S3R

Полезная новость  для администраторов и аудиторов безопасности, а также профессионалов, занимающихся оценкой СЗИ и контролем соблюдения требований защищенности сетей:

Во ФСТЭК России прошло процедуру инспекционного контроля средство анализа защищенности Сканер-ВС.

Сканер-ВС представляет собой мобильную доверенную среду, которая может быть запущена на любом компьютере сети, она не зависит от установленной операционной системы и не мешает функционированию других программ. Сканер-ВС позволяет без дополнительных затрат на покупку оборудования организовать действующее место администратора безопасности или запустить аудит безопасности сети без подключений дополнительных машин.

Среди нового функционала прошедшего инспекционный контроль необходимо отметить следующие нововведения:

• добавлен модуль гарантированной очистки информации на носителях;
• добавлен модуль контрольного суммирования файлов, папок, а также посекторного суммирования для машинных носителей информации;
• добавлен модуль аудита установленных обновлений ОС Windows;
• добавлен модуль анализа защищенности беспроводных (Wi-Fi) сетей;
• модуль системного аудита теперь позволяет анализировать историю веб-браузеров (IE, Firefox, Opera), а также перечень подключенных Wi-Fi сетей в ОС Windows;
• модуль поиска остаточной информации теперь поддерживает новые форматы бинарных файлов, а также интегрирован с модулем гарантированной очистки информации;
• модуль локального аудита паролей теперь поддерживает механизм радужных таблиц (rainbow tables), позволяя теперь устанавливать приоритет между различными методами атак на пароли;
• модуль сканирования безопасности теперь работает через веб-интерфейс, увеличена скорость сканирования, число модулей обнаружения уязвимостей выросло более чем на 30%, все отчеты по безопасности теперь имеют централизованное хранение, что делает возможным построение аналитики состояния безопасности сети за любой период времени, стоит отметить и нововведения удобные для пользователей крупных локальных сетей: сканирование по расписанию и уведомление о его результатах по e-mail администратора безопасности;
• исправлены мелкие баги и ошибки в содержимом отчетов;
• добавлены новые режимы загрузки (текстовой и режим совместимости со средствами виртуализации VirtualBox).

Напомним, что Сканер-ВС имеет сертификат  ФСТЭК России №2204 от 13 ноября 2010 г. удостоверяющий, что Сканер-ВС является средством автоматизированного анализа защищенности и обнаружения уязвимостей автоматизированных систем и соответствует требованиям технических условий, а также требованиям РД НДВ по 4 уровню контроля.

Также на Сканер-ВС получен сертификат Минобороны России по требованиям Приказа МО РФ
№ 58, в том числе на соответствие требованиям РД НДВ по 2 уровню контроля и реальных и декларированных в документации функциональных возможностей, т.е. Сканер-ВС может использоваться для защиты гостайны, включая «сов. секретно».

Possibly Related Posts:

• Бессрочная лицензия на деятельность в области безопасности информации — путь в бесконечность!
• Компания Эшелон запатентовала свои технологии в области поиска программных закладок
• ФСБ догнала ФСТЭК. В области лицензирования деятельности по защите конфиденциальной информации.
• Новое о лицензировании деятельности по ТЗКИ
• OVAL поможет интеграции систем управления иб

На практике мы часто сталкиваемся с ситуацией, что надо провести тематические исследования безопасности ПО, не имеющего исходных кодов. До недавнего времени двумя основными подходами к решению данной проблемы были метод тестирования «черного ящика» (обычно, fuzz-тестирование) и метод реверс-инжиниринга, включающий дизассемблирование бинарного кода с попыткой восстановления логики работы исходной подпрограммы. Подходы чрезвычайно трудоемки, особенно второй. Можно рассмотреть альтернативные решения. Эти решения (в том числе возможность сертификации ПО без исходных текстов программ) рассмотрены в нашей статье:

• Барабанов А.В., Марков А.С., Фадин А.А. Сертификация программ без исходных текстов // Открытые системы. СУБД. 2011. № 4. С. 38-41.

И англоязычный вариант:

•  A. Barabanov, А. Markov, А. Fadin. Software Certification Without Source Codes. Open Systems. 2011. №4. P.38-41.

Можно также рекомендовать взглянуть на другие публикации и презентации экспертов нашей компании в области безопасности.

Possibly Related Posts:

• Важное сообщение ФСТЭК России о работах в области оценки соответствия (сертификации) средств защиты информации
• Требования к средствам антивирусной защиты ФСТЭК России
• Евгений Касперский: безопасность Mac OS на 10 лет отстаёт от Windows
• Бессрочная лицензия на деятельность в области безопасности информации — путь в бесконечность!
• Перспективы развития новых нормативных документов ФСТЭК России на базе «Общих Критериев»

После выпуска консолидированного отчета «Эшелон» по безопасности программного кода известная корпорация Microsoft подготовила на русском языке Отчет о развитии Microsoft SDL (The SDL Progress Report), описывающего борьбу компании за безопасность программного обеспечения.

Security Development Lifecycle (SDL) — это жизненный цикл создания безопасного ПО, фактически, СМК компании в области производства программных продуктов.

В Отчете отражены успехи Microsoft по снижению количества уязвимостей в ПО и по разработке методов и средств снижения риска реализации уязвимостей (в период 2004 — 2010 гг.) программной среды и приложений.
Кстати, некоторые сведения в Отчете основаны на данных по обнаружению уязвимостей, опубликованных в супостатской национальной базе данных уязвимостей (nvd.nist.gov).
Кроме исторических справок, в Отчете приведены некие тренды по степени критичности уязвимостей и степени сложности их реализаций (к слову, к самым критическим уязвимостям отнесены те, которые могут быть использованы и для компрометации персональных данных в ИСПДн, что актуально в свете ФЗ-152).
Также описаны важные процедуры SDL, касающиеся поиска уязвимостей ПО, технологий снижения риска эксплойтов и отслеживания тенденций угроз информационной безопасности.
Интерес представляет описания техник Microsoft по снижению рисков реализации уязвимостей ее продукции:

• предотвращение выполнения данных (Data Execution Prevention, DEP),
• защита от перезаписи обработчика структурных исключений (Structured Exception Handler Overwrite Protection, SEHOP),
• рандомизация размещения адресного пространства (Address space layout randomization, ASLR),
• дополнительная защита от реализации атаки переполнения буфера (/GS) и другие.

Предложены бесплатные утилиты, такие как:

• средство моделирования угроз SDL;
• шаблон SDL для Visual Studio ® Team System (Classic);
• бинарный анализатор Binscope SDL (проверка бинарных файлов на соответствие SDL);
• средство тестирования SDL Minifuzz File Fuzzer;
• упрощенная реализации Microsoft SDL;
• шаблон SDL MSF+Agile для Visual Studio Team System;
• средство тестирования регулярных выражений Regex.

Сам Отчет можно скачать по ссылкам:
- Microsoft SDL Progress Report (english)
- Отчет о развитии Microsoft SDL (по-русски)

                        .

Possibly Related Posts:

• Важное сообщение ФСТЭК России о работах в области оценки соответствия (сертификации) средств защиты информации
• Требования к средствам антивирусной защиты ФСТЭК России
• Критическая уязвимость в сервисе SAP Dispatcher доступна через Интернет
• Бессрочная лицензия на деятельность в области безопасности информации — путь в бесконечность!
• Перспективы развития новых нормативных документов ФСТЭК России на базе «Общих Критериев»

Эксперты со всего света, проводящие аудит систем защиты, объединились, чтобы создать свод правил с целью повысить качество работы этичных хакеров, трудящихся на договорной основе.

Пентестеры со всего мира сообща разрабатывают Стандарт выполнения тестов на проникновение (Penetration Testing Execution Standard — PTES), чтобы снабдить клиентов эталоном, который определит качество испытаний, осуществляемых исследователями.

«Этичные» или «белые» хакеры ломают голову над задачей как выявить уязвимости и слабые места в системе защиты информации, которые могут быть использованы злоумышленниками.

По оценке Криса Никерсона, исследователя систем защиты из Денвера, возглавляющего процесс разработки стандарта, 80% пентестеров не выполняют даже простых испытаний, требуя, однако, высокое вознаграждение за свои услуги.

«Тесты на проникновение стали воронкой, высасывающей деньги из людей, и репутация самой индустрии скачет то вверх то вниз», – сообщил Никерсон, управляющий компанией Lares Consulting.

Испытателям следовало бы передавать доклад об уровне уязвимости системы клиенту, с тем, чтобы слабые места были устранены, но многие доклады на сегодняшний день чересчур упрощены, либо слишком запутаны.

Согласно Никерсону, некоторые худшие представители отрасли одновременно являются крупнейшими и самыми дорогими. Несмотря на то, что это может поправить бизнес небольших тестеров, разработчики стандарта все равно говорят, что это плохо сказывается на репутации отрасли в целом.

Более того, они говорят, что нет определённого четкого способа для клиентов отличить хорошего испытателя от плохого, и получается то, что Брюс Шнайер называет «информационной безопасностью со скрытыми дефектами».

Что касается самого стандарта, то PTES в марте перешел в альфа-стадию «понимания» (mind map) и в него вошло 1800 исправлений, выполненных с тех пор, как началось развитие стандарта в ноябре прошлого года.

«Каждый, кто вносит свой вклад в развитие стандарта, имеет опыт работы с испытаниями на проникновение более десяти лет», — сказал Никерсон, — «и развивает соответствующие компоненты экспертизы».

Релиз проекта должен состояться на конференции BlackHat в Австрии в этом году. Никерсон говорит, что презентация этого проекта в рамках данной конференции осуществляется в качестве первого испытания — с целью улучшения последующих переработок.

Также хотелось бы напомнить, что познакомиться с технологиями этичных хакеров можно в Учебном центре «Эшелон». Ближайшие занятия пройдут в мае.

Possibly Related Posts:

• Важное сообщение ФСТЭК России о работах в области оценки соответствия (сертификации) средств защиты информации
• Требования к средствам антивирусной защиты ФСТЭК России
• Бессрочная лицензия на деятельность в области безопасности информации — путь в бесконечность!
• Перспективы развития новых нормативных документов ФСТЭК России на базе «Общих Критериев»
• ФСБ догнала ФСТЭК. В области лицензирования деятельности по защите конфиденциальной информации.

Компания ЗАО «НПО «Эшелон» представляет Сводный отчёт по состоянию безопасности программного обеспечения в России и мире за минувший год.

Стоит заметить, что подобная аналитика — новинка для отечественной индустрии информационной безопасности. Большинство русскоязычных работ фокусируются на тематике, связанной с отдельными типами программных уязвимостей и  обзорами продуктов конкретных вендоров.

В сводном отчете компании «Эшелон»  безопасность программного обеспечения рассмотрена в первую очередь со стороны разработчика, а не потребителя, с точки зрения источников происхождения кода (страна, вендор, политика распространения), а также языка и платформы разработки.

Данная работа ставит своей целью объединить с одной стороны опыт работы крупнейших зарубежных аналитических подразделений (IBM X-Force, Secunia, Veracode) и практику отечественных испытательных лабораторий, также занимающихся исследованием ПО в области безопасности.

Документ доступен для свободного скачивания:

Скачать PDF (964 Кб)

Possibly Related Posts:

• Критическая уязвимость в сервисе SAP Dispatcher доступна через Интернет
• Евгений Касперский: безопасность Mac OS на 10 лет отстаёт от Windows
• Бессрочная лицензия на деятельность в области безопасности информации — путь в бесконечность!
• Компания Эшелон запатентовала свои технологии в области поиска программных закладок
• Иди, лучше тренируйся… на кошках