2 Отзывов 04 Фев 2012, Алексей Марков
Наша компания НПО «Эшелон» недавно провела комплексный аудит информационной безопасности одной из ведущих электронных торговых площадок. Особеность данного аудита информационной безопасности заключалась в том, что он включал аудит безопасности исходных текстов программных ресурсов.
При этом самое серьезное внимание было уделено как тестированию, так и статическому анализу безопасности кода Web-приложений с целью выявления и анализа возможности реализации программных дефектов и уязвимостей безопасности. Конечно, код был проверен не только на SQL-инъекции, межсайтовый скриптинг и некорректности обработки входных данных в целом, но выявлялилсь также и константы с парольно-адресной информацией, корректность использования криптопримитивов, протоколов и внешних модулей, разумеется, не были оставлены без внимания архитектурные ошибки безопасности и виртуализации, наличие остаточной отладочной информации и многое другое.
Заметим, что в компании «Эшелон» накоплен исключительный опыт в области практического анализа исходного кода, проводимого в том числе в рамках сертификационных испытаний и тематических исследований программного обеспечения средств защиты информации разного уровня и программных приложений. Компания также поддерживает и развивает собственные инструментальные средства аудита безопасности кода и сетевой безопасности, в том числе сертифицированное средство статического и динамического анализа безопасности исходного кода - АК-ВС (сертифицированное ФСТЭК России и Минобороны России).
Possibly Related Posts:
Ваш отзыв 27 Янв 2012, Алексей Марков
При проведении функционального тестирования средств и механизмов защиты информации приходится обращаться к руководящим документам Гостехкомиссии России, т.к. в них заданы традиционные требования к СЗИ, которые условно или тщательно проверяются соответственно при аттестационных и сертификационных испытаниях. Понятно, в реальной жизни План тестирования и Программа и методика испытаний (ГОСТ 19.301-79) носят условно описательный характер. Это, конечно, особо не огорчает экспертов испытательных лабораторий, но не всегда бывает удобно при автоматизации данного процесса. Кроме того, при проведении испытаний средств защиты информации, составляющей гостайну, необходимо представить формальные или полуформальные доказательства доверия к СЗИ и к результату оценки соответствия. Поэтому мы записали некоторый формальный метабазис разработки методик проведения испытаний для СЗИ (СВТ), МЭ, АС и их подсистем безопасности, например:
- Барабанов А.В., Гришин М.И., Марков А.С. Формальный базис и метабазис оценки соответствия средств защиты информации объектов информатизации. // Известия института инженерной физики. 2011. № 3. С. 82-88.
Alexander Barabanov, Maxim Grishin, Alexey Markov. The Formal Basis for Conformity Assessment of Information Security Software and Hardware // Izvestia Instituta Inzhenernoi Phiziki. 2011. №3. P.82-88.
- Барабанов А.В., Марков А.С., Цирлов В.Л. Разработка методики испытаний межсетевых экранов по требованиям безопасности информации. // Вопросы защиты информации, 2011. № 3. С.19-24.
Alexander Barabanov, Alexey Markov, Valentin Tsirlov. A Formal Approach to Firewalls Testing Techniques // Voprosy Zashity Informazii, 2011. № 3. P.19-24.
- Барабанов А.В., Марков А.С., Цирлов В.Л. Методический аппарат оценки соответствия автоматизированных систем требованиям безопасности информации // Спецтехника и связь, 2011. № 3. С.48-53.
- Барабанов А.В. Методика оценки соответствия автоматизированных систем требованиям по защите информации от несанкционированного доступа с применением выборочного контроля // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.104-115.
Другие публикации наших ученых-практиков в области ИБ можно посмотреть на сайте компании НПО «Эшелон».
Информацию о тестировании программных средств защиты информации, путем использования моделей надежности и испытаний программ, можно также найти на нашем блоге.
Possibly Related Posts:
Ваш отзыв 30 Дек 2011, Алексей Марков
Надо понимать, что область информационной безопасности мало формализуема. Фактически, ИБ — это свойство эргатических социумов, которым присущи всякие социологические и пси-факторы.
Что касается оценки соответствия программных ресурсов систем ИБ, то приходится еще радоваться их структурной гирперсложности, что уводит математические методы и модели испытаний в «проклятие размерности» (до изобретения квантового компьютера), а сертификационные испытания ПО становятся не аттестационной процедурой, а мозговым штурмом экспертов испытательных лабораторий.
Все же, можно ли использовать математические модели испытаний ПО? Исходя из принципа, что матмодели не должны (в лучшем случае) отвлекать экспертов испытательных лабораторий от их бизнес-задач, можно придумать области моделирования испытаний ПО СЗИ:
- формальное обоснование затрат на испытания;
- формальное иллюстрирование результатов проведенных испытаний;
- представление формальных доказательств достигнутого уровня доверия к испытаниям, средствам и системам защиты информации, если это задано в ТЗ (например, для верхних ОУД по ГОСТ ИСО 15408, для систем защиты сведений, составляющих высший уровень гостайны, при испытаниях АС ВН по надёжности и т.д.);
- проведение научно-исследовательских изысканий.
Исходя из этого, была изучена проблематика анализа и синтеза популярных моделей оценки и планирования испытаний программного обеспечения, в том числе по требованиям безопасности информации и надежности функционирования:
Possibly Related Posts:
Ваш отзыв 30 Сен 2011, Андрей Фадин
Полезная новость для администраторов и аудиторов безопасности, а также профессионалов, занимающихся оценкой СЗИ и контролем соблюдения требований защищенности сетей:
Во ФСТЭК России прошло процедуру инспекционного контроля средство анализа защищенности Сканер-ВС.
Сканер-ВС представляет собой мобильную доверенную среду, которая может быть запущена на любом компьютере сети, она не зависит от установленной операционной системы и не мешает функционированию других программ. Сканер-ВС позволяет без дополнительных затрат на покупку оборудования организовать действующее место администратора безопасности или запустить аудит безопасности сети без подключений дополнительных машин.
Среди нового функционала прошедшего инспекционный контроль необходимо отметить следующие нововведения:
- добавлен модуль гарантированной очистки информации на носителях;
- добавлен модуль контрольного суммирования файлов, папок, а также посекторного суммирования для машинных носителей информации;
- добавлен модуль аудита установленных обновлений ОС Windows;
- добавлен модуль анализа защищенности беспроводных (Wi-Fi) сетей;
- модуль системного аудита теперь позволяет анализировать историю веб-браузеров (IE, Firefox, Opera), а также перечень подключенных Wi-Fi сетей в ОС Windows;
- модуль поиска остаточной информации теперь поддерживает новые форматы бинарных файлов, а также интегрирован с модулем гарантированной очистки информации;
- модуль локального аудита паролей теперь поддерживает механизм радужных таблиц (rainbow tables), позволяя теперь устанавливать приоритет между различными методами атак на пароли;
- модуль сканирования безопасности теперь работает через веб-интерфейс, увеличена скорость сканирования, число модулей обнаружения уязвимостей выросло более чем на 30%, все отчеты по безопасности теперь имеют централизованное хранение, что делает возможным построение аналитики состояния безопасности сети за любой период времени, стоит отметить и нововведения удобные для пользователей крупных локальных сетей: сканирование по расписанию и уведомление о его результатах по e-mail администратора безопасности;
- исправлены мелкие баги и ошибки в содержимом отчетов;
- добавлены новые режимы загрузки (текстовой и режим совместимости со средствами виртуализации VirtualBox).
Напомним, что Сканер-ВС имеет сертификат ФСТЭК России №2204 от 13 ноября 2010 г. удостоверяющий, что Сканер-ВС является средством автоматизированного анализа защищенности и обнаружения уязвимостей автоматизированных систем и соответствует требованиям технических условий, а также требованиям РД НДВ по 4 уровню контроля.
Также на Сканер-ВС получен сертификат Минобороны России по требованиям Приказа МО РФ
№ 58, в том числе на соответствие требованиям РД НДВ по 2 уровню контроля и реальных и декларированных в документации функциональных возможностей, т.е. Сканер-ВС может использоваться для защиты гостайны, включая «сов. секретно».
Possibly Related Posts:
1 Отзыв 15 Июн 2011, Алексей Марков
На практике мы часто сталкиваемся с ситуацией, что надо провести тематические исследования безопасности ПО, не имеющего исходных кодов. До недавнего времени двумя основными подходами к решению данной проблемы были метод тестирования «черного ящика» (обычно, fuzz-тестирование) и метод реверс-инжиниринга, включающий дизассемблирование бинарного кода с попыткой восстановления логики работы исходной подпрограммы. Подходы чрезвычайно трудоемки, особенно второй. Можно рассмотреть альтернативные решения. Эти решения (в том числе возможность сертификации ПО без исходных текстов программ) рассмотрены в нашей статье: 
И англоязычный вариант:
Можно также рекомендовать взглянуть на другие публикации и презентации экспертов нашей компании в области безопасности.
Possibly Related Posts:
