AppChecker’ом по Бляйхенбахеру

Ваш отзыв

Эксперты НПО «Эшелон» в результате исследования открытых программных проектов выявили критическую угрозу для интернет-приложений – возможность проведения атаки Бляйхенбахера! В настоящее время самым эффективным средством для заблаговременного предупреждения данной атаки является статический анализатор кодов AppChecker!

В далеком 1998-м году американский профессор Даниэль Бляйхенбахер показал возможность атаки на алгоритм шифрования RSA, позволяющей злоумышленнику без наличия закрытого ключа получить доступ к зашифрованным сообщениям или осуществить атаку «человек посередине».

Атака Бляйхенбахера может быть заранее предупреждена, благодаря статистическому анализатору AppChecker. C помощью него можно отыскивать всевозможные дефекты кодирования на языках C/C++, Java, PHP и C#.

На сегодняшний день, активно применяя AppChecker, специалисты лаборатории НПО «Эшелон» провели анализ безопасности кода различных opensource-проектов, включая Dolibarr (ERP/CRM), Chamilo LMS (LMS), ocPortal (CMS) и др. Практически во всех случаях были обнаружены бреши, а в одной из них и была найдена критическая уязвимость, позволяющая провести атаку Бляйхенбахера.

К уязвимости приводит следующий фрагмент кода:
function encrypt_data($data)
{

function encrypt_data($data)
if (!openssl_public_encrypt($input,$encrypted,$key))

}

Использование функции openssl_public_encrypt без указания параметра padding приводит к тому, что используется значение по умолчанию — OPENSSL_PKCS1_PADDING. Известно, что этот padding является уязвимым, и с помощью атаки Бляйхенбахера злоумышленник может получить закрытый ключ. Обо всех обнаруженных уязвимостях эксперты НПО «Эшелон» известили разработчиков указанных проектов и бреши были ликвидированы.

«Возможность предупредить атаку Бляйхенбахера – это важнейшее событие в безопасной ИТ-сфере. Разумеется, гораздо эффективнее использовать мощное профилактическое средство AppChecker, чем пожинать столь горькие плоды этой страшнейшей атаки!» — прокомментировал волнующее известие профессор Алексей Сергеевич Марков.

Possibly Related Posts:


НПО «Эшелон» лидирует в рейтинге ФСТЭК России по выявлению уязвимостей!

Ваш отзыв

Испытательная лаборатория «НПО «Эшелон» является одной из ведущих в стране и успешно провела сертификационные испытания более тысячи изделий в интересах Минобороны России, ФСБ России и ФСТЭК России. Отличительной чертой испытательной лаборатории является профессиональное проведение аудита безопасности программного кода. Последние несколько лет по инициативе ФСТЭК России указанная процедура стала обязательной при проведении сертификации программных средств защиты информации.

Например, только за 2018 год специалистами ИЛ «НПО «Эшелон» было выявлено более сотни критических уязвимостей в различных программных продуктах. Специалисты компании выявляли уязвимости на основе разработанных в компании методов сигнатурно-эвристического анализа исходных текстов ПО, а также при проведении функционального тестирования, тестирования на проникновение и др. Информация об уязвимостях, выявленных в уже существующих решениях, передавалась (при согласовании с разработчиком программ) во ФСТЭК России в виде паспортов уязвимостей.

Наиболее результативными за 2018 год стали эксперты НПО «Эшелон»: Владислав Савченко, Андрей Полянский, Максим Мальцев и Александр Пургин. В нашей команде сейчас более 20 экспертов, которые регулярно выявляют критические уязвимости в программных продуктах и системах. Владислав Савченко в 2018 году занял лидирующую позицию в рейтинге исследователей, предоставивших сведения об уязвимостях программного обеспечения, который ведется на сайте ФСТЭК России.

С услугами компании по сертификации продукции и аудиту безопасности кода можно ознакомиться на сайте компании. В НПО «Эшелон» также разработан набор инструментальных средств для проверки кода и систем на уязвимости, с которыми можно ознакомиться, пройдя по ссылке: https://npo-echelon.ru/production/95/.

Possibly Related Posts:


Группа компаний «Эшелон» приглашает на InfoSecurity Russia 2018!

Ваш отзыв

21-23 ноября в конгрессно-выставочном центре «Сокольники» (павильон 4.1) пройдет одна из наиболее значимых выставок рынка информационной безопасности InfoSecurity Russia 2018, в которой группа компаний «Эшелон» традиционно примет самое активное участие.

На стенде D3.1 вас ждут встречи и консультации с нашими экспертами, а также демонстрации ведущих разработок.

Читать полностью »

Possibly Related Posts:

В открытом доступе опубликована книга по системной инженерии: Probabilistic Modeling in System Engineering. IntechOpen

Ваш отзыв

Сотрудники группы компаний «Эшелон» доктор технических наук, CISSP Алексей Марков и кандидаты технических наук CISSP/CISM Валентин Цирлов и CISSP/CISSLP Александр Барабанов приняли участие в подготовке международной монографии в области системной инженерии, приложений теории вероятности и математической статистики, в том числе информационной безопасности:

Probabilistic Modeling in System Engineering / Markov A., Tsirlov V., Barabanov A. and etc., by ed. A. Kostogryzov. – London: IntechOpen, 2018. 278 p.
Читать полностью »

Possibly Related Posts:

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

Ваш отзыв

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

В новой версии:

  • появилась возможность разнесения компонентов системы на отдельные узлы (лицензия Enterprise): коллектор, процессор, коррелятор и узел управления;
  • стала еще удобнее фильтрация событий информационной безопасности;
  • добавлены новые протоколы сбора событий: NetFlow v5/v7;
  • расширены возможности средств аналитики и визуализации данных: появилась функция редактирования диаграмм и создания на их основе шаблонов;
  • изменена схема лицензирования и теперь производительность системы определяется возможностями «железа», а не лицензионными ограничениями.

Программа лицензирования обновленной SIEM-системы КОМРАД предусматривает  три вида лицензий: Base, All-in-one и Enterprise. Лицензия Base подразумевает развертывание на одном узле и поддержку базовых протоколов сбора событий: syslog и ossec, в лицензии All-in-one широкий и постоянно пополняемый список протоколов сбора событий, а лицензия Enterprise позволяет разнести компоненты системы на отдельные узлы.

КОМРАД является самой доступной сертифицированной ФСТЭК России и Минобороны России SIEM-системой на российском рынке информационной безопасности.
Читать полностью »

Possibly Related Posts: