কোনও সফ্টওয়্যার দুর্বলতার উপর আক্রমণ / সরঞ্জামের একটি লাইফসাইকেলের একটি অনন্য দিক কী কী?

10

আমার স্থানীয় বিশ্ববিদ্যালয়ে প্রায় 20 জন শিক্ষার্থীর একটি ছোট শিক্ষার্থী কম্পিউটিং ক্লাব রয়েছে। ক্লাবটির বেশ কয়েকটি ছোট ছোট দল রয়েছে যেমন মোবাইলের বিকাশ, রোবোটিকস, গেম ডেভেলপমেন্ট এবং হ্যাকিং / সুরক্ষার মতো নির্দিষ্ট ক্ষেত্র রয়েছে।

আমি কয়েকটি দলে কয়েকটি বুনিয়াদী বিকাশ ধারণার সাথে পরিচয় করিয়ে দিচ্ছি, যেমন ব্যবহারকারীর গল্প, কাজের জটিলতা অনুমান করা এবং সংস্করণ নিয়ন্ত্রণ এবং স্বয়ংক্রিয় বিল্ড / পরীক্ষার জন্য অবিচ্ছিন্ন একীকরণ।

আমি কয়েকটি বেসিক বিকাশের জীবনচক্রের সাথে পরিচিত, যেমন জলপ্রপাত, সর্পিল, আরইউপি, চটপটে ইত্যাদি etc. অবশ্যই, হ্যাকাররা কম্পিউটার কোড লিখছেন, তবে সেই কোডটির জীবনচক্রটি কী? আমি মনে করি না যে তারা রক্ষণাবেক্ষণের বিষয়ে খুব বেশি উদ্বিগ্ন হবে, যেমন একবার লঙ্ঘনটি পাওয়া গেছে এবং প্যাচ করা হয়েছে, যে কোডটি এই লঙ্ঘনকে কাজে লাগিয়েছে তা অকেজো।

আমি কল্পনা করি জীবনচক্র এমন কিছু হবে:

  1. সুরক্ষার ফাঁক সন্ধান করুন
  2. সুরক্ষার ফাঁক ফাঁকে
  3. প্রিকিউর পেলোড
  4. পেডলোডকে কাজে লাগান

যখন পণ্যের উদ্দেশ্য সুরক্ষা লঙ্ঘন করা হয় তখন সফ্টওয়্যারটির জীবনচক্রের জন্য কী ধরণের পার্থক্য রয়েছে (যদি থাকে)?

development-process  security  hacking  sdlc 
ডেভিড ক্যাসিনস্কি
সূত্র
4
কে বলেছে যে হ্যাকিংয়ের কোনও আনুষ্ঠানিকতা আছে
ratchet freak
1
ডাং, ইতিমধ্যে চারটি ভাল উত্তর। এটি কেবল একটি বাছাই করা কঠিন হতে চলেছে।
ডেভিড ক্যাসিনস্কি
@ ডেভিডক্যাজেনস্কি আপনি বিভিন্ন ধরণের সফ্টওয়্যার ডিজাইনকারীদের দৃষ্টিভঙ্গি পেতে তথ্য সুরক্ষা সম্পর্কে এটি জিজ্ঞাসা করার বিষয়েও বিবেচনা করতে পারেন । এবং সুরক্ষার প্রয়োজনীয়তার উপর নির্ভর করে বড় পার্থক্য রয়েছে ...
এভিডি
@ অ্যাভিডি ধন্যবাদ, আমি মনে করি যে আক্রমণাত্মক সফটওয়্যারগুলির জন্য উন্নয়নের জীবনচক্র সহজাতভাবে আলাদা নয় এই বিষয়ে আমি এখানে কিছু দুর্দান্ত উত্তর পেয়েছি। সুরক্ষা লঙ্ঘন হওয়ার পরে আক্রমণাত্মক সফ্টওয়্যারগুলির লক্ষ্য বা বিকল্পগুলি সম্পর্কে আমি আরও জানতে চাই, যেমন ভাইরাস দ্বারা কম্পিউটারকে সংক্রামিত করা, পিছনের অংশ তৈরি করা বা ডেটা পাওয়ার জন্য কোনও ব্যবহারকারীকে অনুকরণ করা।
ডেভিড ক্যাসিনস্কি
1
@DavidKaczynski কিন্তু আমার পয়েন্ট যে এটা হয় অথবা পরিবর্তে, এক ধরনের উন্নয়নশীল আরেক ধরনের থেকে ভিন্ন - মজ্জাগতভাবে আলাদা। উদাহরণস্বরূপ টেরির উত্তরটি দেখুন, এবং সেগুলি আরও ভাইরাসগুলির সাথে তুলনা করুন, এবং আবার শূন্য দিন, এবং আবার স্টক্সনেটের সাথে এবং ... কিছু সঠিকভাবে ইঞ্জিনিয়ার হবে, কিছুকে রাতারাতি ফেলে দেওয়া হবে, বিভিন্ন প্রসঙ্গ এবং প্রয়োজনীয়তার উপর নির্ভর করে ।
এভিডি

উত্তর:

7

আপনি কোন ধরণের কোডের কথা বলছেন?

সেখানে ফাটান, মত স্ক্যানার সহ প্রক্রিয়ায় ব্যবহৃত অনেক নিরাপত্তা সরঞ্জাম আছে Nmap , sqlmap , Nessus এবং আরও অনেক কিছু। আমি কল্পনা করব তাদের অন্যান্য অ্যাপ্লিকেশনগুলির মতো একই ধরণের সফ্টওয়্যার লাইফ-চক্র রয়েছে।

অন্যদিকে, কোডগুলি ব্যবহার করে। একটি খুব নির্দিষ্ট শোষণ ও পরিস্থিতির সুযোগ নিতে লিখিত কোডগুলি। আমি খুব সন্দেহ করি যাদের এগুলির কোনও জীবনচক্র দরকার need তবে অনেকগুলি শোষণ কোডগুলি মেটাসপ্লয়েটের মতো বৃহত্তর শোষণ কাঠামোর সাথে একীভূত হয় ।

@ অ্যাভিডির সাথে আলোচনার পরে আমি কয়েকটি পয়েন্ট যুক্ত করতে চাই।

এটি নির্দিষ্ট পরিস্থিতির জন্য খুব আলাদা হবে।

কিছু শোষিত কোডগুলি শূন্য-দিন প্যাচ হওয়ার আগে উইন্ডোটি অ্যাকাউন্টে নেওয়ার জন্য ছুটে যেতে পারে। কোড অন্যান্য কারণেও ছুটে যেতে পারে। দেখুন: ক্রাইম - কীভাবে সেরা উত্তরাধিকারীকে পরাজিত করবেন? এর একটি দুর্দান্ত উদাহরণের জন্য। একজন ব্যক্তি তার বক্তব্যটি দ্রুত প্রমাণ করার জন্য এক টুকরো পিওসি কোড লিখেছিলেন। এই জাতীয় কোডগুলির জন্য কোনও সফ্টওয়্যার লাইফসাইकल পদ্ধতি বিবেচনা করা হয় না।

স্ট্যাকসনেট বা এফএলএএম এর মতো অস্ত্রোপচার ম্যালওয়্যার সম্ভবত করে। প্যাকেজযুক্ত সফটওয়্যার যেমন মেটাসপ্লয়েট করেন।

সুতরাং সঠিক উত্তরটি ... এটি নির্ভর করে।

Ayrx
সূত্র
সুরক্ষা লঙ্ঘনের লক্ষ্যে বা সম্ভাব্য উপায়গুলি নিয়ে আলোচনা করার জন্য আমাদের এখনও আনুষ্ঠানিক বৈঠক হয়নি, তাই আমরা কোন ধরণের কোড বিকাশ করব তা বলতে পারি না (বা যদি আমরা আমাদের লক্ষ্যগুলি পূরণের জন্য বিদ্যমান সফ্টওয়্যার / প্রযুক্তি ব্যবহার করি)। আপত্তিজনক সিস্টেমের সুবিধা নেওয়ার জন্য কী ধরনের আনুষ্ঠানিক কৌশল রয়েছে তা আমি এখনও জানতে আগ্রহী, যেমন বাড়ির দরজা তৈরি করা, ব্যবহারকারীদের অনুকরণ করা, কম্পিউটারকে ভাইরাস দ্বারা সংক্রামিত করা ইত্যাদি। আমি মনে করি যে আইটি সুরক্ষার
ডেভিড ক্যাসিনস্কি
3

পণ্যের উদ্দেশ্য অনুসারে কেন কোনও বিশেষভাবে আলাদা আলাদা জীবন-চক্র হওয়া উচিত তা আমি দেখছি না।

সুরক্ষা লঙ্ঘনের জন্য যে সফ্টওয়্যারটি তৈরি করা হয়েছে তাতে অন্য যে কোনও ধরণের সফ্টওয়্যারের মতো দীর্ঘ জীবন থাকতে পারে এবং একই পরিমাণ রক্ষণাবেক্ষণ এবং কাজের প্রয়োজন হয়।

এই জাতীয় সফটওয়্যারের বিভিন্ন নির্মাতারা তাদের প্রয়োজনের উপর নির্ভর করে বিভিন্ন জীবনচক্র গ্রহণ করবে।

ওবেদের
সূত্র
3

আপনি যে বিকাশ মডেলগুলি নির্দিষ্ট করেছেন সেগুলি কেবল - উন্নয়ন মডেল। আপনি ইঞ্জিনিয়ারিং ডেভেলপমেন্ট করার সময় এগুলি অত্যন্ত কার্যকর - যখন আপনার প্রয়োজনীয়তা রয়েছে, যখন আপনাকে সিস্টেম আর্কিটেকচার বা উপাদান নকশা তৈরি বা সংশোধন করতে হয়, যখন আপনাকে কোনও পণ্য এবং সম্পর্কিত পরীক্ষাগুলি তৈরি বা সংশোধন করতে হয় এবং যখন আপনি কোনও গ্রাহকের কাছে ছেড়ে দেন।

আমি নিশ্চিত নই যে এই মডেলগুলি আরও গবেষণা-ভিত্তিক প্রকল্পগুলিতে সরাসরি প্রয়োগ করা যেতে পারে, যেখানে আপনি প্রশ্নের উত্তর দিতে বা কোনও সিস্টেম (বা আপনার নির্দিষ্ট ক্ষেত্রে সিস্টেমের সুরক্ষা দুর্বলতা) সম্পর্কে আরও জানার চেষ্টা করছেন।

আমি সন্দেহ করব যে পুনরাবৃত্ত / বর্ধিত মডেলগুলি যেমন চতুর পদ্ধতি এবং সর্পিল মডেলগুলি ভিত্তি গঠনের জন্য সবচেয়ে কার্যকর হবে। প্রতিটি পুনরাবৃত্তিতে, আপনি প্রশ্নের উত্তর দিতে বা কাজ করার জন্য আরও পরামিতিগুলি সংজ্ঞায়নের দিকে কাজ করতে পারেন, যা কোনও কোড লেখার অন্তর্ভুক্ত থাকতে পারে বা নাও পারে। সম্ভবত বিভিন্ন বৈজ্ঞানিক গবেষণা পদ্ধতিও একটি আকর্ষণীয় ভিত্তি সরবরাহ করতে পারে।

টমাস ওভেনস
সূত্র
1

অর্থ উপার্জনের লক্ষ্য নিয়ে বিশেষজ্ঞদের মধ্যে সহযোগিতার দিকে একক হ্যাকার "লুলজের পক্ষে" বা খ্যাতি অর্জনের জন্য দূরে হ্যাকিং সম্প্রতি একটি দৃ professional় পেশাদারীকরণ দেখেছেন। ফলটি ব্ল্যাকহোল শোষণের কিটের মতো সম্পূর্ণরূপে বাণিজ্যিক "হ্যাকিং কিটস" হয়েছে যেখানে নির্দিষ্ট সফ্টওয়্যার দুর্বলতাগুলি সহজেই প্লাগিনগুলির মতো সংহত করা যায়। আমি ধরে নেব যে এই জাতীয় পণ্যগুলি অন্য কোনও সফ্টওয়্যার পণ্যের মতো ঠিক অনেকটা উন্নত।

এখানে শূন্য-দিনের শোষণের জন্য সম্ভবত একটি বিকাশকারী বাজার রয়েছে

মাইকেল বর্গওয়ার্ট
সূত্র
1

লাইফ-কাইল কখনই কোড নির্ভর করে না। এটি বরং অন্যান্য কারণের উপর নির্ভরশীল:

  1. সময়
  2. বাজেট
  3. গ্রাহক প্রকৃতি
  4. পণ্যের প্রকৃতি

আপনার দৃশ্যে , এগ্রিল লাইফ কাইল পদ্ধতিটি সবচেয়ে কার্যকর হবে। কারণ আপনার বিকাশের সময় আপনার গ্রাহককে জড়িত করতে হবে এবং আপনার পণ্যের গ্রহণযোগ্য মানের পরামিতিগুলি যাচাই করতে হবে ason চতুর পদ্ধতিটি আপনার গ্রাহকের প্রতিক্রিয়া সংগ্রহ করার এবং তারপরে ধীরে ধীরে ইনক্রিমেন্টাল ভিত্তিতে কাজ করার মাধ্যমে আপনার হ্যাকিং সফ্টওয়্যার উন্নত করতে আপনাকে প্রচুর পরিমাণে সহায়তা করবে ।

Maxood
সূত্র
এটিকে কিছুটা সাবজেক্টিভ মনে হচ্ছে। আপনি কি পরামর্শ দিচ্ছেন যে অন্যান্য লাইফসাইকেল পদ্ধতিগুলি বিকাশের সময় গ্রাহককে জড়িত না বা গ্রহণযোগ্য মানের পরামিতিগুলি যাচাই করে না? অবশ্যই তা চটপটে অনন্য নয়।
জে স্টিভেনস
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.