すべてのセキュリティの脅威はソフトウェアのバグによって引き起こされていますか？

私が聞いたほとんどのセキュリティの脅威は、ソフトウェアのバグが原因で発生しました（たとえば、すべての入力が適切に健全性チェックされていない、スタックオーバーフローなど）。ソーシャルハッキングをすべて除外すると、すべてのセキュリティ上の脅威はバグによるものですか？言い換えると、バグがなければ、セキュリティ上の脅威はありませんか（再び、パスワードの開示などの人間の過失を除く）。または、バグが原因ではない方法でシステムを悪用できますか？

バグは、仕様まで動作していないソフトウェアとして定義されます。仕様に欠陥がある場合、ソフトウェアのバグではありません。愚かな顧客が、すべてのパスワードが3桁のコードであり、障害のあるエントリ間の猶予期間がないことを要求する場合、非難されるのはソフトウェアではありません。

多くのシステムには、セキュリティを無効にできる「サービスモード」があり、アクセスは安全である必要がありますが、多くの場合、コードは公開されます。

数学の進歩は、古い暗号法を妥協します。30年前に実行可能なセキュリティであったものが、最近では弱くなっています。

しばしば見過ごされるデータ盗難のさまざまな方法があります。ワイヤレスキーボードは、小さなアンテナのために約2mの範囲があり、送信されるコードは暗号化されていません。良いアンテナで通りの向こうからそれを読むことはよく知られた方法です。

結果を完全に認識してセキュリティのトレードオフが行われる場合があります-暗号システムは電力とCPU時間を消費します。組み込みの監視アプリケーションは、多くの場合、最初にデータを危険にさらすことの価値は無視できるため、セキュリティを実装するための追加コストは不要であるため、一般にわかりやすい方法でデータを送信します。

すべてのセキュリティは信頼に基づいています。任命された管理者が悪意を持ってメールを読むのにソーシャルエンジニアリングは必要ありません。

そして最後に、野球のバットを膝に当てることは社会的な手法と考えることができますか？

ハードウェアのバグがセキュリティの問題を引き起こす場合もあります。「isAdmin」ビットを自発的に反転させる障害のあるRAMチップを考えてください。

または、メモリ保護が期待どおりに機能せず、あるプロセスが割り込みをトリガーせずに別のプロセスのメモリを上書きできるという仮想のハードウェアバグを考えてみましょう。

あなたの読書の喜びのために：ハードウェア障害によって損なわれたコンピューターセキュリティ

多くのセキュリティ上の脅威は、バグではなくソフトウェア機能から発生します。非常に便利なソフトウェア機能の多くは、ユーザーの意図のみに応じて、善悪の用途を持つことが判明しました。

分散型サービス拒否攻撃（DDOS）を検討してください。これはセキュリティリスクになる可能性がありますが、ソフトウェアのバグが原因ではなく、システムの設計対象の制限を超えた攻撃者が原因です。そして、すべてのシステムには制限があります。

あなたの質問に対する答えは、いいえ、すべてのセキュリティ脅威がソフトウェアのバグによって引き起こされるわけではありません。

ソーシャルエンジニアリング。

こんにちは、IT部門のXXです。現在、コンピューターは他のオフィスコンピューターにウイルスを拡散しています。削除するには、ユーザー名とパスワードが必要です。

ハッカーがユーザー名/パスワードを取得したら、トロイの木馬などを安全にインストールできます。

ソーシャルエンジニアリングはいくつかの方法で適用できますが、それを使用してセキュリティを回避することも1つです。

共有ワイヤレスネットワークで送信されるCookieを盗むFirefoxアドオンFiresheepのようなものはどうですか？

そのような攻撃に対する脆弱性はバグであると主張することもできますが、同様に反論することもできます。HTTPSを介してすべての通信を実行する以外に、ユーザーが侵害されないようにするためにWebサイトでできることはあまりありません。WebサイトでHTTP通信を受け入れるのはバグだと言えますか？

はい、ソフトウェアのセキュリティの障害が、最も近い原因が何であれ、ソフトウェアがその要件を満たしていない場合に限ります。

私はこれが単なるトートロジーであることを認めますが、それはその尺度です。