Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ? Вареница Виталий, Заместитель директора департамента тестирования и сертификации. - презентация

1 Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ? Вареница Виталий, Заместитель директора департамента тестирования и сертификации

2 Что есть? Руководящий документ «Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия, 1999 ) 2

3 Что должны искать? Недекларированные возможности - функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. 3

4 Что должны искать? Программные закладки – преднамеренно внесенные в ПО функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации. 4

5 Что предписывает РД 5

6 Что ищут за пределами РФ Уязвимость - дефект ПО, возникший на этапе его проектирования, реализации или эксплуатации и потенциально способный привести к нарушению конфиденциальности, целостности или доступности обрабатываемой с его помощью информации. 6

7 Классификация уязвимостей ПО Позволяющие реализовать сбор или хищение данных. Позволяющие реализовать перехват сетевой информации. Позволяющие реализовать перехват потоков данных (например, с консоли ввода пользователя). Позволяющие превысить полномочия при доступе к информации, хранящейся в базе данных. Позволяющие реализовать сокрытие информации. Обеспечивающие выполнение скрытых процессов. Позволяющие реализовать сокрытие данных.

8 Классификация уязвимостей ПО (2) Позволяющие реализовать скрытые каналы передачи информации. Позволяющие реализовать управляющее воздействие на информационную систему. Позволяющие реализовать удалённое управление программной системой. Позволяющие реализовать нарушение доступности удалённой системы.

9 Подходы к выявлению уязвимостей ПО: зарубежный опыт (IBM, Fortify, OWASP, CWE) OWASP Top Ten 10 самых больших угроз для веб-приложений Fortify Seven Pernicious Kingdoms 7 разрушительных "царств" компании Fortify MITRE Common Weaknesses Enumeration всесторонняя классификация изъянов ПО

10 Десятка OWASP (OWASP Top Ten) A1 – Межсайтовый скриптинг (Cross Site Scripting, XSS) A2 – Изъяны при внедрении (Injection Flaws) A3 – Злонамеренный запуск файла (Malicious File Execution) A4 – Небезопасная прямая ссылка на объект (Insecure Direct Object Reference) A5 – Подделка HTTP-запросов (Cross Site Request Forgery, CSRF) A6 – Утечка информации и неправильная обработка ошибок (Information Leakage and Improper Error Handling) A7 – Нарушенная аутентификация и управление сессиями (Broken Authentication and Session Management) A8 – Небезопасное криптографическое хранилище (Insecure Cryptographic Storage) A9 – Небезопасные коммуникации (Insecure Communications) A10 – Ошибка в запрете доступа к URL (Failure to Restrict URL Access)

11 7 разрушительных царств (Fortify Seven Pernicious Kingdoms) 1.Валидация ввода и представление 2.Эксплуатация API 3.Механизмы безопасности 4.Время и Состояние 5.Обработка ошибок 6.Качество кода 7.Инкапсуляция *Окружение

12 Common Weakness Enumeration метаязык для описания всех недостатков ПО, схем защиты и атаки Структура типа «дерево» Категории Элементы Составные элементы Сгруппировано по «отображениям» Research View Development View C/C++ Developer View Java Developer View …

13 Уязвимости и изъяны CVE (Common Vulnerability Enumeration) CWE - Common Weakness Enumeration

14

15 АК-ВС Анализатор кода вычислительных систем (АК-ВС), структура:

16 АК-ВС поддерживает работу с языками С, С++ С# Java Построение отчетов АК-ВС Списка функциональных объектов Списка информационных объектов Списка висячих функциональных объектов Связей ФО по управлению и по информации Построение трасс вызовов (ф-ф, ф-в, в-в) Построение графов вызовов Построение блок-схем Ведение протокола вставки датчиков АК-ВС

17 Сигнатурный модуль базируется на CWE База сигнатур для поиска программных закладок и уязвимостей включает конструкции способные привести к: переполнению буфера; обращениям к файловой системе; манипулированию именами; уязвимости для троянских атак; вводу пароля; возможному превышению полномочий; уязвимости для DOS-атак; низкоуровневой работе с дисками и файловой системой; скрытым каналам передачи информации. АК-ВС

18 АК-ВС позволяет отслеживать: ассемблерные вставки; операции с датой/временем; сетевое взаимодействие; отладочную информацию; работу с временными характеристиками; параметры командной строки; операции с параметрами безопасности среды; скрытые сообщения; точки ввода/вывода данных; операции, связанные с обработкой прерываний; обращение к криптографическим примитивам; вызов внешних процедур; обращение к файловым системам. АК-ВС

19 Сигнатурный модуль АК-ВС Ориентирован на выявление потенциально опасных конструкций в коде, которые могут привести к нарушению безопасности системы Поддерживается международными объединениями (ОWASP) Поддерживает международный стандарт (MITRE – CWE) Все выявленные НДВ, программные закладки, ошибки проектирования и некорректности кодирования, влияющие на безопасность, были выявлены с помощью сигнатурного метода АК-ВС

20 АК-ВС может применяться: Для сертификационных испытаний на отсутствие НДВ При проведении аудита кода по требованиям безопасности При разработке программного обеспечения АК-ВС

21 АК-ВС имеет сертификаты МО РФ и ФСТЭК России АК-ВС

22 КУРС ОБУЧАЮЩИЙ РАБОТЕ С АК-ВС

23 Вареница Виталий Заместитель директора департамента тестирования и сертификации ЗАО НПОЭшелон Тел.: +7(495)