Обеспечение безопасности ПО Европейский опыт Российские Информационные Технологии

Зарегистрируйтесь, чтобы просмотреть полный документ!

Обеспечение безопасности ПО: Европейский опыт Российские Информационные Технологии ОАО «АРМАДА» © 1997 -2012

Основные заказчики ЗАО «АРМАДА СОФТ» Монитор безопасности - проект группы АРМАДА и SEC-Consult в сфере информационной безопасности Тесты на проникновение: - Технологические С использованием «человеческого фактора» Детальный аудит web и прочих приложений Внешний и внутренний аудит отдельных систем: - Vo. IP WLAN DMZ Backoffice-системы - Мобильные устройства Обеспечение безопасности при разработке ПО Безопасная интеграция систем Управление инцидентами Собственная лаборатория выявления уязвимостей Партнер АРМАДЫ – компания §Компания основана в 2002 году §Более 50 уникальных специалистов §Ведущая в Центральной Европе компания в сфере ИБ-консалтинга §Главный офис в Вене §Филиалы: Wiener Neustadt (Австрия), Вильнюс (Литва), Франкфурт (Германия) и Монреаль (Канада)

Основные заказчики ЗАО «АРМАДА стороны Безопасность ПО: взгляд со СОФТ» Современная ИТ организация средних размеров повседневно использует более 500 программных продуктов от 100 -200 поставщиков. В программных продуктах присутствуют различные дефекты, в том числе и связанные с безопасностью. От момента обнаружения и публикации информации об ошибке или уязвимости проходит от нескольких недель до года. Для своевременной защиты необходимо отслеживать обновления на 100 -200 сайтах поставщиков и вовремя их устанавливать. Производители знают НЕ О ВСЕХ присутствующих уязвимостях в их продукте, по этому злоумышленники могут использовать неизвестные ранее. Вопрос № 1 – достаточно ли внимания уделяют производители качеству защиты их продукции? Вопрос № 2 – какой подход для обеспечения безопасности ПО используется? Вопрос № 3 – Cистематичен ли процесс обеспечения качества защиты ПО? Вопрос № 4 – Какие методы выявления дефектов безопасности используются? Вопрос № 5 – Что при этом говорят конечному пользователю?

Клиент Разработчик Уязвимый продукт используется Ошибка не обнаруживается в процессе контроля качества Разработчик делает ошибку Нарушена доступность, целосность или конфиденциальн ость Уязвимый продукт принимается Уязвимый продукт передается клиенту Время Хакер обнаруживает уязвимость Атака Хакер разрабатывает средства использования уязвимости (эксплойт) Жизнь уязвимости Атакующий

Основные заказчики ЗАО «АРМАДА СОФТ» Современные меры по безопасности • • • Политика безопасности

Основные заказчики ЗАО «АРМАДА СОФТ» год) Безопасность ПО: пример № 1 (2010 Хакер Нео прославился на всю Латвию тем, что сначала скачал 120 гигабайтов информации (7, 4 млн. документов) через "дыру" в базе данных Службы госдоходов, а затем стал регулярно публиковать информацию об огромных зарплатах работников государственных и муниципальных учреждений и предприятий. Экс-глава Службы госдоходов Дзинтарс Яканс считает, что «дыру» , через которую утекли данные, преднамеренно оставило некое высокопоставленное должностное лицо. Дыра позволяла скачивать документы любому пользователю без авторизации, просто указав адрес и номер документа. Представители EDS (электронной системы декларирования данных) отрицают что «дыра» была оставлена намеренно. По последним данным, служба безопасности EDS просто забыла включить систему защиты. Как сообщила представитель прокуратуры Айга Шенберга, в действиях Нео отсутствует один из главных признаков преступления, предусмотренного ч. 3 ст. 241 Уголовного закона, - самовольный доступ к автоматизированной системе обработки данных с преодолением средств защиты системы. http: //www. kriminal. lv/news/krazha-dannyh-iz-sgd-sliv-provel-vysokopostavlennyi-chinovnik http: //www. mixnews. lv/ru/society/news/2010 -02 -17/36498 http: //ru. wikipedia. org/wiki/%D 0%9 F%D 0%BE%D 0%B 9%D 0%BA%D 0%B 0%D 0%BD%D 1%81, _%D 0%98%D 0%BB%D 0%BC%D 0%B 0%D 1%80

Основные заказчики ЗАО «АРМАДА СОФТ» год) Безопасность ПО: пример № 2 (2010 Портал «Электронные ворота власти» предназначен для доступа граждан Литовской республики ко ВСЕМ услугам электронной властей. Стоимость проекта ~1, 7 млн. евро Портал предоставляет централизованную аутентификацию и авторизацию при подключении к (почти) любой эл. гос услуге - около 400 разных эл. услуг Для аутентификации используются следующие механизмы: • Подключение через Онлайн банкинг • Электронная подпись • Мобильная подпись • Подключение с использованием «Карточки гражданина» Карточка гражданина – смарт карта: • Публичный сертификат, приватный и публичный ключи (2048 бит) • Публичный сертификат свободно считывается • Приватный ключ защищен от копирования на другие носители и для доступа нужен 8 символьный PIN код

Уязвимости в портале «Электронные ворота власти» Основные заказчики ЗАО «АРМАДА СОФТ» «Карточки гражданина» (2010 год. ) при использовании Аутентификация: • У пользователя запускается Java аплет, ответственный за коммуникацию с сервером ЭВВ • Для аутентификации надо сформировать и подписать пакет данных, вставив в считыватель «карточку гражданина» и введя PIN код. Уязвимости: • Пакет аутентификации подписывается Приватным ключем, который располагается. . . в Java аплете – т. е. приватный ключ, хранимый на карточке нигде не используется, а PIN код для него запрашивается «для вида» Т. е. атакующий, получив доступ к публичному сертификату пользователя (например - при заражении системы) может пользоватся личностью жертвы при доступе к гос. услугам. • Авторизация пользователя происходит не по данным из подписаного сертификата, а по данным из запроса (POST) – т. е. проверяется только валидность сертификата, и если он правильный, то авторизация происходит с использованием параметров из запроса ( Имя, дата рождения и т. д. ) Т. е. атакующий, пройдя аутентификацию и зная некоторые личные данные, может получить неограниченый доступ ко всем услугам и данным о любом гражданине Литвы.

Основные заказчики ЗАО «АРМАДА СОФТ» год) Безопасность ПО: пример № 3 (2011 Транспортный билет в одной Европейской стране Для проезда на публичном транспорте было решено использовать эл. билеты на базе RFID карточек. Цель нарушителя – бесплатный проезд. Безопасность решения: • Шифрование данных на карточке • Уникальные пары ключей на каждый блок карточки и разные для каждой каротчки • Защита от изменения данных на карточке (механизм подписи и проверки целосности данных) • Уникальные метки карточек (hardware id), которые нельзя поменять на оригинальной карте Вектор атаки: • Из-за недоработок в чипе, атакующий получает все ключи и возможность менять содержимое на карте (Mifare darkside атака) • Клонирование карточек не работает из-за уникальных меток (надо использовать специальные клон-карты, но тогда нужно организовать печать и полиграфию) • Данные на карте в закрытом формате и подписываются (разобратся в формате и механизме подписи данных слишком трудоемко) • Если скопировать содержимое пополненой карты, проехать на транспорте используя кредиты и восстановить данные карты из копии – проезд на транспорте становится бесплатным. Цель нарушителя достигнута.

Европейский опыт –ЗАО «АРМАДА СОФТ» Основные заказчики краш тест автоматизированных банковских систем В рамках исследования безопасности АБС, проведенного компанией Первая часть - опрос • Опросник из 50 вопросов по безопасности АБС • Предоставлен 8 крупным поставщикам АБС систем • Ответы предоставлены с участием ИБ специалистов поставщиков • Методология опроса базировалась на общеизвестных стандартах и лучших практик по ИБ Вторая часть – краш тест у поставщика Смена тактики – краш тест у • Клиентов Опрос показывает субъективную картинку - как • Ни один из поставщиков не себя видят поставщики согласился принять участие • • К этому поставщикам было По счастью, три предложено провести заинтересованных банка бесплатный «краш-тест» с решили предоставить обеспечением провести «краш возможность конфиденциальности, на самой тест» на их системах с актуальной версии новейшими установленными предлагаемого ими обновлениями рекомендуемыми ПО АБС • Методика теста – экспресс-тест на проникновение с использованием прав стандартного пользователя системы

Основные заказчики поставщики? СОФТ» Как себя видят ЗАО «АРМАДА 30+ лет без проблем безопасности. Крепкий и невзламываемый фундамент безопасности Очень развитый CMMi Level 4. Высокий Зрелый. Все поставщики позиционируют себя как достигших современного высокого уровня безопасности ПО. Это явное, последовательное обещание и обязательство рынку.

Основные заказчики ЗАО «АРМАДА (из 8) систем у Клиентов Результаты «краш-теста» 3 СОФТ» Каждая из 3 проверенных систем содержала уязвимости «высокого» или «критического» уровня Обнаруженные классы уязвимостей – выполнение произвольного кода, SQL инъекции, повышение привилегий, слабое шифрование, межсайтовый скриптинг и др. Последствия для бизнеса: • Неавторизованый доступ к информации • Утечка важной бизнес информации • Обход разделения прав пользователей • Риск потери или искажения информации • . . • Нарушение нормативных актов, таких как Basel II, SAS 70, ISO 27001 и национального законодательства

Основные заказчики ЗАО «АРМАДА СОФТ» Что можно учесть? Вопрос № 1 – достаточно ли внимания уделяют производители качеству защиты их продукции? Недостаточное качество уровня безопасности современного ПО является глобальной проблемой и требует систематического подхода для уменьшения риска. Вопрос № 2 – какой подход для обеспечения безопасности ПО используется? Поставщики ПО могут использовать разный подход к обеспечению безопасности своей продукции (от «все у нас ОК» до реальных действий). Вопрос № 3 – Систематичен ли процесс обеспечения качества защиты ПО? Зачастую процесс обеспечения качества защиты ПО не является интегрированным в общий процесс обеспечения качества или совсем отсутствует. Вопрос № 4 – Какие методы выявления дефектов безопасности используются? Опыт показывает, что производители нередко экономят на обеспечении качества безопасности и редко привлекают сторонних экспертов по безопасности или используют автоматические средства. Вопрос № 5 – Что при этом говорят конечному пользователю? Обычно поставщик позиционирует свой продукт как имеющий высокий уровень защиты, а заказчики зачастую не интересуются какие именно меры для достижения заявленного уровня безопасности применяет поставщик.

Основные заказчики ЗАО «АРМАДА СОФТ» Современные меры по безопасности • • • Политика безопасности Антивирус Firewall WEB application firewall IDS/IPS SIEM UTM Antispam Сканнер уязвимостей. . . Единственным эффективным средством оперативного обеспечения безопасности остается проведение регулярных аудитов информационных систем и инфраструктуры в ручном режиме с моделированием действий злоумышленников

Основные заказчики в ближайшем будущем? Что ожидается ЗАО «АРМАДА СОФТ» Вчера • Отрицание актуальности проблем ИБ • Декларативное их решение • Соответствие нормам «для галочки» Сегодня • Осознание актуальности проблем ИБ • Тестирование и проверка безопасности отдельных «важных» приложений, зачастую автоматическими средствами Завтра • Обеспечение ИБ – стандартный бизнес процесс • Систематическое управление безопасностью ПО с применением оптимального набора ручных и автоматических средств • Явное разделение ответсвенности за безопасность между поставщиками и заказчиками

Тел. +7(495)797 -60 -20 E-mail: it@armd. ru URL www. armd. ru Российские Информационные Технологии

Скачать презентацию Обеспечение безопасности ПО Европейский опыт Российские Информационные Технологии

ac56fb8b67c1e36f0e06396932e3269c.ppt

Количество слайдов: 17