Подходы Авито к дедупликации результатов разных сканеров безопасности в рамках SSDLC. #offzone
Относительная новелла Российской нормативки анализа безопасности кода (taint analyze).
Forwarded from SB
Всех приветствую!
В очередной раз выполняли не частый, но , несомненно, важный вид анализа - анализ помеченных данных. Анализ помеченных данных требуется на 2УД и выше. Обнаружили утечку чувствительных данных. Сценарий предполагал ввод чувствительной информации через оконное приложение для получения повышенных привилегий. Среда функционирования объекта оценки для испытаний ОС Ubuntu. Анализ проводили с помощью инструмента динамического анализа Блесна (далее Блесна) , среда функционирования - виртуальная машина ОС Ubuntu (2 одноядерных процессора, 12 ГБ оперативной памяти). Результат ниже.
Данный вид анализа предполагает:
1. Определение и запись сценария работы с использованием эмулятора QEMU с фичами от ИСП РАН (далее QEMU).
2. Воспроизведение записанного сценария и запись полносистемной ассемблерной трассы с использованием QEMU.
3. Формирование модели функций для поиска утечек чувствительной информации.
4. Анализ полносистемной ассемблерной трассы с использованием инструмента Блесна с указанием модели функций.
Временные затраты:
На запись сценария и полносистемной трассы было затрачено 8 часов. В зависимости от задачи времени может понадобиться больше, если , например, средой функционирования ОО будет являться ОС Windows, или меньше, если это UEFI. Впрочем, многое зависит от характеристик машины, на которой проводится запись и съем трассы, и, в частности, от числа и "тяжести" запущенных в виртуальной машине процессов.
Самым затратным по времени всегда получается корректное формирование модели функций, чтобы правильно указать точку истока, где ожидается появление чувствительной информации, и точку стока, где ее уже не должно быть. Другими словами, буфер, в котором передавалась/хранилась чувствительная информация, должен быть очищенным или перезаписан специальной последовательностью байт после окончания работы с ним. На эту активность затрачено 12 часов рабочего времени. Это всё удалось благодаря активной помощи Разработчика, который в соответствии с требованиями Методики обязан помогать с предоставлением описания задействованных в сценарии функций и необходимой отладочной информации. Чем больше опыт и чем качественней поддержка от Разработчика, тем быстрее выполняется данная операция.
На анализ полносистемной трассы инструментом Блесна затрачено 5 часов, 1 час на поиск утечек и восстановление буфера и 1 час на анализ результатов.
Как и ранее, обнаружение не очищаемого пароля было сюрпризом для Разработчика, ранее уже проходившего сертификацию с данным продуктом, что способствовало росту интереса к инструменту и методике в целом.
@bootsmanGangreen
В очередной раз выполняли не частый, но , несомненно, важный вид анализа - анализ помеченных данных. Анализ помеченных данных требуется на 2УД и выше. Обнаружили утечку чувствительных данных. Сценарий предполагал ввод чувствительной информации через оконное приложение для получения повышенных привилегий. Среда функционирования объекта оценки для испытаний ОС Ubuntu. Анализ проводили с помощью инструмента динамического анализа Блесна (далее Блесна) , среда функционирования - виртуальная машина ОС Ubuntu (2 одноядерных процессора, 12 ГБ оперативной памяти). Результат ниже.
Данный вид анализа предполагает:
1. Определение и запись сценария работы с использованием эмулятора QEMU с фичами от ИСП РАН (далее QEMU).
2. Воспроизведение записанного сценария и запись полносистемной ассемблерной трассы с использованием QEMU.
3. Формирование модели функций для поиска утечек чувствительной информации.
4. Анализ полносистемной ассемблерной трассы с использованием инструмента Блесна с указанием модели функций.
Временные затраты:
На запись сценария и полносистемной трассы было затрачено 8 часов. В зависимости от задачи времени может понадобиться больше, если , например, средой функционирования ОО будет являться ОС Windows, или меньше, если это UEFI. Впрочем, многое зависит от характеристик машины, на которой проводится запись и съем трассы, и, в частности, от числа и "тяжести" запущенных в виртуальной машине процессов.
Самым затратным по времени всегда получается корректное формирование модели функций, чтобы правильно указать точку истока, где ожидается появление чувствительной информации, и точку стока, где ее уже не должно быть. Другими словами, буфер, в котором передавалась/хранилась чувствительная информация, должен быть очищенным или перезаписан специальной последовательностью байт после окончания работы с ним. На эту активность затрачено 12 часов рабочего времени. Это всё удалось благодаря активной помощи Разработчика, который в соответствии с требованиями Методики обязан помогать с предоставлением описания задействованных в сценарии функций и необходимой отладочной информации. Чем больше опыт и чем качественней поддержка от Разработчика, тем быстрее выполняется данная операция.
На анализ полносистемной трассы инструментом Блесна затрачено 5 часов, 1 час на поиск утечек и восстановление буфера и 1 час на анализ результатов.
Как и ранее, обнаружение не очищаемого пароля было сюрпризом для Разработчика, ранее уже проходившего сертификацию с данным продуктом, что способствовало росту интереса к инструменту и методике в целом.
@bootsmanGangreen
www.ispras.ru
Блесна: инструмент динамического анализа помеченных данных
Собственные технологии ИСП РАН и технологии на основе свободного ПО.
"NIST’s National Cybersecurity Center of Excellence (NCCoE) has released the third version of volume D of a preliminary draft practice guide noscriptd “Implementing a Zero Trust Architecture” (ZTA) and is seeking the public’s comments on its contents."
https://www.nccoe.nist.gov/news-insights/zero-trust-architecture-zta-team-releases-preliminary-draft-practice-guide-vol-d
https://www.nccoe.nist.gov/news-insights/zero-trust-architecture-zta-team-releases-preliminary-draft-practice-guide-vol-d
NCCoE
Implementing a Zero Trust Architecture | NCCoE
Project AbstractThe proliferation of cloud computing, mobile device use, and the Internet of Things has dissolved conventional network boundaries. The workforce is more distributed, with remote workers who need access to resources anytime, anywhere, and on…
Forwarded from Пост Лукацкого
Интересные бюджетные стратегии для CISO отмечаются сейчас за железным занавесом. 80% компаний делают ставку на автоматизацию, 70% - на консолидацию бюджета и сокращение дублирующих статей расходов. 43% сокращают свои хотелки в области ИБ, а 23% сокращают персонал. Интересный показатель в 26% CISO, которые начинают активно использовать бесплатные пилоты, которые позволяют перекантоваться в сложные времена.
Forwarded from Makrushin (Denis)
Как провести свое первое security-исследование
0. Изучить материал, который детально описывает лайфхаки для подготовки учебного и исследовательского проекта.
1. Определить цель исследования и ключевые этапы работы.
2. Фиксировать все промежуточные результаты.
3. Оформить все заметки в текст дипломного проекта.
4. Повторить шаги 1-3.
0. Изучить материал, который детально описывает лайфхаки для подготовки учебного и исследовательского проекта.
1. Определить цель исследования и ключевые этапы работы.
2. Фиксировать все промежуточные результаты.
3. Оформить все заметки в текст дипломного проекта.
4. Повторить шаги 1-3.
XAKEP
Как провести свое первое security-исследование. Колонка Дениса Макрушина
Начало учебного года — это еще и начало сезона подготовки дипломных работ. А это значит, что у меня наступает сезон формулирования тем для студентов факультетов и кафедр информационной безопасности в ведущих вузах. Я собрал свои рекомендации и лайфхаки для подготовки…
👍2