В Secret Net 7 исправлена критическая уязвимость - Форум по вопросам информационной безопасности

Дык я напираю на суть не проверки функционала (который в SN был и остается кривым, ага), а проверки недекларированных (недокументированных) возможностей. Согласитесь, что эскалация привилегий вплоть до SYSTEM средствами библиотеки ядра СЗИ - это вопрос явно по НДВ самой СЗИ. И вот тут как раз основной клинч...
SN 7, кстати, по функционалу не далеко ушел от того же 5.1. Разве что в сторону пресловутого "удобства настройки". И багнутое до недавних пор (надеюсь) ядро, переходящее из версии в версию - тому прямое подтверждение. С 5.0-С и 4 версиями работал очень давно и забыл как страшный сон, поэтому судить объективно не могу.
А вообще... СервисПаки SN... модель разработки у Кода аля Microsoft... уязвимости ядра 90х гг. и ранее в самой Windows... в принципе, ничего странного в сложившейся сейчас ситуации нет - все было ожидаемо...

> Согласитесь, что эскалация привилегий вплоть до SYSTEM средствами библиотеки ядра СЗИ - это вопрос явно по НДВ самой СЗИ.

Нет там никакой эскалации привилегий, там банальное переполнение стека. Но из-за того, что оно в драйвере, его можно использовать для заливки собственного произвольного кода непосредственно в ядро операционной системы. То, что этот драйвер в составе SN, монопенисуально - подойдет любой уязвимый драйвер, хоть видеокарты. Просто у автора эксплойта была определенная очень личная причина наказать Код Безопасности.

Все это приводит к старому тезису: любой сертификат на отсутствие НДВ любого уровня не стоит той бумаги на которой распечатан. Вы можете вылизывать код СЗИ, вы можете до выкипания мозгов проводить сертификационные испытания на отсутствие НДВ, но толку ноль - точно такие же уязвимости в товарных количествах есть в любом драйвере , который вы ставите на "защищенное" СВТ. Именно поэтому МО, например, требует проводить сертификацию на отсутствие НДВ для всего софта, который используется в защищенных ИС.

Что касается "вопрос явно по НДВ" - нет, сертификация по контролю отсутствия НДВ не предусматривает поиск уязвимостей кода, и методик поиска таких уязвимостей у испытательных лабораторий нет. Разработка таких методик еще только планируется. А вот специалистов, которые смогут ими воспользоваться, в испытательных лабораториях нет совсем и в обозримом будущем не предвидится. Более того, испытательные лаборатории сейчас в некотором шоке от того, что ФСТЭК начинает на них давить в плане того, что они должны при сертификации еще и неизвестные уязвимости отыскивать :) Не было у них никогда такой задачи, и они не очень понимают, как к этому подступиться :)

Спасибо, тов. malotavr, за ликбез. Любопытно все выходит относительно работы сертиф.лабораторий... всегда считал, что поиск НДВ под 3 и 2 классы подразумевает комплексные испытания: анализ кода, подбор сплойтов и проч... выходит, все еще хуже, чем хотелось бы верить...
А на тему драйверов составных устройств, встроенного ПО в ОС - это понятный элемент. Галиматья - защищать систему, в корне которой лежит неизвестно как написанный софт. Хуже то, что по такой дорожке проходит и СЗИ НСД, повсеместно применяемое.

> всегда считал, что поиск НДВ под 3 и 2 классы подразумевает комплексные испытания: анализ кода, подбор сплойтов и проч... выходит, все еще хуже, чем хотелось бы верить...

Подразумевает. Но когда в далеком 1998 году коллеги начали писать методический документ по НДВ, они осознали, что непонятно, как именно искать уязвимости. Поэтому в разделе динамического анализа кода нет ничего, что можно было бы отнести к поиску уязвимостей, а в статическом анализе осталось скромное "синтаксический контроль наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных программных конструкций".

Строго говоря, для такой уязвимости, как в SN, достаточно было бы и синтаксического контроля, но для этого нужна нормальная база сигнатур "парни, никогда не пишите вот такой быдлокод" для каждого языка программирования. Таких баз у испытательных лабораторий нет, По опыту наших разработок могу сказать, что разработка базы сигнатур для одного языка программирования - это год-два работы группы очень квалифицированных специалистов. ФСТЭК сейчас реанимирует эту тему, но это очень непросто.

И, к слову, это общемировая проблема. Например, ISO несколько лет пыталась написать стандарт по поиску уязвимостей в рамках ISO 15408. В результате родился документ, в котором из всех методов поиска уязвимостей описан только фаззинг (передача на вход функциям случайных параметров в надежде, что произойдет ошибка), причем весь содержание документа можно передать одной фразой: "для поиска уязвимостей надо делать фаззинг".

То есть если у тебя нет оплаченной техподдержки, то чтобы перейти на новую версию нужно заплатить. Из-за ошибки разработчиков! Это вообще правомерно и законно?
Так же можно периодически делать критуязвимости и за денюжку потом обновлять...
Тот же DL делает это бесплатно

Конечно не законно. И, вроде бы, Код Безопасности перестал так "проказничать". Или вновь начал? На их сайте в официальной инструкции по обновлению, в частности, ничего не сказано о необходимости наличия действующего кода техподдержки...

По "седьмой" версии:
- имелись не актуальные версии (до версии 7.6) семерки с тех. поддержкой - на них дали бесплатно обновление до версии 7.6
- на имеющиеся не актуальные версии (до версии 7.6) семерки без тех. поддержки - купили тех. поддержку, тогда только дали обновление до версии 7.6

По "шестой" версии - дали бесплатную заплатку без смены версии (без наличия тех.поддержки), и ее в конце этого года все равно придется покупать 7.6 т.к. у "шестерки" заканчивается сертификат.

На "пятерку" ничего не дали, при наличии у нас продленного сертификата Регулятором в частном порядке до 18-го года.

>> Из-за ошибки разработчиков! Это вообще правомерно и законно?
> Конечно не законно.

Камрад, откройте для себя чудный мир законодательства об интеллектуальной собственности и не вводите людей в заблуждение :)

Программное обеспечение с точки зрения права является литературным произведением (статья 1261 ГК РФ). Если в программе есть ошибки (в том числе уязвимости) - "автор так видит". На этот случай, так уж и быть, специально для программ сделано исключение из права на неприкосновенность произведения: если вы нашли в программе ошибку, так уж и быть, закон разрешает вам самостоятельно ее исправить, не спрашивая разрешения автора и не выплачивая ему вознаграждения за право поковыряться в коде его программы (статья 1268 ГК РФ). Но требовать от разработчика устранения ошибок в программе вы не можете, тем более бесплатно. Разве что только разработчик добровольно взял на себя такую обязанность и прописал ее в условиях лицензионного договора

ФСТЭКу эта ситуация не нравится категорически, поэтому постепенно вносятся изменения в процесс сертификации:
- разработан проект ГОСТ на жизненный цикл разработки ПО, он пока не принят - проходит апробацию;
- в соответствии с этим ГОСТ разработчик должен будет прописать порядок устранения уязвимостей в своем софте, в том числе - порядок реагирования на сообщения об уязвимостях нулевого дня;
- в профили защиты вносятся специальные расширенные требования по доставке обновлений потребителю;
- готовится почва для систематического проведения работ по поиску уязвимостей нулевого дня в сертифицированных СЗИ;
- и вот только после того, как все это заработает, у ФСТЭК появится реальный механизм заставить разработчиков СЗИ устранять уязвимости под угрозой аннулирования сертификата и, скажем так, создания разработчику режима наименьшего благоприятствования в дальнейшей работе.

Процесс небыстрый, и не факт, что его удастся довести до конца.

От жешь движок форумный глючит :)

А я не об авторском праве, товарищ. Я о том, что не законно вводить людей в заблуждение с целью вымогательства. Уже совсем иная статья. А к Коду это имеет отношение по причине банальной - инструкции по обновлению была официально опубликована на сайте и не менялась со времени начала этой бадяги с уязвимостью. Дескать, родные потребители, все просто: качаете с фтп, обновляетесь, обращайтесь к нам, прилагая КС дистриба, а в ответ получаете новый формуляр. Образованные юзеры начали долбить коммутатор Кода наперебой, но, внезапно, выяснилось, что ноу мани - ноу фанни без тех поддержки. И вот это уже не лезет ни в какие ворота авторского права...