Структура данных, содержащая идентификатор(ы) объекта, открытый ключ объекта (включая указание на связанный набор параметров домена) и, возможно, другую информацию, а также подпись этого набора данных, которая генерируется доверенной стороной, т. е. центром сертификации, тем самым связывая открытый ключ с включенными в сертификат данными.
Криптографический алгоритм, использующий один и тот же секретный ключ для своей работы и, если применимо, для устранения последствий операции (например, ключ AES для шифрования и дешифрования).
Значение в множестве, которое имеет равную вероятность быть выбранным из общей совокупности возможностей и, следовательно, является непредсказуемым. Случайное число – это экземпляр несмещенной случайной величины, то есть результат, полученный равномерно распределенным случайным процессом.
Глагол to dogfood (есть собачий корм) означает использование ранних версий собственного продукта, для того чтобы понять пределы его возможностей. Термин был популяризирован Microsoft, где такое поведение было нормой с конца 1980-х до начала 2010-х годов.
Либо существительное в его традиционном английском значении (власть или способность делать что-либо), либо реализация системы полномочий, где способность – это трудно угадываемый указатель на объект и связанное с ним разрешение. Например, 60616 d8b9bbd962b045abc5d8e78c7f3 может быть способностью читать тень /etc/shadow. Только те инструменты, которым выдали 6061… могут прочитать файл. (NIST не включает в глоссарий это устоявшееся значение.)
Лицо или группа, представляющие угрозу. (Также называется агент угрозы или источник угрозы.)
Поведение субъекта угрозы. Тактика – это наивысший уровень описания этого поведения, в то время как техники дают более подробное описание поведения в контексте тактики, а процедуры – еще более низкоуровневое, очень подробное описание в контексте техники.
Среди примерно 20 определений NIST есть следующие: «Любое обстоятельство или событие, способное оказать негативное влияние на организационную деятельность»; «Возможная опасность для компьютерной системы, которая может привести к перехвату, изменению, блокировке или уничтожению вычислительных ресурсов, или другим нарушениям работы системы».
Сведения, используемые для идентификации и аутентификации (проверки подлинности) участника, такие как сочетание имени пользователя и пароля.
(1) Слабость в информационной системе, процедурах безопасности системы, внутреннем контроле или реализации, которая может быть использована или запущена источником угрозы. (2*) Слабость в программном обеспечении, которая может быть использована кодом эксплойта. (3*) Слабость в программном обеспечении, которая, будучи обнаруженной, явно является ошибкой, которую следует исправить. Определения 2 и 3 принадлежат мне, чтобы добавить конкретности.
Уязвимость, для которой нет патча от создателя на момент первой публикации информации о проблеме. «Это был нулевой день, но теперь он исправлен».
Цифровой отпечаток устройства. Включает в себя сбор, классификацию, индексирование и извлечение информации, которая идентифицирует систему или программу. Например, фингерпринтинг операционной системы опирается на неоднозначность и варианты реализации на этапе TCP, включая ответы на TTL, размер окна, максимальный размер сегмента и т. д. [Lyon, 2009]. Фингерпринтинг требует идентификации и сбора данных, отнесенных к операционной системе, а затем получение деталей от системы, подлежащей идентификации. Фингерпринтинг, применяемый к веб-браузерам, часто позволяет идентифицировать очень небольшую популяцию (около 1500) веб-браузеров на основе шрифтов, плагинов и других характеристик [Eckersley, 2010].
«Цифровая форма социальной инженерии, которая использует подлинно выглядящие, но поддельные электронные письма для запроса информации у пользователей или направления их на поддельный веб-сайт, запрашивающий информацию». Часто фишинг используется для обозначения любой атаки, проводимой в любой системе обмена сообщениями. Это относится и к сообщениям с вложениями. Эти вложения могут быть документами или исполняемыми файлами.
«Противник с изощренным уровнем знаний и значительными ресурсами, способный использовать несколько различных векторов атак (например, кибернетических, физических и обманных). Кроме того, целенаправленная устойчивая угроза преследует свои цели неоднократно в течение длительного периода времени, приспосабливаясь к усилиям обороняющейся стороны по противодействию ей, с решимостью поддерживать уровень взаимодействия, необходимый для достижения ее целей». Как правило, это атакующие, работающие на правительство, их агенты и посредники.
Программа, которая использует ошибку или недостаток в компьютерной системе, перенаправляя поток управления в соответствии с инструкциями, содержащимися в эксплойте, или на которые он указывает.
Механизм, реализующий управление доступом к системному ресурсу путем перечисления идентификаторов системных объектов, которым разрешен доступ к ресурсам.
Комбинация клавиш для обращения к операционной системе (secure attention sequence), используемая Microsoft Windows.
Обезьянка посередине. Исторически сложилось так, что не обезьяна, а человек посередине. «Атака, при которой злоумышленник занимает промежуточное положение между пользователем и системой, чтобы перехватить и изменить данные, передаваемые между ними».
Функция получения ключа на основе пароля #2. Однонаправленная функция, созданная с регулируемой стоимостью выполнения в зависимости от количества раундов.
Удаленное выполнение кода, распространенный эффект эксплойта. «Эта уязвимость позволяет использовать RCE без аутентификации». Удаленное – указывает на то, что злоумышленник не начинает с полномочиями выполнения кода в целевой системе.
Комбинация клавиш для связи с системой, которую нужно нажать, чтобы произвести физическое действие, направленное на открытие защищенного канала между человеком и системой.
Например, при первом соединении с незнакомым ранее компьютером может не оказаться возможности удостовериться в принадлежности SSH-ключа к этому компьютеру. При повторной попытке появляется возможность сравнить значение с сохраненным. Смотрите персистентность.
Атака, при которой сжатый файл расширяется больше, чем ожидалось. Пусть вас не вводит в заблуждение название: все форматы сжатия имеют одни и те же проблемы.
Библиография
Abrams, Marshall D., Sushil G. Jajodia, and Harold J. Podell. Information security: an integrated collection of essays. IEEE computer society press, 1995.
ACM (Association for Computing Machinery). Turing Award Citation. 2013. amturing.acm.org/award_winners/lamport_1205376.cfm.
ACM Code 2018 Task Force, ACM Code of Ethics and Professional Conduct. 2018. www.acm.org/code-of-ethics.
Adkins, Heather, Betsy Beyer, Paul Blankinship, Piotr Lewandowski, Ana Oprea, and Adam Stubblefield. Building Secure and Reliable Systems: Best Practices for Designing, Implementing, and Maintaining Systems. O’Reilly Media. 2020.
Aleph1. «Smashing the stack for fun and profit». Phrack magazine 49. November 11, 1996. phrack.org/issues/49/14.html.
Amoroso, Edward G. Fundamentals of Computer Security Technology. Prentice-Hall, Inc. 1994.
Amazon. aws.amazon.com/macie, last visited November 24, 2017.
Amazon. Summary of the AWS Service Event in the Northern Virginia (US-EAST-1) Region. AWS Blog. December 10, 2021. aws.amazon.com/message/12721.
Amazon Seller Central. «Restricted Products». sellercentral.amazon.com/gp/help/external/200164330, last visited August 15, 2019.
Anderson, Ross. Trojan Source: Invisible Vulnerabilities. Light Blue Touchpaper. November 1, 2021. www.lightbluetouchpaper.org/2021/11/01/trojan-source-invisible-vulnerabilities.
Anley, Chris, John Heasman, Felix Lindner, and Gerardo Richarte. The Shellcoder’s Handbook: Discovering and Exploiting Security Holes. John Wiley & Sons. 2011.
AntiCompositeNumber (Wikipedia User). Privilege Escalation Diagram. en.wikipedia.org/wiki/File: Privilege_Escalation_Diagram.svg, last visited February 17, 2019.
Apple, Inc iOS Security: iOS 12.1. November 2018. www.apple.com/business/site/docs/iOS_Security_Guide.pdf.
awhalley. Post-Spectre Threat Model Re-Think, Google Chromium blog. 2018. chromium.googlesource.com/chromium/src/+/master/docs/security/side-channel-threat-model.md.