ПРИНЦИПЫ РАЗРАБОТКИ АВТОМАТИЗИРОВАННОГО СРЕДСТВА ДЛЯ ВЫЯВЛЕНИЯ УЯЗВИМОСТЕЙ В ВЕБ-ПРИЛОЖЕНИЯХ, ФУНКЦИОНИРУЮЩИХ НА БАЗЕ WINDOWS И UNIX СИСТЕМ

CONDUCTING CERTIFICATION TESTS IN THE CONDITIONS OF IMPORT SUBSTITUTION AND CURRENT SANCTIONS

Kirill Zabegin

student, Department of CCB-2 "Applied Information Technologies", MIREA - Russian Technological University

Russia, Moscow

Elena Maksimova

scientific supervisor, Associate Professor, MIREA - Russian Technological University

Russia, Moscow

АННОТАЦИЯ

На сегодняшний день наибольшее число инцидентов информационной безопасности происходит из-за наличия уязвимостей в программном обеспечении и средствах защиты информации. Злоумышленники используют найденные бреши безопасности в используемых системах и используют их для совершения различных киберпреступлений. Открытые базы данных уязвимостей недвусмысленно дают понять, что неуязвимых программных и программно-аппаратных изделий почти не существует, что говорит о необходимости проведения тщательного анализа уязвимостей, а также использования мер безопасной разработки программного обеспечения.

ABSTRACT

Nowadays the biggest number of incidents in information security field happens due to the vulnerabilities in the software and the information security applications. Hackers are exploiting gaps in working security systems and using them to make cybersecurity crimes. Free for use vulnerability databases get it clear, that there is no pure percent secure software and hardware at all. That’s why it is necessary to making a scrupulous application security testing such as DAST SAST IAST, also taking care of implementing and using secure software development life cycle process.

Ключевые слова: инцидент, информационная безопасность, уязвимость, экспорт, закладки, мальвар, бэкдор.

Keywords: certification tests, sanctions, import substitution, export, bookmarks, malvar, backdoor, DAST, SAST, IAST, SSDL.

Проникновение информационных технологий во всевозможные сферы человеческой деятельности приводит к увеличению количества попыток несанкционированного доступа к конфиденциальной информации. Каждый день в различных источниках публикуются данные о выявлении новых уязвимостей программного кода. Разработчики ПО не всегда имеют возможность своевременно получать информацию о новых уязвимостях, в связи с чем существует возможность нарушения конфиденциальности, целостности и доступности информации, обрабатываемой в информационных системах, построенных с использованием ПО. Наличие заимствованных компонентов и небезопасной среды функционирования разрабатываемых изделий усугубляют положение. В связи с возникновением данной проблемы появляется необходимость в создании средств информирования разработчиков и потребителей ПО о наличии известных уязвимостей.

За последние несколько лет появилось множество новых требований от государственных регуляторов в области информационной безопасности. Одной из самых обсуждаемых проблем стала разработка фаззера, удовлетворяющего требованиям «Методики выявления уязвимостей и недекларированых возможностей в программном обеспечении» и «Требованиям по безопасности информации, устанавливающие уровни доверия к СТЗИ и СОБИТ». Под уязвимостью понимается недостаток программного (программно-технического) средства или информационной системы в целом, который может быть использован для реализации угроз безопасности информации [5].

Введем классификацию уязвимостей, используя следующие классификационные признаки:

область происхождения уязвимости;

типы недостатков ПО;

место возникновения (проявления) уязвимости ПО.

Уязвимости ПО по области происхождения подразделяются на следующие классы:

уязвимости кода;

уязвимости конфигурации;

уязвимости архитектуры.

Уязвимости ПО по типам недостатков подразделяются на следующие:

Одна из стадий аудита веб-приложений – это, фаззинг-тестирование.

Фаззинг-тестирование – это техника тестирования приложений путем передачи на вход приложения различных специально сгенерированных данных.

Фаззинг – это автоматизированный процесс, который почти всегда применяется относительно конечного кода. Это делает его похожим на инструменты Dynamic Application Security Testing (DAST), которые также необходимы для полной компиляции программы. Однако инструменты DAST и фаззинг нацелены на совершенно разные вещи. Инструменты DAST будут сканировать приложение на наличие уязвимостей, таких как возможность использовать программу для выполнения удаленных вызовов или наличие слабой защиты открытых интерфейсов HTTP и HTML. Инструменты фаззинга тестируют приложение на неожиданный вход, чтобы выяснить, приведет ли это к странным или непредсказуемым результатам и ошибкам.

Один из самых простых способов представить себе те проблемы, которые может выявить фаззинг, — это подумать о таких программах, как банковские приложения или инструменты электронной коммерции, которые предназначены для работы с известными входными данными (=целыми числами). Например, в банковской сфере, подобные программы были разработаны для того, чтобы пользователи могли переводить деньги с одного счета на другой. Вместо ввода положительного значения в поле сумма для перевода пользователь неожиданно вводит отрицательное число. Как программа отреагирует на это? Вдруг она положит деньги на счет вместо того, чтобы отправить их, или это приведет к появлению средств, которых раньше не существовало.

Многие российские пользователи и организации оказались в одном из самых киберопасных регионов мира, в связи с чем использование проприетарных иностранных разработок при проведении сертификационных испытаний является одним из важных триггеров у экспертов при проведении анализа уязвимостей объекта оценки, поскольку иностранный разработчик может оставить программные закладки или бэкдоры, которые серьезно влияют на безопасность сертифицируемого приложения. Основной рекомендацией будет являться переход на отечественный аналог, при имеющемся аналоге.

Продукты на очень большую часть состоят из заимствованных библиотек и модулей, могут работать на разных системах, и исполняться в разных средах. Но импортозамещение не так просто провести в заимствованных библиотеках. Злоумышленники и недобросовестные разработчики таких продуктов могут через обновления или внесения бекдоров или malware причинять вред косвенно через продукты добросовестных разработчиков, которые лишь использовали предоставленный ранее им инструментарий.

Список литературы:

1. Защита информации. Разработка безопасного программного обеспечения. Общие требования. ГОСТР 56939- 2016 / Национальный стандарт Российской Федерации. – М.: Стандартинформ, 2016. – 24с.
2. Марков А.С., Миронов С.В., Цирлов В.Л. Выявление уязвимостей программного обеспечения в процессе сертификации / А.С. Марков, [и др.] // Известия Южного федерального университета. – 2006. –  №7. – С.82-87.
3. Никаноров П.А. Обзор санкций и ограничений в сфере стандартизации, аккредитации и сертификации / П.А. Никаноров // Контроль качества продукции.  – 2022. – №5. – С.9-13.
4. "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (выписка)" (утв. приказом ФСТЭК России от 02.06.2020 N 76) // СПС Консультант. – [Электронный ресурс]. – Режим доступа: https://www.consultant.ru/document/cons_doc_LAW_367399/ (дата обращения: 29.09.2022).