web-dev-qa-db-fra.com

La suppression non autorisée de données est-elle considérée comme une violation de l'intégrité ou de la disponibilité?

Je suis en train de rédiger un rapport sur les failles de sécurité d'une application utilisée chez mon employeur, après avoir effectué un audit d'application. Une vulnérabilité découverte peut entraîner la suppression/destruction non autorisée de données.

Dans le contexte des principes de sécurité de la CIA, j'associe l'intégrité à la protection des données contre les modifications non autorisées, comme par le biais du MITM et la disponibilité avec la protection des données du DoS, telles que les attaques de schtroumpf ou de larmes.

Je suis enclin à dire que la suppression non autorisée de données est une attaque contre le principe de disponibilité étant donné que les données ne sont plus accessibles par des utilisateurs légitimes. Cependant, un de mes collègues n'est pas d'accord et considère qu'il s'agit d'une attaque contre le principe d'intégrité, car les données ont été modifiées en étant détruites sans autorisation.

La suppression non autorisée de données est-elle considérée comme une violation de l'intégrité ou de la disponibilité?

26
Anthony

Cependant, un de mes collègues n'est pas d'accord et considère qu'il s'agit d'une attaque contre le principe d'intégrité, car les données ont été modifiées en étant détruites sans autorisation.

Votre collègue a raison. La suppression non autorisée de données est avant tout une violation de l'intégrité car la suppression peut être considérée comme un cas particulier de modification. Cela peut avoir un impact sur la disponibilité, mais ce n'est pas obligatoire. Par exemple, un attaquant qui parvient à supprimer tous les fichiers journaux sur un serveur Web n'aurait probablement pas d'impact sur la disponibilité du serveur. Mais de toute évidence, une violation de l'intégrité implique souvent une disponibilité réduite, car un service avec des ressources corrompues ne fonctionnera probablement pas correctement.

Cependant, je ne forcerais pas toujours une vulnérabilité dans l'une des trois catégories de la CIA. L'impact de la suppression non autorisée de données est assez évident, donc je ne suis pas sûr de le catégoriser selon la triade CIA ajoute une clarification. Notez également qu'il existe de nombreux modèles alternatifs tels que le Parkerian hexad qui vous offrent quelques options supplémentaires.

48
Arminius

À mon avis vous ne devriez pas mettre une vulnérabilité dans la triade CIA. Parce que si vous le faites, vous devez le mettre dans tous ces trois critères. Par exemple:

Confidentialité: en cas de vulnérabilité de votre système, toute personne non autorisée peut accéder à votre système et vos données ne sont plus secrètes, ce qui viole la confidentialité.

Intégrité: si un intrus exploite la vulnérabilité et supprime/modifie certaines/toutes les données, il viole l'intégrité.

Disponibilité: si un intrus supprime/modifie toutes/certaines données et que les utilisateurs n'obtiennent pas ces données/aucun service à cause de cela, cette situation viole la disponibilité.

Il serait donc préférable de classer une vulnérabilité en fonction de son type (par exemple, fuite de mémoire), de sa gravité (par exemple élevé), de son impact (escalade des privilèges root), etc.

13
Muhammad

À mon avis, votre collègue a raison. La modification/suppression non autorisée de données est considérée comme une violation ou une perte d'intégrité puisque les données ne sont plus intactes. Les conséquences de cela pourrait entraîner une indisponibilité car la disponibilité peut ou non être affectée dans tous les cas. Par exemple, si les informations de connexion d'un utilisateur A ont été supprimées, il ne pourra pas accéder à son compte. Cela affecte la disponibilité et l'intégrité. Cependant, l'utilisateur B peut toujours accéder à son compte. Cela n'affecte que l'intégrité. Dans les deux cas, les données ne sont plus cohérentes, c'est-à-dire que l'intégrité est perdue.

J'espère que cela t'aides :)

4
Siddhartha

La suppression en soi est donc certainement un problème d'intégrité ... Cependant, cela peut être plus que cela, par exemple, si vous pouvez supprimer des fichiers arbitraires, vous pourrez peut-être utiliser cette capacité pour augmenter vos privilèges en supprimant les fichiers acl ou les fichiers de style htaccess. Si vous pouvez le faire, les suppressions pourraient ainsi affecter la confidentialité. Si vous pouvez supprimer arbitrairement des fichiers critiques, cela pourrait également être un problème de disponibilité.

Je dirais donc que la suppression de fichiers peut être mauvaise des trois manières selon le système.

3
Ori

Le but de la CIA n'est pas de classer un problème comme relevant d'une seule des trois catégories. Le but de la CIA est de mentionner les caractéristiques souhaitables et de les hiérarchiser. (Se souvenir de la priorité peut être facile pour les personnes qui ont entendu l'acronyme de America's C entral I ntelligence A gency.)

C = Confidentialité (est-ce privé?)
Un problème temporaire de confidentialité peut être pire qu'un manque temporaire dans les autres domaines, car cela peut être irrécupérable. Une fois que les données ont été divulguées, il n'y a peut-être aucun moyen de les rendre à nouveau secrètes.
I = intégrité (est-ce à droite?)
Les données sont-elles correctes? Ceci est considéré comme plus important que la disponibilité, car les informations doivent être exactes. Si des informations sont disponibles, mais que les informations sont fausses, alors les gens peuvent agir de manière onéreuse sur de fausses informations. En revanche, si l'information n'est pas disponible, les gens peuvent attendre la bonne information, ce qui est souvent mieux que de dépenser des ressources pour faire bouger les choses (quand ce n'est pas la bonne chose à faire). Par exemple, il vaut mieux attendre les directions, puis dépenser de l'argent/du gaz/du temps/etc. aller vers l'est si vous devez aller vers l'ouest.
A = disponibilité (puis-je y accéder quand je devrais pouvoir?)
Bon à avoir. (Pour des raisons expliquées ci-dessus, les défaillances temporaires de disponibilité peuvent être moins douloureuses que les défaillances temporaires dans les autres régions. Pourtant, les gens aiment avoir accès quand ils veulent il.)

Maintenant, que vous soyez d'accord ou non avec cette commande est peut-être moins important. J'ai entendu des gens donner des arguments solides pour expliquer pourquoi un ordre différent pourrait avoir plus de sens. Eh bien, je dis que si vous apprenez cela pour une certification/un examen/etc., il est bon de se familiariser avec l'ordre officiel largement accepté (même si vous n'êtes pas personnellement convaincu que c'est en fait meilleur .

L'une des raisons pour lesquelles nous nous référons à cette triade est que le fait d'avoir la triade entière est crucial et peut être beaucoup plus difficile que de maintenir l'une des deux autres.

  • Rendre les données publiques, mais toujours en lecture seule, compromet la confidentialité alors que l'intégrité et la disponibilité peuvent être en contact.
  • Un pilote de périphérique défectueux conduisant à l'écriture d'un secteur vierge, au lieu des données souhaitées, peut toujours respecter la confidentialité et fournir des données (incorrectes) sur demande, indiquant qu'il existe toujours des données (même si ce ne sont pas les bonnes données)
  • La suppression de données peut aider à garantir réellement la confidentialité et à ne pas violer l'intégrité, mais à supprimer la disponibilité.

Les trois sont utiles/nécessaires.

J'associe l'intégrité à la protection des données contre toute modification non autorisée, par exemple via MITM

L'intégrité a à voir avec la justesse. Un MITM artificiel qui modifie les données entraînera un manque d'intégrité. Une faille dans la conception des puces de mémoire (par exemple, une attaque au "marteau de ligne") peut entraîner un manque d'intégrité. Un défaut physique dans le support, qui se traduit par une mauvaise lecture, peut entraîner un manque d'intégrité.

"Disponibilité avec protection des données contre le DoS, par exemple grâce à des attaques de schtroumpf ou de larmes."

Pas seulement des attaques malveillantes artificielles. Si une matrice RAID est hors ligne (et pas seulement dégradée) en raison de défauts physiques, alors vous manquez de disponibilité. Si vous avez des sauvegardes, vous ne souffrez peut-être pas d'une perte d'intégrité (vous ne donnez pas de mauvaises informations), mais vous manquez de disponibilité jusqu'à ce que les disques soient en ligne.

Je suis enclin à dire que la suppression non autorisée de données est une attaque contre le principe de disponibilité étant donné que les données ne sont plus accessibles aux utilisateurs légitimes.

Exemple un: Si je prends un fichier graphique, comme un graphique à barres, et que j'écrase certains pixels avec des pixels blancs ("supprimant" en fait une partie des barres), j'ai violé l'intégrité. Si vous pouvez toujours ouvrir le fichier et ne réalisez pas qu'il y a eu un problème, le fichier de données est toujours disponible, mais il est incorrect. Les gens qui regardent les données penseront quelque chose de faux; Lorsque les gens découvrent que vous leur avez donné de fausses données, ils peuvent avoir des raisons de vous considérer comme un diffuseur de fausses informations. Les gens peuvent penser que vous êtes simplement malhonnête. Cette situation est un problème avec intégrité, pas la disponibilité.

Exemple deux: Si un fichier journal supprime le contenu d'une attaque, le fichier journal peut indiquer que tout va bien. Si vous signalez que tout va bien, vous dites quelque chose de mal. Cela finit par placer votre réputation de intégrité sur la ligne.

Voyons maintenant un cas de disponibilité:

Exemple un: Si le fichier avec les graphiques à barres a été supprimé, vous ne pouvez pas ouvrir le fichier, donc il y a un problème avec disponibilité. Une fois le fichier restauré, votre disponibilité est fixée. Vous n'avez à aucun moment donné de fausses données. Votre fiabilité est intacte; vous avez maintenu l'intégrité.

Exemple deux: De même, lorsque le fichier journal a disparu, vous savez essentiellement qu'il y a un problème lorsque vous voyez "Fichier introuvable". Vous n'êtes pas induit en erreur, donc les gens ne vont pas vous reprocher des informations trompeuses. Ce n'est pas un problème d'intégrité; c'est un problème avec disponibilité.

La suppression non autorisée de données est-elle considérée comme une violation de l'intégrité ou de la disponibilité?

Je viens de montrer comment cela pourrait se faire dans les deux sens, selon que les données supprimées n'étaient que du contenu dans un fichier ou un fichier entier manquant. Cependant, je voudrais réitérer mon point précédent: vous pourriez rencontrer les deux problèmes à la fois. Ne vous sentez donc pas obligé de classer un problème potentiel comme s'appliquant à une seule catégorie ou à l'autre. (Cela peut être les deux.)

Modifier (en le clarifiant un peu) - Un attaquant qui vole des informations (violant la confidentialité), altère la page principale de votre site Web (de sorte que votre serveur Web fournit des informations indésirables) , un manque d'intégrité des données) et supprime le reste de votre site Web, y compris vos sauvegardes (de sorte que vous ne pouvez pas obtenir les bonnes informations) entraîne une perte de l'ensemble de la triade CIA. Une seule attaque (qu'il s'agisse d'une action ou de plusieurs actions) peut avoir plusieurs effets et s'appliquer de manière appropriée à plusieurs catégories de la triade CIA.

1
TOOGAM

Vous pouvez le regarder du point de vue de ce qui casse chaque partie de la triade de la CIA, en le voyant de l'autre côté. Vous pourriez penser à cela comme la triade anti-CIA: DAD (1)

  • Divulgation, le contraire à la confidentialité: révéler ou autoriser l'accès des ressources à un tiers
  • Altération, le compteur de l'intégrité: modification non autorisée des ressources: modification, corruption, chiffrement, etc.
  • Perturbation, le compteur de la disponibilité: l'accès autorisé aux ressources a été perdu.

Bien que la suppression soit un cas particulier d'altération, d'un point de vue technique, l'absence de suppression des données n'est pas une persistance de l'altération. Il vous présente simplement un cas de "données non disponibles" comme résultat final

Il conviendrait donc mieux à la catégorie Disruption, qui est l'équivalent de la catégorie Disponibilité.

La perte de données par suppression semble donc être un problème de disponibilité.

La réponse n'est peut-être pas simple, mais ce modèle vous donne un point de vue différent pour examiner la question.

1) source: guide d'étude CEHv9. sybex

1
r0b4x

Si quelqu'un débranche le serveur ou DDoSes, c'est une perte de disponibilité. Il n'est plus disponible pour répondre aux demandes, mais il finira par revenir en ligne et les données seront toujours là sous la forme qu'elles étaient avant l'incident.

Si quelqu'un modifie incorrectement des données (y compris la suppression), c'est une perte d'intégrité. Le serveur est toujours disponible pour les demandes de service, même s'il renvoie des données désormais incorrectes.

Évidemment, quelqu'un pourrait faire les deux, mais essayer de dire que la suppression seule entraîne une perte de disponibilité, bien que cela soit vrai d'un point de vue pratique, est incorrect en termes de triangle CIA parce que vous confondez les étendues des deux domaines. Ils sont séparés pour une raison.

1
Ivan