Российские Информационные Технологии ОАО «АРМАДА» © Обеспечение безопасности ПО: Европейский опыт

Основные заказчики ЗАО «АРМАДА СОФТ» Монитор безопасности - проект группы АРМАДА и SEC-Consult в сфере информационной безопасности Тесты на проникновение: -Технологические -С использованием «человеческого фактора» Детальный аудит web и прочих приложений Внешний и внутренний аудит отдельных систем: -VoIP -WLAN -DMZ -Backoffice-системы -Мобильные устройства Обеспечение безопасности при разработке ПО Безопасная интеграция систем Управление инцидентами Собственная лаборатория выявления уязвимостей Компания основана в 2002 году Более 50 уникальных специалистов Ведущая в Центральной Европе компания в сфере ИБ-консалтинга Главный офис в Вене Филиалы: Wiener Neustadt (Австрия), Вильнюс (Литва), Франкфурт (Германия) и Монреаль (Канада) Партнер АРМАДЫ – компания

Основные заказчики ЗАО «АРМАДА СОФТ» Безопасность ПО: взгляд со стороны Современная ИТ организация средних размеров повседневно использует более 500 программных продуктов от поставщиков. Для своевременной защиты необходимо отслеживать обновления на сайтах поставщиков и вовремя их устанавливать. От момента обнаружения и публикации информации об ошибке или уязвимости проходит от нескольких недель до года. В программных продуктах присутствуют различные дефекты, в том числе и связанные с безопасностью. Производители знают НЕ О ВСЕХ присутствующих уязвимостях в их продукте, по этому злоумышленники могут использовать неизвестные ранее. Вопрос 1 – достаточно ли внимания уделяют производители качеству защиты их продукции? Вопрос 2 – какой подход для обеспечения безопасности ПО используется? Вопрос 3 – Cистематичен ли процесс обеспечения качества защиты ПО? Вопрос 4 – Какие методы выявления дефектов безопасности используются? Вопрос 5 – Что при этом говорят конечному пользователю?

Время Разработчик делает ошибку Ошибка не обнаруживается в процессе контроля качества Уязвимый продукт передается клиенту Уязвимый продукт принимается Уязвимый продукт используется Нарушена доступность, целосность или конфиденциальн ость Хакер обнаруживает уязвимость Хакер разрабатывает средства использования уязвимости (эксплойт) Атака Разработчик Клиент Атакующий Жизнь уязвимости

Основные заказчики ЗАО «АРМАДА СОФТ» Современные меры по безопасности Политика безопасности Антивирус Firewall WEB application firewall IDS/IPS SIEM UTM Antispam Сканнер уязвимостей...

Основные заказчики ЗАО «АРМАДА СОФТ» Безопасность ПО: пример 1 (2010 год) Хакер Нео прославился на всю Латвию тем, что сначала скачал 120 гигабайтов информации (7,4 млн. документов) через "дыру" в базе данных Службы госдоходов, а затем стал регулярно публиковать информацию об огромных зарплатах работников государственных и муниципальных учреждений и предприятий. Экс-глава Службы госдоходов Дзинтарс Яканс считает, что «дыру», через которую утекли данные, преднамеренно оставило некое высокопоставленное должностное лицо Дыра позволяла скачивать документы любому пользователю без авторизации, просто указав адрес и номер документа. Представители EDS (электронной системы декларирования данных) отрицают что «дыра» была оставлена намеренно. По последним данным, служба безопасности EDS просто забыла включить систему защиты. Как сообщила представитель прокуратуры Айга Шенберга, в действиях Нео отсутствует один из главных признаков преступления, предусмотренного ч. 3 ст. 241 Уголовного закона, - самовольный доступ к автоматизированной системе обработки данных с преодолением средств защиты системы.

Основные заказчики ЗАО «АРМАДА СОФТ» Безопасность ПО: пример 2 (2010 год) Портал «Электронные ворота власти» предназначен для доступа граждан Литовской республики ко ВСЕМ услугам электронной властей. Стоимость проекта ~1,7 млн. евро Портал предоставляет централизованную аутентификацию и авторизацию при подключении к (почти) любой эл. гос услуге - около 400 разных эл. услуг Для аутентификации используются следующие механизмы: Подключение через Онлайн банкинг Электронная подпись Мобильная подпись Подключение с использованием «Карточки гражданина» Карточка гражданина – смарт карта: Публичный сертификат, приватный и публичный ключи (2048 бит) Публичный сертификат свободно считывается Приватный ключ защищен от копирования на другие носители и для доступа нужен 8 символьный PIN код

Основные заказчики ЗАО «АРМАДА СОФТ» Уязвимости в портале «Электронные ворота власти» при использовании «Карточки гражданина» (2010 год.) Аутентификация: У пользователя запускается Java аплет, ответственный за коммуникацию с сервером ЭВВ Для аутентификации надо сформировать и подписать пакет данных, вставив в считыватель «карточку гражданина» и введя PIN код. Уязвимости: Пакет аутентификации подписывается Приватным ключем, который располагается... в Java аплете – т.е. приватный ключ, хранимый на карточке нигде не используется, а PIN код для него запрашивается «для вида» Т.е. атакующий, получив доступ к публичному сертификату пользователя (например - при заражении системы) может пользоватся личностью жертвы при доступе к гос. услугам. Авторизация пользователя происходит не по данным из подписаного сертификата, а по данным из запроса (POST) – т.е. проверяется только валидность сертификата, и если он правильный, то авторизация происходит с использованием параметров из запроса ( Имя, дата рождения и т.д.) Т.е. атакующий, пройдя аутентификацию и зная некоторые личные данные, может получить неограниченый доступ ко всем услугам и данным о любом гражданине Литвы.

Основные заказчики ЗАО «АРМАДА СОФТ» Безопасность ПО: пример 3 (2011 год) Транспортный билет в одной Европейской стране Для проезда на публичном транспорте было решено использовать эл. билеты на базе RFID карточек. Цель нарушителя – бесплатный проезд. Безопасность решения: Шифрование данных на карточке Уникальные пары ключей на каждый блок карточки и разные для каждой каротчки Защита от изменения данных на карточке (механизм подписи и проверки целосности данных) Уникальные метки карточек (hardware id), которые нельзя поменять на оригинальной карте Вектор атаки: Из-за недоработок в чипе, атакующий получает все ключи и возможность менять содержимое на карте (Mifare darkside атака) Клонирование карточек не работает из-за уникальных меток (надо использовать специальные клон-карты, но тогда нужно организовать печать и полиграфию) Данные на карте в закрытом формате и подписываются (разобратся в формате и механизме подписи данных слишком трудоемко) Если скопировать содержимое пополненой карты, проехать на транспорте используя кредиты и восстановить данные карты из копии – проезд на транспорте становится бесплатным. Цель нарушителя достигнута.

Опрос показывает субъективную картинку - как себя видят поставщики По этому поставщикам было предложено провести бесплатный «краш-тест» с обеспечением конфиденциальности, на самой актуальной версии предлагаемого ими ПО АБС В рамках исследования безопасности АБС, проведенного компанией Основные заказчики ЗАО «АРМАДА СОФТ» Европейский опыт – краш тест автоматизированных банковских систем Первая часть - опрос Опросник из 50 вопросов по безопасности АБС Предоставлен 8 крупным поставщикам АБС систем Ответы предоставлены с участием ИБ специалистов поставщиков Методология опроса базировалась на общеизвестных стандартах и лучших практик по ИБ Вторая часть – краш тест у поставщика Смена тактики – краш тест у Клиентов Ни один из поставщиков не согласился принять участие К счастью, три заинтересованных банка решили предоставить возможность провести «краш тест» на их системах с установленными новейшими рекомендуемыми обновлениями Методика теста – экспресс-тест на проникновение с использованием прав стандартного пользователя системы

Основные заказчики ЗАО «АРМАДА СОФТ» Как себя видят поставщики? Очень развитый Зрелый. CMMi Level 4. Крепкий и невзламываемый фундамент безопасности Высокий Зрелый. Все поставщики позиционируют себя как достигших современного высокого уровня безопасности ПО. Это явное, последовательное обещание и обязательство рынку. 30+ лет без проблем безопасности.

Основные заказчики ЗАО «АРМАДА СОФТ» Результаты «краш-теста» 3 (из 8) систем у Клиентов Каждая из 3 проверенных систем содержала уязвимости «высокого» или «критического» уровня Обнаруженные классы уязвимостей – выполнение произвольного кода, SQL инъекции, повышение привилегий, слабое шифрование, межсайтовый скриптинг и др. Последствия для бизнеса: Неавторизованый доступ к информации Утечка важной бизнес информации Обход разделения прав пользователей Риск потери или искажения информации.... Нарушение нормативных актов, таких как Basel II, SAS70, ISO и национального законодательства

Основные заказчики ЗАО «АРМАДА СОФТ» Как себя видят поставщики? Очень развитый Зрелый. CMMi Level 4. Крепкий и невзламываемый фундамент безопасности Высокий Зрелый. 30+ лет без проблем безопасности.

Основные заказчики ЗАО «АРМАДА СОФТ» Что можно учесть? Вопрос 1 – достаточно ли внимания уделяют производители качеству защиты их продукции? Недостаточное качество уровня безопасности современного ПО является глобальной проблемой и требует систематического подхода для уменьшения риска. Вопрос 2 – какой подход для обеспечения безопасности ПО используется? Поставщики ПО могут использовать разный подход к обеспечению безопасности своей продукции (от «все у нас ОК» до реальных действий). Вопрос 3 – Систематичен ли процесс обеспечения качества защиты ПО? Зачастую процесс обеспечения качества защиты ПО не является интегрированным в общий процесс обеспечения качества или совсем отсутствует. Вопрос 4 – Какие методы выявления дефектов безопасности используются? Опыт показывает, что производители нередко экономят на обеспечении качества безопасности и редко привлекают сторонних экспертов по безопасности или используют автоматические средства. Вопрос 5 – Что при этом говорят конечному пользователю? Обычно поставщик позиционирует свой продукт как имеющий высокий уровень защиты, а заказчики зачастую не интересуются какие именно меры для достижения заявленного уровня безопасности применяет поставщик.

Основные заказчики ЗАО «АРМАДА СОФТ» Современные меры по безопасности Политика безопасности Антивирус Firewall WEB application firewall IDS/IPS SIEM UTM Antispam Сканнер уязвимостей... Единственным эффективным средством оперативного обеспечения безопасности остается проведение регулярных аудитов информационных систем и инфраструктуры в ручном режиме с моделированием действий злоумышленников

Осознание актуальности проблем ИБ Тестирование и проверка безопасности отдельных «важных» приложений, зачастую автоматическими средствами Основные заказчики ЗАО «АРМАДА СОФТ» Что ожидается в ближайшем будущем? Отрицание актуальности проблем ИБ Декларативное их решение Соответствие нормам «для галочки» Вчера СегодняЗавтра Обеспечение ИБ – стандартный бизнес процесс Систематическое управление безопасностью ПО с применением оптимального набора ручных и автоматических средств Явное разделение ответсвенности за безопасность между поставщиками и заказчиками

Российские Информационные Технологии ОАО «АРМАДА» © Тел. +7(495) URL