Документ описывает уязвимости в программном обеспечении и методы их анализа, включая динамический и статический анализ, декомпиляцию и бинарный анализ. Представлен инструмент Solar Incode, который позволяет анализировать код без его исходников и предоставляет рекомендации по устранению уязвимостей. Также упоминается статистика кибератак за 2015 год, подтверждающая важность решения проблем безопасности программного обеспечения.

1. Solar inCode: в поисках
уязвимостей
3 июня 2016 г.
Чернов Даниил
CISA, CISSP
Руководитель Направления
Application Security

2. solarsecurity.ru +7 (499) 755-07-70
На острие технологии
2

3. solarsecurity.ru +7 (499) 755-07-70
Особенности разработки приложений
с точки зрения ИБ
Дыры в софте:
 Уязвимости
 Недекларированные
возможности (закладки)
3

4. solarsecurity.ru +7 (499) 755-07-70
Как проверить софт?
4
Динамический анализ Статический анализ

5. solarsecurity.ru +7 (499) 755-07-70
Технологии Solar inCode
5
 Бинарный анализ
 Деобфускация
 Декомпиляция
 Fuzzy Logic Engine

6. solarsecurity.ru +7 (499) 755-07-70
Откуда берутся уязвимости
6
 Культура разработки – разработчик не уделяет внимания:
 Языковым конструкциям, которые использует
 Коду, который используется как сторонний
 Безопасности связей между компонентами, которые разрабатывает
 Недостаток времени:
 Техническое задание разрабатывается быстро
 Программное обеспечение разработается быстро:
задержка в разработке – потеря денег
 Можно удовлетворить только два из трех желаний: быстро,
качественно и недорого
ОБЫЧНО – ЭТО БЫСТРО И НЕДОРОГО

7. solarsecurity.ru +7 (499) 755-07-70
Статистика за 2015 год
7
 Более 75% успешных кибератак эксплуатируют
«дыры» в ПО, т.к. на сегодняшний день это самое
слабое звено технической защиты
 Уязвимости для платформы Android – 15% из всех
уязвимостей, публично опубликованных за 2015 год
 SQLi – 8,4% из всех атак за прошедший 2015 год

9. solarsecurity.ru +7 (499) 755-07-70
Продукты для статического анализа кода
9
IBM Security AppScan Source
APPERCUT
HP Fortify Static Code Analyzer
Checkmarx Static Code Analysis
PT Application Inspector
Solar inCode

10. solarsecurity.ru +7 (499) 755-07-70
Сложности
10
 Получить исходный код у разработчиков
 Убедиться, что код «собирается в проект» и не имеет
«неразрешенных зависимостей»
 Проверить код: корректно запустить скан
 Суметь понять, что написано в отчете
 Донести до разработчиков все найденные уязвимости
и объяснить их понятным языком

11. solarsecurity.ru +7 (499) 755-07-70
Solar inCode – сканер программного кода
• умеет работать без исходных кодов. Это значит, что не надо просить
исходные коды у разработчиков, а можно получить скомпилированные
файлы для анализа у системного администратора или скачать
мобильные приложения с Google Play или AppStore.
Практичность и удобство
• выдает детальные рекомендации по настройке наложенных средств
защиты: SIEM, WAF, Firewall
Настройка средств защиты
• выдает детальные рекомендации по устранению уязвимостей̆ кода на
русском языке с описанием способов их эксплуатации
Понятные рекомендации
9

12. solarsecurity.ru +7 (499) 755-07-70
Solar inCode – примеры внедрения
12

13. solarsecurity.ru +7 (499) 755-07-70
Обзор функциональности
13
Статический анализ
Java, Scala, PHP, Android, iOS, С#, PHP, PL/SQL
Бинарный анализ: Android, iOS, jar, war
Рекомендации по настройке наложенных
средств защиты
Потенциальные НДВ
Интеграция с репозиторием
Загрузка мобильных приложений
Выгрузка отчётов (pdf, html)

14. solarsecurity.ru +7 (499) 755-07-70
Архитектура Solar inCode
14

15. Вопросы?

16. Даниил Чернов
Руководитель направления
Application Security
www.solarsecurity.ru
d.chernov@solarsecurity.ru