Forwarded from Листок бюрократической защиты информации
🔔 Рекомендации для операторов персональных данных от Сбера
Сбер опубликовал подборку рекомендаций для операторов персональных данных, которые могут быть полезны при создании системы обработки и защиты персональных данных.
Подборка включает в себя ряд тематик:
⬇️ Создание системы организации обработки персональных данных.
⬇️ Создание системы защиты персональных данных.
⬇️ Организация трансграничной передачи персональных данных.
⬇️ Обработка и защите персональных данных при использовании облачных сервисов.
⬇️ Управление правовыми основаниями обработки персональных данных.
⬇️ Передача информации об инцидентах с персональными данными.
Сбер опубликовал подборку рекомендаций для операторов персональных данных, которые могут быть полезны при создании системы обработки и защиты персональных данных.
Подборка включает в себя ряд тематик:
Please open Telegram to view this post
VIEW IN TELEGRAM
"NIST requests comments on the initial public drafts of three Federal Information Processing Standards (FIPS):
FIPS 203, Module-Lattice-Based Key-Encapsulation Mechanism Standard
FIPS 204, Module-Lattice-Based Digital Signature Standard
FIPS 205, Stateless Hash-Based Digital Signature Standard
These proposed standards specify key establishment and digital signature schemes that are designed to resist future attacks by quantum computers, which threaten the security of current standards. The three algorithms specified in these standards are each derived from different submissions to the NIST Post-Quantum Cryptography Standardization Project. "
https://csrc.nist.gov/pubs/fips/203/ipd
FIPS 203, Module-Lattice-Based Key-Encapsulation Mechanism Standard
FIPS 204, Module-Lattice-Based Digital Signature Standard
FIPS 205, Stateless Hash-Based Digital Signature Standard
These proposed standards specify key establishment and digital signature schemes that are designed to resist future attacks by quantum computers, which threaten the security of current standards. The three algorithms specified in these standards are each derived from different submissions to the NIST Post-Quantum Cryptography Standardization Project. "
https://csrc.nist.gov/pubs/fips/203/ipd
CSRC | NIST
Federal Information Processing Standard (FIPS) 203 (Draft), Module-Lattice-Based Key-Encapsulation Mechanism Standard
A key-encapsulation mechanism (or KEM) is a set of algorithms that, under certain conditions, can be used by two parties to establish a shared secret key over a public channel. A shared secret key that is securely established using a KEM can then be used…
Риски использования паролей по мнению Позитива и статистика найденных уязвимостей на Хакероне #offzone
👎2
Подходы Авито к дедупликации результатов разных сканеров безопасности в рамках SSDLC. #offzone
Относительная новелла Российской нормативки анализа безопасности кода (taint analyze).
Forwarded from SB
Всех приветствую!
В очередной раз выполняли не частый, но , несомненно, важный вид анализа - анализ помеченных данных. Анализ помеченных данных требуется на 2УД и выше. Обнаружили утечку чувствительных данных. Сценарий предполагал ввод чувствительной информации через оконное приложение для получения повышенных привилегий. Среда функционирования объекта оценки для испытаний ОС Ubuntu. Анализ проводили с помощью инструмента динамического анализа Блесна (далее Блесна) , среда функционирования - виртуальная машина ОС Ubuntu (2 одноядерных процессора, 12 ГБ оперативной памяти). Результат ниже.
Данный вид анализа предполагает:
1. Определение и запись сценария работы с использованием эмулятора QEMU с фичами от ИСП РАН (далее QEMU).
2. Воспроизведение записанного сценария и запись полносистемной ассемблерной трассы с использованием QEMU.
3. Формирование модели функций для поиска утечек чувствительной информации.
4. Анализ полносистемной ассемблерной трассы с использованием инструмента Блесна с указанием модели функций.
Временные затраты:
На запись сценария и полносистемной трассы было затрачено 8 часов. В зависимости от задачи времени может понадобиться больше, если , например, средой функционирования ОО будет являться ОС Windows, или меньше, если это UEFI. Впрочем, многое зависит от характеристик машины, на которой проводится запись и съем трассы, и, в частности, от числа и "тяжести" запущенных в виртуальной машине процессов.
Самым затратным по времени всегда получается корректное формирование модели функций, чтобы правильно указать точку истока, где ожидается появление чувствительной информации, и точку стока, где ее уже не должно быть. Другими словами, буфер, в котором передавалась/хранилась чувствительная информация, должен быть очищенным или перезаписан специальной последовательностью байт после окончания работы с ним. На эту активность затрачено 12 часов рабочего времени. Это всё удалось благодаря активной помощи Разработчика, который в соответствии с требованиями Методики обязан помогать с предоставлением описания задействованных в сценарии функций и необходимой отладочной информации. Чем больше опыт и чем качественней поддержка от Разработчика, тем быстрее выполняется данная операция.
На анализ полносистемной трассы инструментом Блесна затрачено 5 часов, 1 час на поиск утечек и восстановление буфера и 1 час на анализ результатов.
Как и ранее, обнаружение не очищаемого пароля было сюрпризом для Разработчика, ранее уже проходившего сертификацию с данным продуктом, что способствовало росту интереса к инструменту и методике в целом.
@bootsmanGangreen
В очередной раз выполняли не частый, но , несомненно, важный вид анализа - анализ помеченных данных. Анализ помеченных данных требуется на 2УД и выше. Обнаружили утечку чувствительных данных. Сценарий предполагал ввод чувствительной информации через оконное приложение для получения повышенных привилегий. Среда функционирования объекта оценки для испытаний ОС Ubuntu. Анализ проводили с помощью инструмента динамического анализа Блесна (далее Блесна) , среда функционирования - виртуальная машина ОС Ubuntu (2 одноядерных процессора, 12 ГБ оперативной памяти). Результат ниже.
Данный вид анализа предполагает:
1. Определение и запись сценария работы с использованием эмулятора QEMU с фичами от ИСП РАН (далее QEMU).
2. Воспроизведение записанного сценария и запись полносистемной ассемблерной трассы с использованием QEMU.
3. Формирование модели функций для поиска утечек чувствительной информации.
4. Анализ полносистемной ассемблерной трассы с использованием инструмента Блесна с указанием модели функций.
Временные затраты:
На запись сценария и полносистемной трассы было затрачено 8 часов. В зависимости от задачи времени может понадобиться больше, если , например, средой функционирования ОО будет являться ОС Windows, или меньше, если это UEFI. Впрочем, многое зависит от характеристик машины, на которой проводится запись и съем трассы, и, в частности, от числа и "тяжести" запущенных в виртуальной машине процессов.
Самым затратным по времени всегда получается корректное формирование модели функций, чтобы правильно указать точку истока, где ожидается появление чувствительной информации, и точку стока, где ее уже не должно быть. Другими словами, буфер, в котором передавалась/хранилась чувствительная информация, должен быть очищенным или перезаписан специальной последовательностью байт после окончания работы с ним. На эту активность затрачено 12 часов рабочего времени. Это всё удалось благодаря активной помощи Разработчика, который в соответствии с требованиями Методики обязан помогать с предоставлением описания задействованных в сценарии функций и необходимой отладочной информации. Чем больше опыт и чем качественней поддержка от Разработчика, тем быстрее выполняется данная операция.
На анализ полносистемной трассы инструментом Блесна затрачено 5 часов, 1 час на поиск утечек и восстановление буфера и 1 час на анализ результатов.
Как и ранее, обнаружение не очищаемого пароля было сюрпризом для Разработчика, ранее уже проходившего сертификацию с данным продуктом, что способствовало росту интереса к инструменту и методике в целом.
@bootsmanGangreen
www.ispras.ru
Блесна: инструмент динамического анализа помеченных данных
Собственные технологии ИСП РАН и технологии на основе свободного ПО.