zbatohet edhe në mënyrë joformale gjatë fazave të projektimit dhe arkitekturës së një produkti. Në nivelin më bazë, një dokument i tillë duhet të përgjigjet në pyetje thelbësore rreth aseteve që mbrohen, aktorëve të mundshëm, supozimeve të bëra dhe rreziqeve të pranuara.

Shpesh, njerëzit i marrin supozimet si të mirëqena, gjë që mund të çojë në modele të paplota ose të pasakta.

Një shembull i rëndësishëm është sulmi “Invisible Salamanders”, i cili ndikon në raportimin e abuzimeve në disa dizajne të mesazheve të koduara. Ky sulm bëhet i mundur kur skemat e kriptimit (si AES-GCM ose ChaCha20-Poly1305) supozojnë se ekziston vetëm një çelës i vlefshëm për një mesazh. Kur futen çelësa të shumtë për të njëjtin mesazh, sistemi del jashtë garancive të sigurisë së algoritmit, duke krijuar mundësi për shfrytëzim nga sulmuesit.

Për t’i hartuar ato, rekomandohet vizatimi i komponentëve të sistemit dhe marrëdhënieve mes tyre. Duke analizuar çdo komponent individualisht dhe duke vlerësuar hyrjet e daljet, mund të identifikohen lidhje të papërshtatshme, siç është rasti kur një bazë të dhënash ka funksione të panevojshme, siç mund të jetë një RSS feed.

Modelet e kërcënimeve duhet të jenë dokumente të gjalla, jo fotografi të një momenti të vetëm.

Aktualisht, po punohet në ofrimin e transparencës së çelësave për Fediverse, një punë që përfshin një model kërcënimi të detajuar. Ky model nuk është i përsosur dhe mund të ketë pika të verbëra, por procesi i identifikimit të mangësive është thelbësor për të kuptuar se si të ndërtohen sisteme më të sigurta. Për ata që kërkojnë të thellohen profesionalisht, rekomandohet shqyrtimi i “Threat Modeling Manifesto”.

Burimi: soatok.blog

Video nga Paradoks

VV SHOW - Dhuna verbale, a po e shtyn Vetevendosje një konflikt të madh shoqëror

Klikoni KËTU për t’u bërë pjesë e kanalit zyrtar të Paparacit në Viber.

Subscribe në kanalin zyrtar të Paparacit - Kliko KËTU

Të fundit

TË TJERA

Qëndro i informuar

Për të mos ju ikur asnjë lajm, regjistrohu në Paparaci