Тема доклада: "Система анализа уязвимостей программных продуктов". Докладчик: Александр Белобородов (.Net, Silverlight developer at DCT). В данном докладе мы поговорим о способах поиска уязвимостей в программных продуктах. Как известно, одним из способов поиска уязвимостей является использование сканеров безопасности, основанных на выполнении так называемых тестов на проникновение. В данном случае потребуется составление специальных тестов либо покупка уже существующих сканеров безопасности. Другим подходом является использование информации из общедоступных баз данных уязвимостей (БДУ). В докладе мы рассмотрим наиболее популярные из них, поговорим о том, как информация может применяться для построения сканеров безопасности на основе информации об уязвимостях из общедоступных источников. Также, в докладе мы коснёмся разработанного инструментального средства для анализа информации из различных БДУ. В данный момент проект разработки сканера уязвимостей является частью исследовательской работы, проводимой студентами и сотрудниками кафедры компьютерных систем и сетей Национального аэрокосмического университета им. Н.Е. Жуковского "ХАИ" (www.khai.edu). Целью доклада является привлечение потенциальных заказчиков и заинтересованных разработчиков-исследователей к созданию данного сканера уязвимостей. Применяться данная система может администраторами компьютерных систем для поиска узвимостей в используемых программных продуктах без запуска тестов на проникновение.

1. СИСТЕМА АНАЛИЗА УЯЗВИМОСТЕЙ
ПРОГРАММНЫХ ПРОДУКТОВ
Докладчик
Александр Белобородов

2. СОДЕРЖАНИЕ
 Информационные вторжения
 Источники информации об уязвимостях
 Обзор разрабатываемого ресурса
VulnerabilityWebMonitor
 Демонстрация утилиты VulnerabilityTracker
 Применение
21.08.2012

3. 80%
70% 67.10%
60%
•Злонамеренное заражение (67,1%)
•Отказ в обслуживании (17%)
•Искажение веб-сайта (7%)
50%
40%
•Злоумышленное использование
30%
профилей пользователей
социальных сетей (5%)
20%
17.00%
•Проникновение в систему третьих
11.00%
10%
лиц (11%) 7.00%
5.00%
0%
21.08.2012

4. ПРИЧИНЫ ПРОНИКНОВЕНИЙ В СИСТЕМУ
80%
20%
Ошибки персонала
Уязвимости системы
21.08.2012

5. ПОИСК УЯЗВИМОСТЕЙ ИНФОРМАЦИОННЫХ СИСТЕМ
Поиск уязвимостей
Использование
Запуск тестов на
внешних
проникновение
источников
21.08.2012

6. СКАНЕРЫ ВТОРЖЕНИЙ
21.08.2012

7. ОБЩЕДОСТУПНЫЕ БАЗЫ ДАННЫХ УЯЗВИМОСТЕЙ
21.08.2012

8. АГРЕГИРОВАНИЕ ИНФОРМАЦИИ ИЗ ВНЕШНИХ
ИСТОЧНИКОВ
CVE NVD OSVDB
Наша БДУ
21.08.2012

9. СТРУКТУРА НАШЕЙ БДУ
21.08.2012

10. ИНФОРМАЦИОННЫЙ РЕСУРС
VULNERABILITYWEBMONITOR
21.08.2012

11. ПОЛЯ, ОПИСЫВАЮЩИЕ УЯЗВИМОСТЬ
 Уникальный CVE-идентификатор
 Даты
 CVSS метрика
 Уязвимые продукты
 CWE-угроза
 Краткое описание
 Дополнительные ссылки
 Другие сведения
21.08.2012

12. ДЕМО
АНАЛИЗАТОР БАЗ ДАННЫХ УЯЗВИМОСТЕЙ
Загрузка БДУ в
память
Сравнение
данных
Пользователь Фильтрация
данных
Просмотр
статистики
21.08.2012

13. ЖИЗНЕННЫЙ ЦИКЛ УЯЗВИМОСТИ
1. Открытие
2. Раскрытие
3. Подтверждение
4. Устранение
5. Применение
Время активных атак (дни
риска) и выход эксплоита
21.08.2012

14. СРЕДНЕЕ КОЛИЧЕСТВО ДНЕЙ РИСКА ДЛЯ
РАЗЛИЧНЫХ ОПЕРАЦИОННЫХ СИСТЕМ
 Microsoft Windows 28,9 дней;
 Novel Linux 73,89 дней;
 Red Hat Linux 106,83 дней;
 Apple Macintosh OS 46,12 дней;
 Sun Solaris 167,72 дня.
21.08.2012

15. Anatoliy Gorbenko, Vyacheslav Kharchenko, Olga Tarasyuk, Alexander
Romanovsky.Intrusion-Avoiding Architecture Making Use of Diversity in the Cloud-
Based Deployment Environment
21.08.2012

16. СКАНЕРЫ БЕЗОПАСНОСТИ
 Nessus
 http://www.nessus.org/download
 MaxPatrol
 http://www.ptsecurity.ru/maxpatrol.asp
 Internet Scanner
 http://www-935.ibm.com/services/us/index.wss/offering/iss/a1027208
 Retina Network Security Scanner
 http://www.eeye.com/html/products/retina/index.html
 Shadow Security Scanner
 http://www.safety-lab.com/en/products/securityscanner.htm
 NetClarity Auditor
 http://netclarity.com/branch-nacwall.html
21.08.2012

17. ИСТОЧНИКИ ИНФОРМАЦИИ ОБ УЯЗВИМОСТЯХ
Доступ к
Источник информации Ссылка на сайт
данным
National Vulnerability Database www.nvd.nist.gov/ HTML, XML
Common Vulnerabilities and Exposures www.cve.mitre.org/ HTML, XML
Open Source Vulnerability Database www.osvdb.org/ HTML, XML, SQL
Dump
Open Vulnerability and Assessment www.oval.mitre.org HTML
Language /
Computer Emergency Response Team www.www.cert.org/ HTML
Secunia www.secunia.com/ HTML
21.08.2012

18. ПОЛЕЗНЫЕ ССЫЛКИ
 Computer Security Institute
 http://gocsi.com/members/reports
 Сравнительный анализ сканеров безопасности
 http://www.itsecurity.ru/news/reliase/2008/12_22_08.htm
 Jones, Days-of-risk in 2006: Linux, Mac OS X, Solaris and
Windows
 http://blogs.csoonline.com/days_of_risk_in_2006
 SecurityLab
 http://www.securitylab.ru/vulnerability/
 Вебинары Positive Technologies: образовательная
программа "Практическая безопасность“
 http://www.ptsecurity.ru/lab/webinars/
21.08.2012

19. 1. Май 2012. WorkShop на конференции DESSERT’2012
http://www.stc-dessert.com/conf2012/
2. Ноябрь 2012. Семинар КРИКТЕХС
по облачным технологиям
http://www.stc-dessert.com/seminars.php
21.08.2012

20. Александр Белобородов
e-mail: alexandr.bright@mail.ru
21.08.2012