S3R

После выпуска консолидированного отчета «Эшелон» по безопасности программного кода известная корпорация Microsoft подготовила на русском языке Отчет о развитии Microsoft SDL (The SDL Progress Report), описывающего борьбу компании за безопасность программного обеспечения.

Security Development Lifecycle (SDL) — это жизненный цикл создания безопасного ПО, фактически, СМК компании в области производства программных продуктов.

В Отчете отражены успехи Microsoft по снижению количества уязвимостей в ПО и по разработке методов и средств снижения риска реализации уязвимостей (в период 2004 — 2010 гг.) программной среды и приложений.
Кстати, некоторые сведения в Отчете основаны на данных по обнаружению уязвимостей, опубликованных в супостатской национальной базе данных уязвимостей (nvd.nist.gov).
Кроме исторических справок, в Отчете приведены некие тренды по степени критичности уязвимостей и степени сложности их реализаций (к слову, к самым критическим уязвимостям отнесены те, которые могут быть использованы и для компрометации персональных данных в ИСПДн, что актуально в свете ФЗ-152).
Также описаны важные процедуры SDL, касающиеся поиска уязвимостей ПО, технологий снижения риска эксплойтов и отслеживания тенденций угроз информационной безопасности.
Интерес представляет описания техник Microsoft по снижению рисков реализации уязвимостей ее продукции:

• предотвращение выполнения данных (Data Execution Prevention, DEP),
• защита от перезаписи обработчика структурных исключений (Structured Exception Handler Overwrite Protection, SEHOP),
• рандомизация размещения адресного пространства (Address space layout randomization, ASLR),
• дополнительная защита от реализации атаки переполнения буфера (/GS) и другие.

Предложены бесплатные утилиты, такие как:

• средство моделирования угроз SDL;
• шаблон SDL для Visual Studio ® Team System (Classic);
• бинарный анализатор Binscope SDL (проверка бинарных файлов на соответствие SDL);
• средство тестирования SDL Minifuzz File Fuzzer;
• упрощенная реализации Microsoft SDL;
• шаблон SDL MSF+Agile для Visual Studio Team System;
• средство тестирования регулярных выражений Regex.

Сам Отчет можно скачать по ссылкам:
— Microsoft SDL Progress Report (english)
— Отчет о развитии Microsoft SDL (по-русски)

                        .

Эксперты со всего света, проводящие аудит систем защиты, объединились, чтобы создать свод правил с целью повысить качество работы этичных хакеров, трудящихся на договорной основе.

Пентестеры со всего мира сообща разрабатывают Стандарт выполнения тестов на проникновение (Penetration Testing Execution Standard — PTES), чтобы снабдить клиентов эталоном, который определит качество испытаний, осуществляемых исследователями.

«Этичные» или «белые» хакеры ломают голову над задачей как выявить уязвимости и слабые места в системе защиты информации, которые могут быть использованы злоумышленниками.

По оценке Криса Никерсона, исследователя систем защиты из Денвера, возглавляющего процесс разработки стандарта, 80% пентестеров не выполняют даже простых испытаний, требуя, однако, высокое вознаграждение за свои услуги.

«Тесты на проникновение стали воронкой, высасывающей деньги из людей, и репутация самой индустрии скачет то вверх то вниз», – сообщил Никерсон, управляющий компанией Lares Consulting.

Испытателям следовало бы передавать доклад об уровне уязвимости системы клиенту, с тем, чтобы слабые места были устранены, но многие доклады на сегодняшний день чересчур упрощены, либо слишком запутаны.

Согласно Никерсону, некоторые худшие представители отрасли одновременно являются крупнейшими и самыми дорогими. Несмотря на то, что это может поправить бизнес небольших тестеров, разработчики стандарта все равно говорят, что это плохо сказывается на репутации отрасли в целом.

Более того, они говорят, что нет определённого четкого способа для клиентов отличить хорошего испытателя от плохого, и получается то, что Брюс Шнайер называет «информационной безопасностью со скрытыми дефектами».

Что касается самого стандарта, то PTES в марте перешел в альфа-стадию «понимания» (mind map) и в него вошло 1800 исправлений, выполненных с тех пор, как началось развитие стандарта в ноябре прошлого года.

«Каждый, кто вносит свой вклад в развитие стандарта, имеет опыт работы с испытаниями на проникновение более десяти лет», — сказал Никерсон, — «и развивает соответствующие компоненты экспертизы».

Релиз проекта должен состояться на конференции BlackHat в Австрии в этом году. Никерсон говорит, что презентация этого проекта в рамках данной конференции осуществляется в качестве первого испытания — с целью улучшения последующих переработок.

Также хотелось бы напомнить, что познакомиться с технологиями этичных хакеров можно в Учебном центре «Эшелон». Ближайшие занятия пройдут в мае.

Компания ЗАО «НПО «Эшелон» представляет Сводный отчёт по состоянию безопасности программного обеспечения в России и мире за минувший год.

Стоит заметить, что подобная аналитика — новинка для отечественной индустрии информационной безопасности. Большинство русскоязычных работ фокусируются на тематике, связанной с отдельными типами программных уязвимостей и  обзорами продуктов конкретных вендоров.

В сводном отчете компании «Эшелон»  безопасность программного обеспечения рассмотрена в первую очередь со стороны разработчика, а не потребителя, с точки зрения источников происхождения кода (страна, вендор, политика распространения), а также языка и платформы разработки.

Данная работа ставит своей целью объединить с одной стороны опыт работы крупнейших зарубежных аналитических подразделений (IBM X-Force, Secunia, Veracode) и практику отечественных испытательных лабораторий, также занимающихся исследованием ПО в области безопасности.

Документ доступен для свободного скачивания:

Скачать PDF (964 Кб)

Столкнулся с интересным восприятием коллег относительно курсов по персональным данным: многие считают, что такие курсы изначально скучны. Насколько я понимаю, в первую очередь такое восприятие было сформировано многочисленными ораторами от интеграторов, которые запугивают публику сложностью проблемы, для того чтобы выгоднее продать свои услуги. Также часть учебных центров подошла к вопросу обучения по персональным данным без особого энтузиазма: попросили своих штатных преподавателей по-быстрому изучить законодательство по персональным данным и сваять курс. Это привело к тому, что исключительно практическим вещам стали учить теоретики.

Мы (учебный центр «Эшелон») делаем все, чтобы сделать курсы по информационной безопасности (в том числе и по персональным данным) максимально практическими  (курсы читают только профессионалы-практики) и интересными. Так, например,  в качестве иллюстраций использования различных технических каналов утечки информации можно показывать слушателям некоторые ролики с Youtube. Ведь лучше один раз увидеть, чем несколько раз услышать.

Демонстрация японской системы для перехвата и декодирования побочных электромагнитных излучений и наводок

Создание параболического направленного микрофона из подручных средств

В общем, обучение по информационной безопасности и персональным данным может быть интересным и должно быть таким.

Наши курсы по персональным данным:

001. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. Курс согласован со ФСТЭК России.

007. Защита персональных данных в организации

008. Особенности защиты персональных данных в медицинских учреждениях