¿Cuál es el futuro de las explotaciones? [cerrado]

Hay todo un mundo de vulnerabilidades que no necesitan desbordamientos de búfer o criptografía defectuosa. Solo eche un vistazo a las aplicaciones web en las que tiene todas estas inseguridades basadas en la web como Cross Site Scripting (XSS) o < a href="https://en.wikipedia.org/wiki/Cross-site_request_forgery"> Falsificación de solicitudes en sitios cruzados (CSRF) . Luego, eche un vistazo a las inyecciones de código como inyección SQL o Inclusión remota de archivos . Si esto no es suficiente, eche un vistazo al último Ransomware que hace uso de Windows Scripting Host, etc. No se necesitan desbordamientos de búfer o criptografía defectuosa para todo esto.

  

¿Se está acabando esta profesión / arte?

No te preocupes. La creciente complejidad de los sistemas actuales combinada con la seguridad como una idea de último momento abre suficientes nuevos vectores de ataque, aunque algunos de los más antiguos podrían desaparecer. Eche un vistazo a todo el IoT mess , por ejemplo.

Está ignorando el hecho del problema Capas OSI 8, 9 y 10 . La tecnología se ha implementado para prevenir, minimizar o interrumpir la mayoría de los ataques durante años. No importa cuánta más tecnología cree, teorice, adore, si se rompen los procesos. La mayoría de las organizaciones que han sido violadas tenían tecnología más que suficiente para minimizar el acceso, la autorización y la capacidad de los actores de amenazas para escalar. La mayoría, si no todos, no pudieron tener la "arquitectura de seguridad" adecuada en su lugar. Por arquitectura, me refiero a la fundación.

Visualice un servidor de base de datos si lo desea. Nada especial, un sistema MSSQL que necesita interactuar ÚNICAMENTE con un servidor web que realiza una consulta: Client -> Server Ahora pregúntese, si esa es la única conexión que debe hacerse, ¿por qué NO? mínimo implementar una política de firewall en ese servidor que diga: " Solo puede hablar con este sistema (cliente) " El proceso / interconexión no se comprende y no se define a menudo, y esto es lo que lleva a los datos exfiltración Si estoy en la red a través de un software malicioso introducido para decir una computadora portátil, puedo comprometer esa base de datos y usar esa base de datos para pivotar, etc.

Ahora, en lo que se refiere al software, significa poco para que la seguridad sea demasiado complicada, ya que a menudo hace que las cosas empeoren, se vuelvan más lentas o menos fáciles de usar. Por lo tanto, cuanto más te pongas, mayor será la probabilidad de que los usuarios intenten eludir: " simplemente daré vuelta a SELinux porque me prohíbe XYZ. " Al tratar de resolver un problema (código deficiente / practica / diseño) creaste otros. Cuando hago pentest, estoy explotando errores humanos más que errores tecnológicos. No puedes arreglar a los humanos.

Estoy bastante seguro de que cuando los programadores de ensamblajes escucharon por primera vez los lenguajes de programación de alto nivel del sistema como C, deben haber pensado que algunas clases de errores nunca se volverán a ver. Lo que sucedió es que tenemos exactamente las mismas clases de errores pero con diferentes disfraces.

La confusión típica de comando / datos (que está detrás de la mayoría de los ataques de inyección) ocurrirá sin importar cómo evolucionen los idiomas porque siempre habrá programadores ingenuos y los sistemas de tipo no están realmente diseñados para resolver problemas de confianza.

Otros problemas de seguridad, como la configuración errónea y la ingeniería social, continuarán ocurriendo hasta el momento en que AI se haga cargo. Tal vez incluso las IA son susceptibles a ellos como hemos visto en el reciente incidente de Tay.