Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Информационная безопасность (Руслан Пермяков)

E51d363aa46f4d059d54a15e0bcd8e6f?s=47 Tech Talks @NSU
September 30, 2013

Информационная безопасность (Руслан Пермяков)

Руслан Пермяков («Системы информационной безопасности») рассказывает о том, какие аспекты безопасности нужно иметь в виду при разработке программных систем.

http://techtalks.nsu.ru

E51d363aa46f4d059d54a15e0bcd8e6f?s=128

Tech Talks @NSU

September 30, 2013
Tweet

Transcript

  1. Проблема ИБ. Что стоит знать об информационной безопасности при проектировании

    информационных систем Пермяков Руслан Анатольевич технический директор ООО «СИБ» pra@sib-nsk.net
  2. Информационные системы Сегодня smart-устройств становится все больше...

  3. Безопасность • Поддержание информационной системы в заранее определенном множестве состояний

    признаных безопасными.
  4. Проблемы безопасности • Ошибки конфигурирования и инсталяции; • Ошибки пользователя;

    • Ошибки создания: • I тип - ошибки написания (переполнение буфера и т.п.) • II тип ошибок - алгоритмические ошибки (неуточненное поведение, слабые алгоритмы авторизации и т.п.)
  5. Проблема • При разработке ПО не делается анализ безопасности решения;

    • Не оцениваются (хотя бы умозрительно) возможности нарушителя.
  6. TCP Уровень нулевого знания

  7. TCP • В ftp есть уязвимость, позволяющаяя «увести» соединение

  8. ADS-И – Система авиакоммуникаций следующего покаления Идентификация: •Aircraft Address -

    глобальный уникальный идентификатор воздушного судна; •Parity Information - информация для контроля битной чтности (с) А. Костин. Спуфинг в воздухе. Хакер № 1 (168) 2013
  9. Априорное доверие •Неявно выраженное убеждение, что устройства подключенные к системе

    авторизованным пользователем заслуживает доверие. •Так ли это? •USB накопители? •ЗУ? •Устройства подключенные к ODB-II?
  10. Взлом автомобиля •Доверие к устройствам бортовой сети; •Доверия к устройствам,

    подключенным к ODB-II
  11. Взлом через ЗУ •Доверие ко всему, что подключено к порту;

    •Доверие к ПО, полученному через локальный порт.
  12. Итоги • В современных условиях не существует «доверия по умолчанию»;

    • Обратите внимание на buffer и stack; • Пользователя надо контролировать на каждом этапе.
  13. Принципы безопасной архитектуры • простота механизмов (economy of mechanism); •

    безопасность по умолчанию (fail-safe defaults); • полное проникновение защиты (complete mediation); • открытый дизайн (open design); • разделение полномочий (separation of privilege); • минимум привилегий (least privilege); • минимизация разделения ресурсов (least common mechanism); • психологическая приемлемость (psychological acceptability).
  14. Испрользуйте шаблоны • Существуют design patterns для задач безопасности. •

    При этом они есть на всех уровнях: • архитектуры; • написания кода; • пользовательского интерфейса; • поведения программы.
  15. Шаблоны • Концорциум Open Group (http:// opengroup.org); • CERT (http://cert.org);

    • cgisecurity (http://www.cgisecurity.com)
  16. ТППС • Теория проектирования программных систем: • Придерживайтесь стандартов проектирования;

    • Изоляция модулей; • Понятный код; • Повторное использование.