|
Infosüsteemide Auditeerimise ja Juhtimise Assotsiatsioon ([[ISACA]]) defineerib turvaauku [[Risk IT]] raamistikus kui nõrkust disainis, implementatsioonis, operatsioonis või sisekontrollides.<ref>[http://www.isaca.org/Knowledge-Center/Research/Documents/RiskIT-FW-18Nov09-Research.pdf ISACA THE RISK IT FRAMEWORK (registration required)] {{webarchive|url=https://web.archive.org/web/20100705110913/http://www.isaca.org/Knowledge-Center/Research/Documents/RiskIT-FW-18Nov09-Research.pdf|date=5. juuli 2010}}</ref>
==Turvaaugud ja riskifaktoririskitegurite mudelid==
[[File:2010-T10-ArchitectureDiagram.png|thumb|OWASP: suhe ohuallika ja ärimõju vahel |alt=|592x592px]]
== Infoturbe halduse süsteem ==
EnamusEnamikul organisatsioonidelasutustest on olemas mingid informatsiooni turvameetmed, kuid kui ei rakendata infoturbe halduse süsteemi (ISMS-i), on need meetmed tihtipeale korrapäratud ja seosetud, sest nad on implementeeritud ainult spetsiifiliste olukordade jaoks või tava tõttu. Tüüpiliselt on turvameetmed eraldi IT või andmeturve jaoks, jättes kaitseta või vähema kaitsega mitteinfotehnoloogilise vara (näiteks paberikujul dokumendid ja firmasisene info). Veelgi enam, füüsiline turvalisus hoitakse tihti eraldi informatsiooni tehnoloogiaga seotud turvalisusest, seda eriti tööjõu osas, kellele jäetakse defineerimata ja määramata informatsiooni turvalisuse rollid ja kohustused organisatsioonis.<ref>ISO/IEC, "Information technology -- Security techniques-Information security management systems" ISO/IEC 27001:2013</ref>
InformatsiooniInfoturbe turvalisusehaldamise haldamissüsteemsüsteem ehk ISMS on informatsiooni turvalisuspoliitikateturbepoliitikate kogum, mille eesmärk on hallata vastumeetmeid ja turvalisusstrateegiaidturbestrateegiaid organisatsiooni informatsiooni kaitseks ja kindlustada nende vastavus riiklikele reeglitele ja regulatsioonidele. Neid vastumeetmeid nimetatakse ka turvameetmeteks, kuid kui on tegemist andmeedastusega, nimetatakse neid turvateenusteks.<ref name="Vacca">{{cite book|last=Wright|first=Joe|authorlink=|year=2009|title=Computer and Information Security Handbook|publisher=Elsevier Inc|location=|isbn=978-0-12-374354-1|page=257|pages=|edition=|series=Morgan Kaufmann Publications|volume=|language=|accessdate=|url=|last2=Harmening|first2=Jim|others=|editor-last=Vacca|editor=|editor-first=John|editor-link=|nopp=|at=|trans-title=|chapter=15|trans-chapter=|type=|format=|bibcode=|doi=|oclc=|id=|quote=|ref=|postscript=|authormask=|origyear=|chapterurl=|laysummary=|laydate=|lastauthoramp=|separator=}}
</ref>
[[Rahvusvaheline Standardiorganisatsioon|ISO]]/[[Rahvusvaheline Elektrotehnikakomisjon|IEC]] digitaaljuurdluse 27001 standard nõuab, et haldamissüsteem:
* süstemaatiliselt uurib organisatsiooni informatsiooni turvariske, arvestades ohuallikaid, nõrkuseidnõrkusi ja mõjusid;
* loob ja implementeerib sidusa ja kõikehõlmava komplekti informatsiooni turvameetmeid ja/või teisi riskihaldamisvorme (vältimine, ülekandmine), et adresseerida neid riske, mis on lubamatud;
* võtab kasutusele üldise haldamisprotsessi kindlustamaks informatsiooni turvameetmete jätkusuutlikust kaitsta organisatsiooni turvavajadusi ja andmeid.
==Põhjused==
*Keerukus: – mahukad ningja komplekssed süsteemid suurendavad vigade ning tahtmatute pääsupunktide tekkimise tõenäosust.<ref name=Vacca23/>
*Familiaarsus: – levinud, hästi tuntud programmeerimiskoodi, tarkvara, [[Operatsioonisüsteem|operatsioonisüsteemi]] ja/või riistvara kasutamine suurendab tõenäosust, et ründajal on olemas või saab hankida teadmised ja tööriistad turvaaugu ärakasutamiseks.<ref>{{cite web|last=Krsul|first=Ivan|url=|title=Technical Report CSD-TR-97-026|publisher=The COAST Laboratory Department of Computer Sciences, Purdue University|website=|date=15. aprill 1997|access-date=|citeseerx=10.1.1.26.5435}}</ref>
*Seotus: – mida rohkem on füüsilisi ühendusi, privileege, [[port|porte]], protokolle ja teenuseid, seda suurem on turvaaugu leidumise tõenäosus.<ref name="FAIR2">[http://www.riskmanagementinsight.com/media/docs/FAIR_introduction.pdf "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006] {{webarchive|url=https://web.archive.org/web/20141118061526/http://www.riskmanagementinsight.com/media/docs/FAIR_introduction.pdf|date=18. november 2014}};</ref>
*SalasõnaParoolide haldamise vead: – arvutile, milles on kasutusel nõrgad [[SalasõnaParool (informaatika)|salasõnadparoolid]], on võimalik ligi saada [[Jõurünne|jõuründe]] ehk ''brute force'' rünnaku abil.<ref>{{Cite news|last=Pauli|first=Darren|url=https://www.theregister.co.uk/2017/01/16/123456_is_still_the_worlds_most_popular_password/|title=Just give up: 123456 is still the world's most popular password|work=The Register|date=16. jaanuar 2017|accessdate=28.04.2019|via=}}</ref> Arvutikasutaja võib hoida parooli samas arvutis, millele saab programm ligi. Kasutajad võivad taaskasutada paroole mitme programmi ja lehekülje peale.<ref name=Vacca23>{{cite book
|last= Kakareka
|first=Almantas
</ref>
*Fundamentaalsed operatsioonisüsteemi disainivead: – operatsioonisüsteemi disainer otsustab kasutada ebaoptimaalseid turvameetmeid kasutaja või programmide haldamisel.<ref name=Vacca23/> Näiteks operatsioonisüsteemid, millel on vaikimisi omadus lubada igal programmil ja igal kasutajal täisõigusi arvutile ligipääsemiseks, on vigased ja lubavad viirustel ning pahavaral täita käske administraatorina.<ref>{{cite web|url=http://www.ranum.com/security/computer_security/editorials/dumb/|title=The Six Dumbest Ideas in Computer Security|work=ranum.com}}</ref>
*Veebilehtede lehitsemine: internetilehed– veebilehed võivad sisaldada endas kahjulikku [[nuhkvara]] või [[reklaamvara]], mis installeeruvadinstalluvad automaatselt arvutisüsteemi. Peale selliste lehtede külastust nakatuvad arvutisüsteemid ning seal olev personaalne info kogutakse ja saadetakse süsteemist edasi kolmandatele isikutele.<ref>{{cite web|url=http://projects.webappsec.org/w/page/13246989/Web-Application-Security-Statistics#APPENDIX2ADDITIONALVULNERABILITYCLASSIFICATION|title=The Web Application Security Consortium / Web Application Security Statistics|work=webappsec.org}}</ref>
*Tarkvara puugid ehk vead: – programmeerija jätab vea programmi. Selline viga annab võimaluse ründajale rakendust pahatahtlikult kasutada.<ref name=Vacca23/>
*Kontrollimata sisend kasutajalt: – programm eeldab, et kogu kasutajasisend on turvaline. Programmid, mis ei kontrolli kasutaja sisestatut, võivad lubada soovimatut käskude täitmist või SQL-lausete väljakutseidkutseid (ehk [[Puhvri ületäitumine|puhvri ületäitumist]], [[SQL-süst]] jms).<ref name=Vacca23/>
*Vigadest mitteõppimine:<ref>Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam-
bridge, January 1994.</ref><ref>Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of
the Twentieth Century. Gale Research Inc., 1994.</ref> enamus– enamik turvaauke, mis on leitud [[iPv4]] protokolli tarkvarast, leiti ka uuematest [[iPv6]] implementatsioonidest.<ref>{{Cite web|last=Jon "Smibbs"|first=Erickson|url=https://repo.zenk-security.com/Magazine%20E-book/Hacking-%20The%20Art%20of%20Exploitation%20(2nd%20ed.%202008)%20-%20Erickson.pdf|title=Hacking: The Art of Exploitation 2nd Edition|publisher=|website=|date=|access-date=|isbn=1-59327-144-1}}</ref>
Uuringud on näidanud, et enamiku informatsioonisüsteemide nõrgim lüli on inimkasutaja, operaator, disainer või keegi teine inimene.<ref>
==Turvaaugu tagajärjed==
Turvarikkumise mõjud võivad olla väga suured. Kui infotehnoloogia haldajad või ülemkorraldus teavad, et informatsioonisüsteemid ja rakendused omavad nõrkuseidnõrkusi ja ei võta midagi selle riski osas ette, peetakse seda enamusenamikus õigusaktides väärteoks. [[Isikuandmete kaitse seadus|Isikuandmete kaitse seadused]] sunnivad haldajaid vähendama turvariski mõju või tõenäosust. Infotehnoloogia turvarevisjon on hea viis lasta teistel iseseisvatel osapooltel tõendada, et antudkonkreetset IT keskkonda hallatakse korralikult. [[Läbistustest|Läbistustestid]] on viis kinnitamaks nõrkuseidnõrkusi ja vastumeetmeid, mida organisatsioon kasutab: [[valge mütsi häkker]] ehk eetiline häkker või arvutiturvalisuse ekspert üritab organisatsiooni infotehnoloogia vara rünnata, et leida kui kerge või keeruline on süsteemi turvalisust läbistada.<ref name="Vacca22">{{cite book|last=Bavisi|first=Sanjay|authorlink=|year=2009|title=Computer and Information Security Handbook|publisher=Elsevier Inc|location=|isbn=978-0-12-374354-1|page=375|pages=|edition=|series=Morgan Kaufmann Publications|volume=|language=|accessdate=|url=|others=|editor-last=Vacca|editor=|editor-first=John|editor-link=|nopp=|at=|trans-title=|chapter=22|trans-chapter=|type=|format=|bibcode=|doi=|oclc=|id=|quote=|ref=|postscript=|authormask=|origyear=|chapterurl=|laysummary=|laydate=|lastauthoramp=|separator=}}
</ref> Parim viis professionaalselt hallata infotehnoloogisi riske on kasutusele võtta ISMS ehk infoturbe halduse süsteemisüsteem (näiteks [[Rahvusvaheline Standardiorganisatsioon|ISO]]/[[Rahvusvaheline Elektrotehnikakomisjon|IEC]] 27002 või Risk IT) ja järgida selle reegleid.<ref name="Vacca"/>
Üks võtmekontsepte informatsiooniturvalisuses on süvakaitse (inglise keeles ''defence in depth'') ehk mitme üksteist täiendava või osaliselt kattuva turvameetme rakendamine organisatsiooni eri kihtides või dimensioonides, mis suudab:
[[Sissetungimiste avastamissüsteem|Sissetungituvastuse süsteem]] (IDS) on näide automatiseeritud süsteemideklassist, mida kasutatakse rünnakute tuvastamiseks. IDS on seade või tarkvara, mis jälgib võrku või süsteeme, et leida pahatahtlikku tegevust või turvareeglite rikkumisi ja et neist alarmeerida.
Füüsiline turvalisus on komplekt meetmeid vara kaitseks füüsiliste ohtude (kahjutule, plahvatuse, loodusõnnetuse, sissemurdmise, varguse, vandalismi, terrorismi) eest: kui on võimalik füüsiliselt varale ligijuurde saadapääseda, on väga kerge muuta ressurss kättesaamatuks tema tegelikele kasutajatele.
==Turvaaukude avaldamine==
Nõrkuseid on leitud igas levinumas operatsioonisüsteemis, kaasaarvatud [[Windows|Windowsis]], [[macOS]]-is, erinevad [[UNIX|Unix]]<nowiki/>i ja [[Linux|Linuxi]] süsteemid, [[OpenVMS]]-is jt. Ainus võimalus vähendada turvaaukude ärakasutamisvõimalust on olles pidevalt valvel. Valvelolek tähendab hoolsat süsteemihooldust (näiteks luues tootja paike ehk ''patche''), heade tavade harrastamist [[Juurutamine|juurutamisel]] ehk ''deploymisel'' (näiteks [[Tulemüür (informaatika)|tulemüüri]] kasutamine) ja auditeerides (nii juurutamise ajal kui ka läbi terve juurutamise tsükli).
==Näiteid turvanõrkustest==
Nõrkused on seotud eelmainitud liikidega:
Neli näidet turvanõrkuse ärakasutamisest:
* ründaja leiab ja kasutab ületäitumisnõrkust süsteemis, et installeeridainstallida sinna pahavara, mis transpordib välja tundliku infot;
* ründaja veenab kasutajat avama e-kirja, milles on sees pahavara;
* siseinfo valdaja kopeerib krüpteeritud programmi [[Andmekandja|andmekandjale]] ning murrab selle lahti muus asukohas;
**[[SQL-süst]], mis on rünne andmebaasipõhisele rakendusele, et andmebaasile lubamatuid käske anda
*Õigusepette vead, nagu
**[[klõpsurööv]], kus rünnatakse veebilehega, millel olevate nuppude tegelik toime ei ole vastav näilisele otstarbele ning videoklipi jooksutamiseesitamise nupulenupu vajutamine võib näiteks sooritada ostu veebipoest
**[[päringuvõltsing]], mis petab laadima veebilehte, mille kaudu tehakse veebirakenduse kasutaja nimel ja õigustega mingi kahjulik toiming, näiteks ostetakse midagi
**[[FTP-dublee rünne]], mis taotleb rünnatava kolmanda arvuti kaudu teise arvuti portide skaneerimist ja kaudset juurdepääsu teatud portidele
*Privileegide vallutus
*Trügimine (sündmustevahelist siirdelist ajalõiku nõrkusena ärakasutav rünne), nagu
**[[sümbollinkrünne]], kus luuakse pette-[[Sümbollink|sümbollinkidsümbollingid]], mis annavad juurdepääsu muidu kättesaamatuile failidele
*Kõrvalkanalründed, mis on ründed, mis baseeruvadpõhinevad arvutisüsteemi implementatsiooniimplementeerimise infoleinfol (näiteks signaalide ajastus, voolutarve, soojusmuster jne), mitte nõrkustelenõrkustel algoritmides ja paroolides
*Kasutajaliidese vead
| 