CW9

[InLoveWithHer]

Запитання No 1.1 (1 бал) Опишіть ПЗ або програму бібліотеку, в яких знайдено вразливість:

• назва ПЗ або програмної бібліотеки, URL-посилання в інтернеті (знайти через пошукову систему);
• призначення ПЗ або програмної бібліотеки та приклади споживачів, які можуть бути зацікавлені у їх використанні;

Запитання No 1.2 (1 бал) Опишіть знайдену вразливість , переклавшу на українську мову розділ Description.

Запитання No 1.3 (1 бал) Наведіть фрагменти прикладів уразливого програмного коду, розглянувши розділ References to Advisories, Solutions, and Tools.

Запитання No 2.1 (1 бал) Опишіть погрозу аутентифікації у вигляді історії взаємовідносин між зловмисником та користувачем.

Запитання No 2.2 (1 бал) Надайте рекомендації щодо зниження ймовірності виникнення погрози аутентифікації.

Відповіді:

Запитання No 1.1

Назва ПЗ або програмної бібліотеки: Western Digital My Cloud URL-посилання: Для детальної інформації можна відвідати офіційний сайт Western Digital Призначення: Western Digital My Cloud є рішенням для зберігання даних в облаку, яке надає користувачам можливість зберігання та доступу до своїх даних з будь-якого місця. Споживачами можуть бути як звичайні користувачі для особистого використання, так і бізнеси, які шукають рішення для зберігання даних в облаку.

Запитання No 1.2 Опис вразливості: Вразливість у невірній аутентифікації в шифрованих томах та функціях автоматичного монтування пристроїв Western Digital My Cloud дозволяє незахищеному прямому доступу до інформації на диску у випадку скидання налаштувань пристрою.

Запитання No 1.3 Приклад уразливого коду: def authenticate(user_input): secret_authenticator = "12345" if user_input == secret_authenticator: return True else: return False Цей код просто перевіряє введений користувачем рядок на співпадіння з секретним аутентифікатором.

Запитання No 2.1 Джон, користувач, завжди використовує одну й ту ж легку комбінацію "12345" як пароль для всіх своїх аккаунтів. Він вважає, що його дані в безпеці, оскільки вони ніколи не були скомпрометовані.

Одного дня, зловмисник Ева дізнається про цю легку комбінацію через соціальну інженерію. Ева починає використовувати "12345" для входу в різні аккаунти Джона, отримуючи доступ до його особистої інформації, фінансових даних та інших конфіденційних ресурсів. Кожен раз, коли Джон входить в свій обліковий запис, Ева знає, що може зробити те ж саме.

Запитання No 2.2

• Складність паролів: Надавайте рекомендації користувачам щодо створення складних паролів, які містять комбінації великих і малих літер, цифр і спеціальних символів.

• Багаторівнева аутентифікація: Використовуйте багаторівневу аутентифікацію, таку як OTP (одноразові паролі) або аутентифікація на основі біометрії, разом з основним паролем.

• Частість зміни паролів: Заохочуйте користувачів регулярно змінювати свої паролі і уникати повторного використання одного і того ж пароля для різних аккаунтів.

• Освіта користувачів: Надавайте навчальні матеріали та тренування користувачам про безпечні практики аутентифікації та ризики повторного використання паролів.

• Моніторинг та виявлення: Встановлюйте системи моніторингу, які виявляють незвичайну активність або спроби неуспішної аутентифікації, щоб вчасно реагувати на потенційні загрози.

[oleksandrblazhko]

Спочатку треба правильно виконати ЛР8.