Что, Как и Почему Иван Медведев Senior Development Lead Microsoft

Проблемы безопасности SDL: безопасность изнутри SDL для экосистемы

Персональные данные (номера кред. карт, банковских счетов) становятся «продуктом» и продаются Эра интернета Черви Мотивация: «сломать» Цели: ПК, серверы1995–2003 Атаки на ОС, БД Спам, шпионы (spyware) Мотивация: $ Цели: ПК2004+ Атаки в сети (Web) Социальная инженерия Мотивация: $$$$ Цель: персональные данные2006+ Sources: U.S. Government Accountability Office (GAO), FBI

Две строчки кода в RPCSS: while (*pwszTemp != L'\\') *pwszServerName++ = *pwszTemp++; Привели к >1,500,000 инфицированных компьютеров 3,370,000 звонков в службу поддержки in Sep03 (как правило вирус генерирует около 350,000) Множество негативных комментариев в прессе: This [is] going to raise the level of frustration to the point where a lot of organizations will seriously contemplate alternatives to Microsoft Gartner "There's definitely caution warranted here. [Microsoft's security] efforts were sincere, but I am not sure if they were sincere enough." Forrester Der Spiegel

~60% в Веб-приложениях Только ~14% в приложениях пятерки самых больших компаний Источник: IBM X-Force 2007 Security Report Операционные системы Приложения Источник: Microsoft Security Intelligence Report 2007

/location= document.images[4].src= "

ОбучениеОбучение Централизи- рованное обучение Подготовка требований Анализ рисков в безопасности и приватности Установка стандартов качества ДизайнДизайн Моделирова- ние угроз Анализ поверхности атаки РазработкаРазработка Выбор средств разработки Неиспользова- ние запрещенных функций Статический анализ ПроверкаПроверка Динамическое тестирование, фаззинг Проверка поверхности атаки и соответствия модели угроз ВыпускВыпуск План реагирования Финальный обзор безопасности Архивирование ПоддержкаПоддержка Быстрое реагирование Поддерживаемый руководством, SDL обязателен в Microsoft c 2004 года. Технологии и процессы ОбразованиеОтветственность Постоянные улучшения, новая публикация каждые 6 месяцев

Много принципов, на которых можно фокусироваться: Наименьших привилегий (least privilege) Глубинной защиты (defense in depth) Наиболее эффективные подходы: Уменьшение поверхности атаки (меньшая часть системы открыта для непроверенных пользователей) Моделирование угроз (анализ системы с целью идентификации угроз и способов защиты)

Поверхность атаки Набор интерфейсов, или точек входа, системы Минимизация поверхности атаки Определение и изучение поверхности атаки Уменьшение ее до минимального функционального состояния Процесс Перечислить все интерфейсы, протоколы и точки входа Рассмотреть каждую точку входу, какую функциональность она открывает и для кого Если функциональность не является необходимостью – закрыть эту точку входа по-умолчанию

Безопасные системы начинаются с понимания угроз Угрозы – это не обязательно уязвимости Угрозы существуют всегда Угрозы – цели атак на систему Угроза Защищаемая часть Защита/ смягчение Уязвимость

Семинар о Моделировании Угроз завтра в 11:00, зал «А»

Традиционные ошибки Случайная, недокументированная или неизвестная функциональность Слабая аутент. Неадекватная защита П/Б в аутент. «Дополнительная» функциональность Нет аутентиф. Отсутствие защиты Задуманная функциональность Реальная функциональность

Методичное использование деформированных данных для поиска уязвимостей Основные характеристики фаззинга Методичность Случайные значения Поиск уязвимостей и нестабильностей, ничего другого Большое количество тестов, каждый из которых незначителен сам по себе Ожидаемый результат: приложение продолжает работать Не является одним из подходов в типичном тестировании Термин впервые использовал Bart Miller в 1990г. в An Empirical Study of the Reliability of UNIX Utilities, by Miller, Fredriksen, and So Фаззинг – это стрельба из пушки по воробъям, но иногда пушки – самый эффективный способ!

Ищите границы, на которых меняются или проверяются привилегии SYSTEM Admin: Full Control Everyone: Read Everyone: Write

Why try to chase a difficult overflow out of Vista when you have Acrobat Reader installed, some antivirus software with shoddy file parsing, and the latest iTunes? Halvar Flake Security Researcher Microsoft BlueHat Conference September 2007 Источник: IBM X-Force 2007, 2008 Security Report #1 #3

Source: Analysis by Jeff Jones (Microsoft technet security blog) До SDL После SDL 91% меньше уязвимостей Количество уязвимостей в первые 36 месяцев

Source: Windows Vista One Year Vulnerability Report, Microsoft Security Blog 23 Jan 2008 До SDL После SDL 45% меньше уязвимостей Количество уязвимостей, 1 год после выпуска

Microsoft has significantly improved the security of its shipping products since the adoption of its security development life cycle. The first OS product to ship since Microsoft adopted its SDL was Windows Server 2003 (with IIS 6). Windows 2003 has had sufficient operational testing to be suitable for security-critical applications Neil McDonald Group Vice President and Research Director Gartner, Inc (From Gartner Symposium May 2005)

TwC memo SDL mandatory for all packaged SW with meaningful risk Privacy requirements Privacy requirements Online services requirements Online services requirements Security push for major products Microsoft SDL whitepaper SDL book Privacy guidelines SDL process guidance SDL Optimization model SDL Optimization model SDL Pro network SDL Pro network SDL threat modeling tool SDL threat modeling tool SDL for the ecosystem SDL v.2 SDL v.3, v.4 SDL v.1

Источник: Gartner 2007 Цель: внедрить безопасность и приватность в процесс разработки Уменьшает риск пользователей, улучшает лояльность Уменьшает затраты: дешевле и легче управлять обновлениями Уменьшает стоимость разработки: разрешение проблемы во время дизайна в 30 раз дешевле, чем после выпуска (ист. NIST) Release

ТехнологииТехнологии ДокументацияДокументация Партнерства в индустрии Модель оптимизации SDL Позволить организациям-разработчикам вне Microsoft разрабатывать более безопасные приложения, используя технологии SDL, документацию и партнерства в индустрии, как часть миссии Microsoft по развитию экосистемы защищенных информационных систем. 4й квартал 2008 Сеть «SDL Pro» П/О для моделирования угроз

Модель, позволяющая постепенное, целостное и рентабельное введение SDL в организациях- разработчиках вне Microsoft Базируется на моделях оптимизации инфраструктуры (Microsoft Core IO, BPIO, APO) Цели: Позволить пользователям оценить текущее состояние и создать план по введению SDL Предоставить членам сети SDL Pro стандартный инструментарий для предоставления услуг по SDL

Безопасность активна Риск известен Безопасность встроена Риск контролируем Безопасность специали- зирована Риск минимизирован Безопасность реактивна Риск неопределен Базовая Стандартная Продвинутая Динамичная

Цель: сеть поставщиков услуг для направления и поддержки организаций-разработчиков во внедрении SDL Пилотная программа на первый год включает 9 специализированных поставщиков Включает контроль качества, полноты и удовлетворения клиентов Члены сети через обратную связь предоставляют Microsoft информацию, позволяющую улучшить программу и процессы В будущем программа будет расширяться

Моделирование угроз – один из основных элементов Microsoft SDL Основное нововведение: превратить моделирование угроз из процесса, требующего эксперта в процесс, доступный неспециализированному архитектору Основные возможности: Подсказки во время постоения диаграмм Направляемый анализ угроз и смягчений Интеграция с системами отслеживания ошибок Развитая система отчетов

Семинар о Моделировании Угроз (включая демонстрацию программного средства) завтра в 11:00, зал «А»

SDL вводит безопасность во все фазы разработки Минимизация поверхности атаки и моделирование угроз – часть безопасного дизайна Тестирование безопасность (например, фаззинг) – важная часть фазы проверки SDL дает ощутимые результаты Модель оптимизации SDL поможет внедрить процессы SDL Сеть SDL Pro (пилотная программа) предоставит услуги по SDL

Библиотека MSDN Веб-сайт MSDN MSDN WiKiФорумы Семинары для разработчиков Журнал MSDN Веб-касты Блоги С 28 Октября 2008 года Русская Версия VisualStudio2008.ru

© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Windows RPC c аутентификацией Firewall включен по умолчанию IIS6 Выключен по умолчанию Network service по умолчанию Статические файлы по умолчанию SQL Server 2005 xp_cmdshell выключена CLR и COM отключены Network service Visual Studio 2005 Web-сервер недоступен по сети SQL Server Express недоступен по сети

Программные средства и инструменты – ключевой момент Начните с определения точек входа Сетевые порты и протоколы Файлы и их типы Отсортируйте по уровням привилегий Аноним, пользователь, администраторэ Удаленный или локальный доступ