TL; DR. В этой статье мы исследуем защитные схемы (hardening schemes), которые из коробки работают в пяти популярных дистрибутивах LinuxI gcás gach ceann acu, ghlacamar leis an gcumraíocht eithne réamhshocraithe, d’íoslódálamar na pacáistí go léir, agus rinneamar anailís ar na scéimeanna slándála sna comhaid dhénártha atá san áireamh. Is iad na dáiltí atá á mbreithniú ná OpenSUSE 12.4, Debian 9, CentOS, RHEL 6.10 agus 7, agus Ubuntu 14.04, 12.04 и 18.04 LTS.
Deimhníonn na torthaí nach bhfuil gach duine fós ag glacadh le bunscéimeanna amhail canáraí cruachta agus cód seasamh neamhspleách. Tá an scéal níos measa fós do thiomsaitheoirí maidir le cosaint a dhéanamh i gcoinne leochaileachtaí cosúil le stack clash, a tháinig chun solais i mí Eanáir tar éis é a fhoilsiú. . Ach nach bhfuil gach rud chomh hopeless. Cuireann líon suntasach dénártha modhanna cosanta bunúsacha i bhfeidhm, agus fásann a líon ó leagan go leagan.
Проверка показала, что наибольшее количество методов защиты реализовано в Ubuntu 18.04 на уровне ОС и приложений, затем следует Debian 9. С другой стороны, в OpenSUSE 12.4, CentOS 7 и RHEL 7 тоже реализованы базовые схемы защиты, а защита от столкновения стека применяется ещё шире при гораздо более плотном наборе пакетов по умолчанию.
Réamhrá
Tá sé deacair bogearraí ardchaighdeáin a chinntiú. In ainneoin go bhfuil líon mór uirlisí chun cinn maidir le hanailís cód statach agus anailís ar am rite dinimiciúil, chomh maith le dul chun cinn suntasach i bhforbairt tiomsaitheoirí agus teangacha ríomhchlárúcháin, tá bogearraí nua-aimseartha fós ag fulaingt ó leochaileachtaí a bhaineann ionsaitheoirí i gcónaí leas a bhaint astu. Tá an scéal níos measa fós in éiceachórais a chuimsíonn cód oidhreachta. I gcásanna den sórt sin, ní hamháin go bhfuil muid ag tabhairt aghaidh ar an bhfadhb shíoraí a bhaineann le hearráidí féideartha insaothraithe a aimsiú, ach táimid teoranta freisin ag creataí dochta comhoiriúnachta siar, a éilíonn go minic orainn cód leochaileach nó bugaí teoranta, nó níos measa fós, a chaomhnú.
Seo an áit a mbíonn modhanna cosanta nó cláir chruaite i bhfeidhm. Ní féidir linn roinnt cineálacha earráidí a chosc, ach is féidir linn saol an ionsaitheora a dhéanamh níos deacra agus an fhadhb a réiteach go páirteach trí chosc nó a chosc. saothrú na hearráidí seo. Úsáidtear cosaint den sórt sin i ngach córas oibriúcháin nua-aimseartha, ach tá difríocht mhór idir na modhanna maidir le castacht, éifeachtúlacht agus feidhmíocht: ó chruach chanáracha agus chun cosaint iomlán и . В этой статье рассмотрим, какие методы защиты применяются в самых популярных дистрибутивах Linux в конфигурации по умолчанию, а также изучим свойства бинарников, которые распространяются через системы управления пакетами каждого дистрибутива.
CVE agus slándáil
Tá ailt feicthe againn go léir le teidil cosúil le "Na Feidhmchláir is Leochaillí den Bhliain" nó "Na Córais Oibriúcháin is Leochailí." De ghnáth soláthraíonn siad staitisticí ar líon iomlán na dtaifead faoi leochaileachtaí mar , a fhaightear ó ó agus foinsí eile. Ina dhiaidh sin, déantar na feidhmchláir seo nó OS a rangú de réir líon na CVEanna. Ar an drochuair, cé go bhfuil CVEanna an-úsáideach chun saincheisteanna a rianú agus chun díoltóirí agus úsáideoirí a chur ar an eolas, is beag a deir siad faoi shlándáil iarbhír na mbogearraí.
Для примера, рассмотрим общее количество CVE за последние четыре года для ядра Linux и пяти наиболее популярных серверных дистрибутивов, а именно Ubuntu, Debian, Fiontar Red Hat Linux и OpenSUSE.
Fig. 1
Что нам говорит этот график? Означает ли большее количество CVE, что один дистрибутив более уязвим, чем другой? Ответа нет. Например, в этой статье вы увидите, что в Debian реализованы более жёсткие механизмы защиты по сравнению, скажем, с OpenSUSE или RedHat Linux, и всё же у Debian больше CVE. Однако они не обязательно означают ослабленную безопасность: даже наличие CVE не говорит, является ли уязвимость shaothrú. Tugann scóir déine léiriú ar conas is dócha leochaileacht a shaothrú, ach sa deireadh thiar braitheann an insaothraithe go mór ar na cosaintí atá sna córais atá i gceist agus ar acmhainní agus cumais na n-ionsaitheoirí. Ina theannta sin, níl aon rud le rá ag easpa tuairiscí CVE faoi dhaoine eile neamhchláraithe nó anaithnid уязвимостях. Разница в CVE может объясняться не качеством ПО, а другими факторами, включая ресурсы, выделенные на тестирование, или размер пользовательской базы. В нашем примере большее количество CVE у Debian может просто указывать на то, что Debian поставляет больше пакетов программного обеспечения.
Ar ndóigh, cuireann an córas CVE faisnéis úsáideach ar fáil a ligeann duit cosaintí cuí a chruthú. Dá fheabhas a thuigimid na fáthanna le teip cláir, is amhlaidh is fusa a bheidh sé modhanna féideartha saothraithe a aithint agus meicníochtaí cuí a fhorbairt bhrath agus freagairt. I bhFíor. Léiríonn 2 na catagóirí leochaileachtaí do gach dáileadh le ceithre bliana anuas (). Tá sé soiléir láithreach go dtagann an chuid is mó de CVEanna sna catagóirí seo a leanas: seirbhís a dhiúltú (DoS), forghníomhú cód, ró-shreabhadh, éilliú cuimhne, sceitheadh faisnéise (eas-scagadh) agus ardú pribhléide. Cé go ndéantar go leor CVEanna a chomhaireamh go minic i gcatagóirí éagsúla, go ginearálta leanann na saincheisteanna céanna bliain i ndiaidh bliana. Sa chéad chuid eile den alt, déanfaimid meastóireacht ar úsáid scéimeanna cosanta éagsúla chun cosc a chur ar shaothrú na leochaileachtaí sin.
Fig. 2
tascanna
San Airteagal seo tá sé beartaithe againn na ceisteanna seo a leanas a fhreagairt:
- Какова безопасность различных дистрибутивов Linux? Какие защитные механизмы существуют в ядре и приложениях пользовательского пространства?
- Conas a d’athraigh glacadh meicníochtaí slándála le himeacht ama thar dháiltí?
- Cad iad meánspleáchas na bpacáistí agus na leabharlann do gach dáileadh?
- Cad iad na cosaintí a chuirtear i bhfeidhm do gach dénártha?
Roghnú dáiltí
Tharlaíonn sé go bhfuil sé deacair staitisticí cruinne a fháil ar shuiteálacha dáileacháin, ós rud é i bhformhór na gcásanna ní léiríonn líon na n-íoslódálacha líon na suiteálacha iarbhír. Mar sin féin, is leaganacha Unix iad formhór na gcóras freastalaí (ar fhreastalaithe gréasáin 69,2%, de réir W3techs agus foinsí eile), agus tá a sciar ag fás i gcónaí. Mar sin, dár dtaighde dhíríomar ar dháiltí atá ar fáil as an mbosca ar an ardán . Go háirithe, roghnaigh muid an OS seo a leanas:
Dáileadh/leagan
Croí
Tógáil
OpenSUSE 12.4
4.12.14-95.3-réamhshocraithe
#1 SMP Dé Céadaoin 5 Nollaig 06:00:48 UTC 2018 (63a8d29)
Debian 9 (stretch)
4.9.0-8-leasú64
#1 SMP Debian 4.9.130-2 (2018-10-27)
CentOS 6.10
2.6.32-754.10.1.el6.x86_64
#1 SMP Dé Máirt 15 Eanáir 17:07:28 UTC 2019
CentOS 7
3.10.0-957.5.1.el7.x86_64
#1 SMP Aoine 1 Feabhra 14:54:57 UTC 2019
Red Hat Enterprise Linux Server 6.10 (Santiago)
2.6.32-754.9.1.el6.x86_64
#1 SMP Dé Céadaoin 21 Samhain 15:08:21 EST 2018
Red Hat Enterprise Linux Server 7.6 (Maipo)
3.10.0-957.1.3.el7.x86_64
#1 SMP Thu Nov 15 17:36:42 UTC 2018
Ubuntu 14.04 (Trusty Tahr)
4.4.0–140 – cineálach
#166~14.04.1-Ubuntu SMP Sat Nov 17 01:52:43 UTC 20…
Ubuntu 16.04 (Xenial Xerus)
4.15.0–1026-gcp
#27~16.04.1-Ubuntu SMP Fri Dec 7 09:59:47 UTC 2018
Ubuntu 18.04 (Bionic Beaver)
4.15.0–1026-gcp
# 27-Ubuntu SMP Thu Dec 6 18:27:01 UTC 2018
Tábla 1
Anailís
Изучим конфигурацию ядра по умолчанию, а также свойства пакетов, доступных через пакетный менеджер каждого дистрибутива из коробки. Таким образом, мы рассматриваем только пакеты из зеркал по умолчанию каждого дистрибутива, игнорируя пакеты из нестабильных репозиториев (например, зеркал ‘testing’ в Debian) и сторонние пакеты (например, пакеты Nvidia со стандартных зеркал). Кроме того, мы не рассматриваем пользовательские компиляции ядра или конфигурации с повышенной защитой.
Anailís Cumraíochta Eithne
Chuireamar script anailíse i bhfeidhm bunaithe ar . Breathnaímid ar pharaiméadair chosanta lasmuigh den bhosca de na dáileacháin ainmnithe agus déanaimis iad a chur i gcomparáid leis an liosta ó (KSPP). I gcás gach rogha cumraíochta, déanann Tábla 2 cur síos ar an socrú inmhianaithe: tá an ticbhosca le haghaidh dáiltí a chomhlíonann moltaí an KSSP (féach an méid seo a leanas le haghaidh míniú ar théarmaí). ; In ailt amach anseo míneoimid cé mhéad de na modhanna slándála seo a tháinig i bhfeidhm agus conas córas a hack ina n-éagmais).
В целом, в новых ядрах более строгие настройки из коробки. Например, у CentOS 6.10 и RHEL 6.10 на ядре 2.6.32 нет большинства критических функций, реализованных в новых ядрах, таких как , ceadanna dian RWX, randamú seoltaí nó cosaint copy2usr. Ba chóir a thabhairt faoi deara nach bhfuil go leor de na roghanna cumraíochta sa tábla ar fáil i leaganacha níos sine den eithne agus nach bhfuil siad infheidhme i ndáiríre - tá sé seo le fios fós sa tábla mar easpa cosanta cuí. Mar an gcéanna, mura bhfuil rogha cumraíochta i láthair i leagan ar leith, agus má éilíonn slándáil an rogha sin a dhíchumasú, meastar gur cumraíocht réasúnta é seo.
Pointe eile le breithniú agus na torthaí á léirmhíniú: is féidir roinnt cumraíochtaí eithne a mhéadaíonn an dromchla ionsaí a úsáid freisin le haghaidh slándála. I measc na samplaí sin tá uprobes agus kprobes, modúil eithne, agus BPF/eBPF. Is é an moladh atá againn ná na meicníochtaí thuas a úsáid chun fíorchosaint a sholáthar, ós rud é gur neamhfhánach iad a úsáid agus glacann a n-dúshaothrú leis go bhfuil bunús sa chóras cheana féin ag gníomhaithe mailíseacha. Ach má tá na roghanna seo cumasaithe, ní mór do riarthóir an chórais monatóireacht ghníomhach a dhéanamh le haghaidh mí-úsáide.
Ag breathnú níos faide ar na hiontrálacha i dTábla 2, feicimid go soláthraíonn eithne nua-aimseartha go leor roghanna chun cosaint a thabhairt i gcoinne shaothrú leochaileachtaí ar nós sceitheadh faisnéise agus ró-shreafaí stoic/charn. Mar sin féin, tugaimid faoi deara nach bhfuil fiú na dáiltí tóir is déanaí tar éis cosaint níos casta a chur i bhfeidhm go fóill (mar shampla, le paistí ) nó cosaint nua-aimseartha ar ionsaithe athúsáide cóid (e.g. ). Chun cúrsaí a dhéanamh níos measa, ní thugann na cosaintí níos forbartha seo cosaint ar raon iomlán na n-ionsaithe. Dá bhrí sin, tá sé ríthábhachtach do riarthóirí córais cumraíochtaí cliste a chomhlánú le réitigh a thairgeann am rite a bhaineann leas as brath agus cosc.
Anailís Iarratais
Ní nach ionadh go bhfuil tréithe pacáiste éagsúla, roghanna tiomsaithe, spleáchais leabharlainne, etc. ag dáiltí difriúla. Tá difríochtaí ann fiú do дистрибутивов и пакетов с небольшим количеством зависимостей (например, coreutils в Ubuntu nó Debian). Чтобы оценить различия, мы загрузили все доступные пакеты, извлекли их содержимое и проанализировали бинарные файлы и зависимости. Для каждого пакета мы отслеживали другие пакеты, от которых он зависит, и для каждого бинарника отслеживали его зависимости. В этом разделе кратко изложим выводы.
dáiltí
San iomlán, d'íoslódálamar 361 pacáiste do gach dáileadh, ag baint amach pacáistí ó scátháin réamhshocraithe amháin. Rinneamar neamhaird ar phacáistí gan earraí inrite ELF, mar fhoinsí, clónna, srl. Tar éis an scagtha, d'fhan 556 pacáiste, ina raibh iomlán de 129 dénártha. Léirítear dáileadh na bpacáistí agus na gcomhad thar dháiltí i bhFíor. 569 .
Fig. 3
Можно заметить, что чем современнее дистрибутив, тем больше в нём пакетов и двоичных файлов, что логично. При этом пакеты Ubuntu и Debian включают гораздо больше двоичных файлов (как исполняемых, так и динамических модулей и библиотек), чем CentOS, SUSE и RHEL, что потенциально влияет на поверхность атаки Ubuntu и Debian (нужно заметить, что цифры отражают все бинарники всех версий пакета, то есть некоторые файлы анализируются несколько раз). Это особенно важно, если учесть зависимости между пакетами. Таким образом, уязвимость в бинарнике одного пакета может повлиять на многие части экосистемы, как уязвимая библиотека может повлиять на все бинарные файлы, импортирующие её. В качестве точки отсчёта посмотрим на распределение числа зависимостей по пакетам в различных ОС:
Fig. 4
Почти во всех дистрибутивах у 60% пакетов минимум по 10 зависимостей. Кроме того, у некоторых пакетов количество зависимостей значительно больше (более 100). То же самое относится и к обратным зависимостям пакетов: как и ожидалось, несколько пакетов используются многими другими пакетами в дистрибутиве, поэтому уязвимости в этих немногих избранных имеют высокий риск. В качестве примера в следующей таблице перечислены 20 пакетов с максимальным количеством обратных зависимостями в SLES, Centos 7, Debian 9 agus Ubuntu 18.04 (в каждой ячейке указан обозначает пакет и количество обратных зависимостей).
Tábla 3
Fíric suimiúil. Cé go bhfuil gach OS a ndearnadh anailís orthu tógtha don ailtireacht x86_64, agus go bhfuil an ailtireacht sainmhínithe mar x86_64 agus x86 ag an chuid is mó de na pacáistí, is minic go mbíonn binaries le haghaidh ailtireachtaí eile i bpacáistí, mar a thaispeántar i bhFíor 5. XNUMX.
Fig. 5
Sa chéad chuid eile, déanfaimid iniúchadh ar shaintréithe na ndénártha anailísithe.
Staitisticí cosanta comhaid dhénártha
Как абсолютный минимум, нужно изучить базовый набор вариантов защиты для имеющихся бинарных файлов. Несколько дистрибутивов Linux поставляются со скриптами, которые выполняют такие проверки. Например, в Debian/Ubuntu есть такой скрипт. Вот пример его работы:
$ hardening-check $(which docker)
/usr/bin/docker:
Position Independent Executable: yes
Stack protected: yes
Fortify Source functions: no, only unprotected functions found!
Read-only relocations: yes
Immediate binding: yesSeiceálann an script cúig cinn :
- Seasamh Inrite Neamhspleách (PIE): Léiríonn sé an féidir an chuid téacs de chlár a bhogadh sa chuimhne chun randamú a bhaint amach má tá ASLR cumasaithe san eithne.
- Cruachta Cosanta: Cibé an bhfuil na canáraí cruachta in ann cosaint a dhéanamh ar ionsaithe imbhuailte cruachta.
- Daingnigh Foinse: cibé an gcuirtear a gcomhghleacaithe níos sláine in ionad feidhmeanna neamhshábháilte (mar shampla, strcpy), agus cuirtear a gcomhghleacaithe neamhsheiceáilte in ionad glaonna a sheiceáiltear ag am rite (mar shampla, memcpy in ionad __memcpy_chk).
- Athlonnú inléite amháin (RELRO): Cibé an bhfuil iontrálacha táblaí athlonnaithe marcáilte inléite amháin má spreagtar iad sula gcuirtear tús le cur i gcrích.
- Ceangal láithreach: Cibé an gceadaíonn an nascóir ama rite gach aistriú sula gcuirtear tús le feidhmiú an chláir (tá sé seo comhionann le RELRO iomlán).
An leor na meicníochtaí thuas? Ar an drochuair níl. Tá bealaí aitheanta ann chun na cosaintí thuas go léir a sheachbhóthar, ach dá déine an chosaint, is airde an barra don ionsaitheoir. Mar shampla, níos deacra a chur i bhfeidhm má tá PIE agus ceangailteach láithreach i bhfeidhm. Mar an gcéanna, teastaíonn obair bhreise ó ASLR iomlán chun dúshaothrú oibre a chruthú. Mar sin féin, tá ionsaitheoirí sofaisticiúla ullmhaithe cheana féin chun cosaintí den sórt sin a chomhlíonadh: go bunúsach cuirfidh a n-éagmais dlús leis an hack. Tá sé fíor-riachtanach mar sin go meastar go bhfuil gá leis na bearta sin íosmhéid.
Theastaigh uainn staidéar a dhéanamh ar cé mhéad comhad dénártha sna dáiltí atá i gceist atá cosanta ag na modhanna seo agus trí mhodh eile:
- Giotán neamh-inrite () a chuireann cosc ar fhorghníomhú in aon réigiún nár cheart a bheith inrite, mar an gcarn cruacha, etc.
- seasann an cosán forghníomhaithe a úsáideann an lódóir dinimiciúil chun leabharlanna meaitseála a aimsiú. Is é an chéad cheann éigeantach d'aon chóras nua-aimseartha: cuireann sé ar chumas na n-ionsaitheoirí an pálasta a scríobh go treallach i gcuimhne agus é a chur i gcrích mar atá. Ar an dara dul síos, cuidíonn cumraíochtaí cosán forghníomhaithe mícheart le cód neamhiontaofa a thabhairt isteach a d'fhéadfadh roinnt fadhbanna a bheith mar thoradh air (m.sh. Agus ).
- Soláthraíonn cosaint imbhuailte cruachta cosaint in aghaidh ionsaithe a fhágann go bhforluíonn an chairn réimsí eile cuimhne (cosúil leis an gcarn). Mar gheall ar exploits déanaí mí-úsáid , bhraitheamar go raibh sé cuí an mheicníocht seo a chur san áireamh inár dtacar sonraí.
Mar sin, gan a thuilleadh moille, a ligean ar a fháil síos go dtí na huimhreacha. Tá achoimre i dTáblaí 4 agus 5 ar an anailís ar chomhaid inrite agus leabharlanna dáileacháin éagsúla, faoi seach.
- Как можно заметить, защита NX реализована везде, за редкими исключениями. В частности, можно отметить несколько более низкое её использование в дистрибутивах Ubuntu и Debian i gcomparáid le CentOS, RHEL и OpenSUSE.
- Стековые канарейки много где отсутствуют, особенно в дистрибутивах со старыми ядрами. Некоторый прогресс наблюдается в последних дистрибутивах Centos, RHEL, Debian и Ubuntu.
- Cé is moite de Debian и Ubuntu 18.04, в большинстве дистрибутивов плохая поддержка PIE.
- Защита от столкновений стека слабо реализована в OpenSUSE, Centos 7 и RHEL 7 и практически отсутствует у остальных.
- Все дистрибутивы с современными ядрами имеют некоторую поддержку RELRO, при этом лидирует Ubuntu 18.04, а второе место занимает Debian.
Mar a luadh cheana, is iad na méadrachtaí sa tábla seo ná an meán do gach leagan den chomhad dénártha. Mura fhéachann tú ach ar na leaganacha is déanaí de chomhaid, beidh na huimhreacha difriúil (mar shampla, féach ). Thairis sin, de ghnáth ní dhéanann an chuid is mó dáileacháin ach tástáil ar shlándáil roinnt feidhmeanna sa dhénártha agus staitisticí á ríomh, ach léiríonn ár n-anailís fíorchéatadán na bhfeidhmeanna atá cruaite. Mar sin, má tá 5 as 50 feidhmeanna cosanta i dénártha, tabharfaimid scór 0,1 dó, a fhreagraíonn do 10% de na feidhmeanna atá á neartú.
Tábla 4. Saintréithe slándála do na comhaid inrite a thaispeántar i bhFíor. 3 (feidhmeanna ábhartha a chur i bhfeidhm mar chéatadán de líon iomlán na gcomhad inrite)
Tábla 5. Tréithe slándála na leabharlann a thaispeántar i bhFíor. 3 (feidhmeanna ábhartha a chur i bhfeidhm mar chéatadán de líon iomlán na leabharlann)
Mar sin an bhfuil dul chun cinn ann? Is cinnte go bhfuil: is féidir é seo a fheiceáil ó na staitisticí maidir le dáiltí aonair (mar shampla, ), а также из приведённых выше таблиц. В качестве примера в рис. 6 показано внедрение защитных механизмов в трёх последовательных дистрибутивах Ubuntu LTS 5 (мы опустили статистику защиты от столкновения стека). Мы замечаем, что от версии к версии всё больше файлов поддерживают стековых канареек, а также последовательно всё больше бинарных файлов поставляются с полной защитой RELRO.
Fig. 6
К сожалению, ряд исполняемых файлов в разных дистрибутивах по-прежнему не обладает ни одной из вышеуказанных защит. Например, взглянув на Ubuntu 18.04, можно заметить бинарник ngetty (замена getty), а также оболочки mksh и lksh, интерпретатор picolisp, пакеты nvidia-cuda-toolkit (популярный пакет для приложений с GPU-ускорением, таких как фреймворки машинного обучения) и klibc-utils. Аналогично, бинарник mandos-client (административный инструмент, позволяющий автоматически перезагружать машины с зашифрованными файловыми системами), а также rsh-redone-client (повторная реализация rsh и rlogin) поставляются без защиты NX, хотя у них права SUID :(. Кроме того, в нескольких suid-бинарниках нет базовой защиты, такой как стековые канарейки (например, бинарный файл Xorg.wrap из пакета Xorg).
Achoimre agus Nótaí Deiridh
В этой статье мы выделили несколько свойств безопасности современных дистрибутивов Linux. Анализ показал, что в последнем дистрибутиве Ubuntu LTS (18.04) реализована в среднем самая сильная защита уровня ОС и приложений среди дистрибутивов с относительно новыми ядрами, таких как Ubuntu 14.04, 12.04 agus Debian 9. Однако рассмотренные дистрибутивы CentOS, RHEL и OpenSUSE в нашем наборе данных по умолчанию выдают более плотный набор пакетов, а в последних версиях (CentOS и RHEL) имеют более высокий процент реализации защиты от столкновения стека, по сравнению с конкурентами на основе Debian (Debian и Ubuntu). Сравнивая версии CentOS и RedHat, мы замечаем большие улучшения во внедрении стековых канареек и RELRO с версий 6 до 7, но в среднем в CentOS реализовано больше функций, чем в RHEL. В целом, всем дистрибутивам следует уделить особое внимание защите PIE, которая, за исключением Debian 9 agus Ubuntu 18.04, реализована менее чем в 10% бинарных файлов из нашего набора данных.
Ar deireadh, ba chóir a thabhairt faoi deara, cé go ndearnamar an taighde de láimh, go bhfuil go leor uirlisí slándála ar fáil (m.sh. , , ), a dhéanann anailís agus a chuidíonn le cumraíochtaí neamhshábháilte a sheachaint. Ar an drochuair, ní ráthaíonn fiú cosaint láidir i bhfoirmíochtaí réasúnta nach mbeidh aon shaothrú ann. Sin an fáth a gcreidimid go daingean go bhfuil sé ríthábhachtach a chinntiú , ag díriú ar phatrúin dúshaothraithe agus iad a chosc.
Foinse: will.com
