Рубрика «Аудит кода»

Российские испытательные лаборатории средств защиты информации переориентируются на Индию!

1 Отзыв

commoncriteria_logo.gif

В Индии в Нью-Дели 9-11 сентября состоится ежегодная Международная конференция по «Общим Критериям» — International Common Criteria Conference (ICCC 2014). На Конференции ICCC 2014 от НПО «Эшелон» выступит директор департамента сертификации и тестирования к.т.н., CISSP, CSSLP Александр Барабанов с оригинальным докладом: «Сертификация по требованиям безопасности информации в России: переход на «Общие критерии» (10 сентября, 12.00).

Доклад посвящен актуальным тенденциям российской системы сертификации средств защиты информации (СЗИ) по линии методологии «Общих Критериев» и ISO 15408. В работе будут рассмотрены основные особенности российской системы сертификации по требованиям безопасности информации, представлены результаты сравнительного анализа российской и западной систем сертификации по линии «Общих Критериев», проанализированы трудности, с которыми сталкиваются российские разработчики СЗИ и аккредитованные испытательные лаборатории в случае сертификации по «Общим Критериям».

НПО «Эшелон» обладает обширным опытом применения «Общих Критериев» на практике в рамках сертификационных испытаний, проводимых испытательной лабораторией (аккредитованной ФСТЭК России, Минобороны России и ФСБ России), как российских, так и зарубежных программных продуктов. На базе НПО «Эшелон» образован Центр компетенции по «Общим Критериям», который возглавляет, собственно, автор доклада на ICCC 2014 — Александр Барабанов. Эксперты центра делятся своим опытом и проводят курсы в Учебном Центре «Эшелон»: «Сертификация средств антивирусной защиты и систем обнаружения вторжений в соответствии с методологией стандарта «Общие критерии» и «Сертификация программного обеспечения по требованиям безопасности информации» (практикум).

Как известно, последние два года ознаменовались выпуском новых пакетов нормативных правовых актов ФСТЭК России по линии методологии «Общих Критериев».
Отметим наиболее знаковые испытания, выполненные в этом и прошлом годах в соответствии с нормативными документами ФСТЭК России нового поколения, основанными на методологии «Общих Критериев»:

•    испытания программного обеспечения «McAfee Network Security Platform (версия 7.1) на соответствие требованиям документа ФСТЭК России «Требования к системам обнаружения вторжений» (уровня сети, 5 класс защиты);
•    испытания аппаратно-программного комплекса шифрования «Континент» на соответствие требованиям документа ФСТЭК России «Требования к системам обнаружения вторжений» (уровня сети, 3 класс защиты);
•    испытания программного обеспечения «McAfee Web Gateway» (версия 7.4) на соответствие требованиям документа ФСТЭК России «Требования к средствам антивирусной защиты» (типа «Б», 5 класс защиты).

Специалисты Центра принимают участие в проектах по сертификации не только в качестве экспертов испытательной лабораторий, но и в качестве экспертов Органа по сертификации ФСТЭК России.

Центр оказывает широкий спектр услуг для разработчиков программного обеспечения и испытательных лабораторий, включая проведение уникальных курсов по сертификации программного обеспечения по требованиям безопасности информации. С полным перечнем услуг можно ознакомиться на сайте Центра компетенции: www.commoncriteria.ru.

Possibly Related Posts:


Guardian: АНБ ставит «жучки» в маршрутизаторы американского производства

Ваш отзыв

Backdoor_crop380w

Агентство нацбезопасности США тайно ставит устройства для перехвата данных в маршрутизаторы и серверы американского производства. Об этом пишет The Guardian со ссылкой на своего бывшего сотрудника Гленна Гринвальда.

 

В новой книге журналиста «Скрыться негде» отмечается, что в течение многих лет правительство США активно предупреждало другие страны об опасностях китайских маршрутизаторов и других интернет-устройств, поскольку с помощью этих девайсов Пекин якобы может следить за пользователями.

 

«Согласно документам АБН, американцы занимались точно такой же деятельностью», – утверждает Гринвальд. Он добавляет, что маршрутизаторы и серверы китайского производства конкурируют с американскими не только в экономическом плане, но и в области слежки.

В статье правда напрямую не упоминаются конкретные марки устройств.

 

Книга «Скрыться негде» выходит 13 мая.

Источник

 

Possibly Related Posts:


Oracle: Открытому коду не место в оборонных системах

Ваш отзыв

Oracle_eBusiness_Suite_235220Oracle направила Министерству обороны США крайне спорный документ, в котором призвала отказаться от открытого ПО в оборонных информационных системах. Корпорация попыталась убедить военных в том, что открытое ПО слишком ненадежно и имеет высокую стоимость.

Читать полностью »

Possibly Related Posts:


Бэкдор без единого буквенно-цифрового символа

Ваш отзыв

Backdoor_crop380wКак видим, динамические скриптовые языки программирования (с динамической  типизацией и более гибкими операциями над структурами, например PHP, Python, Perl, JavaScript) имеют куда больше возможностей для скрытия программных закладок, в частности бэкдоров, реализующих шеллкод, удаленное выполнение команд, через GET-запросы.

Вот так выглядит обфусцированный код данного бэкдора, ни одного буквенно-цифрового символа! :

Читать полностью »

Possibly Related Posts:


Подводные камни статического анализа: predefined macros

2 комментария

yo-dawg-i-heard-you-like-source-code-so-we-put-a-source-code-in-your-source-code-so-you-can-source-code-while-you-sourcДостаточно часто, например в рамках сертификационных испытаний по НДВ, эксперт сталкивается с тем, что имея полный (или достаточно полный) объём исходных текстов для проведения статического анализа, он не может запустить статический анализ текстов на сборочной машине.

Т.е. на одном компьютере они реально собираются, на другом — анализируются. Причин тому — множество, и технических, и организационных, главным образом это связано с большим числом сборочных нодов, различием типов компиляторов и необходимостью  контролировать кросс-ссылки между модулями собираемыми на разных машинах. Как ни странно, это — довольно серьёзное ограничение, которое влияет и на разработчиков, и на пользователей статических анализаторов. Как пример, в C  и C++ — это предопределённые макросы препроцессора.

Читать полностью »

Possibly Related Posts: