Координационный центр CERT - CERT Coordination Center

Координационный центр CERT
FFRDC (часть Институт программной инженерии )
ПромышленностьПрограммное обеспечение и сетевая безопасность
Основан1988
Штаб-квартираПиттсбург, Пенсильвания, Соединенные Штаты
Ключевые люди
Роберта Г. Стемпфли
Директор
Интернет сайтsei.cmu.edu/ подразделения/ cert/индекс.cfm

В Координационный центр CERT (CERT / CC) является координационным центром группа реагирования на компьютерные чрезвычайные ситуации (CERT) для Институт программной инженерии (SEI), некоммерческая организация в США федеральный научно-исследовательский центр. CERT / CC исследует программные ошибки, которые влияют на безопасность программного обеспечения и Интернета, публикует исследования и информацию о своих выводах и работает с бизнесом и правительством над повышением безопасности программного обеспечения и Интернета в целом.

История

Первая организация такого рода, CERT / CC, была создана в Питтсбург в ноябре 1988 г. DARPA направление в ответ на Червь Морриса инцидент.[1] CERT / CC в настоящее время является частью подразделения CERT Института разработки программного обеспечения, в котором более 150 специалистов по кибербезопасности работают над проектами, которые используют проактивный подход к обеспечению безопасности систем. Программа CERT сотрудничает с правительством, промышленностью, правоохранительными органами и научными кругами в целях разработки передовых методов и технологий для противодействия крупномасштабным и изощренным киберугрозам.

Программа CERT является частью Институт программной инженерии (SEI), научно-исследовательский центр, финансируемый из федерального бюджета (FFRDC ) в Университет Карнеги-Меллона главный кампус в Питтсбурге. CERT является зарегистрированным товарным знаком Университета Карнеги-Меллона.[2]

Путаница с US-CERT и другими CERT

В 2003 г. Департамент внутренней безопасности заключили соглашение с Университетом Карнеги-Меллона о создании US-CERT.[3] US-CERT - это национальная группа реагирования на инциденты компьютерной безопасности (CSIRT ) для Соединенных Штатов Америки. Такое сотрудничество часто вызывает путаницу между CERT / CC и US-CERT. Несмотря на то, что эти две организации связаны, они представляют собой разные сущности. В общем, US-CERT обрабатывает дела, которые касаются национальной безопасности США, тогда как CERT / CC рассматривает более общие дела, часто на международном уровне.

CERT / CC координирует информацию с US-CERT и другими группами реагирования на инциденты компьютерной безопасности, некоторые из которых имеют лицензию на использование названия «CERT». [4] Хотя эти организации лицензируют название «CERT» от Университета Карнеги-Меллона, эти организации являются независимыми организациями, учрежденными в своих странах, и не управляются CERT / CC.

CERT / CC учредил FIRST, организацию, способствующую сотрудничеству и обмену информацией между различными национальными CERT и частными PSIRT по безопасности продуктов.

Возможности

Исследовательская работа CERT / CC разделена на несколько различных областей работы.[5] Некоторые ключевые возможности и продукты перечислены ниже.

Координация

CERT / CC работает напрямую с поставщиками программного обеспечения в частном секторе, а также с государственными учреждениями, чтобы устранять уязвимости программного обеспечения и предоставлять исправления для общественности. Этот процесс известен как координация.

CERT / CC продвигает особый процесс координации, известный как Ответственное скоординированное раскрытие информации. В этом случае CERT / CC работает в частном порядке с поставщиком для устранения уязвимости до публикации общедоступного отчета, обычно совместно с собственными рекомендациями по безопасности поставщика. В крайних случаях, когда поставщик не желает решать проблему или с ним невозможно связаться, CERT / CC обычно раскрывает информацию публично через 45 дней с момента первой попытки контакта.[6]

Уязвимости программного обеспечения, координируемые CERT / CC, могут возникать в результате внутренних исследований или внешних отчетов. Об уязвимостях, обнаруженных сторонними лицами или организациями, можно сообщить в CERT / CC, используя форму отчета об уязвимостях CERT / CC.[7] В зависимости от серьезности обнаруженной уязвимости CERT / CC может предпринять дальнейшие действия для устранения уязвимости и согласовать действия с поставщиком программного обеспечения.

База знаний и заметки об уязвимостях

CERT / CC регулярно публикует заметки об уязвимостях в базе знаний CERT.[8][9] Примечания об уязвимостях включают информацию о недавних уязвимостях, которые были исследованы и согласованы, а также о том, как отдельные лица и организации могут уменьшить такие уязвимости.

База данных Vulnerability Notes не является исчерпывающей.

Инструменты анализа уязвимостей

CERT / CC предоставляет ряд бесплатных инструментов сообществу исследователей безопасности.[10] Некоторые предлагаемые инструменты включают следующее.

  • CERT Tapioca - предварительно настроенное виртуальное устройство для выполнения атак типа «злоумышленник в середине». Это можно использовать для анализа сетевого трафика программных приложений и определения правильности использования шифрования в программном обеспечении и т. Д.
  • BFF (Basic Fuzzer Framework) - мутационный файловый фаззер для Linux
  • FOE (Failure Observation Engine) - мутационный фаззер файлов для Windows
  • Dranzer - обнаружение уязвимости Microsoft ActiveX

Обучение персонала

CERT / CC периодически предлагает учебные курсы для исследователей или организаций, желающих создать свои собственные PSIRT.[11]

Координационный центр CERT

Споры

Летом 2014 года исследование CERT, финансируемое Федеральное правительство США был ключом к деанонимизации Tor (сеть анонимности), и информацию, полученную от CERT в суд ФБР был использован для снятия Шелковый путь 2.0 та осень. ФБР отказало в оплате CMU деанонимизировать пользователей,[12]КМУ отказал в финансировании за соблюдение требований правительства.[13]

Несмотря на то, что исследование косвенно способствовало закрытию многочисленных незаконных веб-сайтов и аресту как минимум 17 подозреваемых, исследование подняло несколько вопросов:

  • об этике исследований в области компьютерной безопасности как о заботе сообщества Tor[14] и другие[15]
  • о необоснованном поиске в Интернете в связи с гарантией 4-я поправка США[14]
  • о SEI / CERT действует в противоречии со своими задачами, действиями, включая утаивание обнаруженных уязвимостей от разработчиков программного обеспечения и общественности.[15]

В заявлении CMU в ноябре 2015 года говорилось, что «... время от времени в университет поступают повестки с запросами информации о проведенных исследованиях. Университет соблюдает верховенство закона, соблюдает законно выданные повестки и не получает финансирования для его соответствие ", хотя Материнская плата сообщил, что ни ФБР, ни КМУ не объяснили, каким образом орган сначала узнал об исследовании, а затем вызвал в суд для получения соответствующей информации.[13]В прошлом SEI также отказывалась объяснять характер этого конкретного исследования в ответ на запросы прессы, в которых говорилось: «Спасибо за ваш запрос, но наша практика не комментировать расследования правоохранительных органов или судебные разбирательства».[16]

Дальнейшая информация: Tor (сеть анонимности) § Ретрансляция ранней атаки, и Операция Onymous § Tor 0-day эксплойт

Смотрите также

Рекомендации

  1. ^ «О нас: отдел CERT». Институт программной инженерии. Университет Карнеги Меллон. Получено 9 марта, 2015.
  2. ^ «Товарные знаки и знаки обслуживания». Институт программной инженерии. Университет Карнеги Меллон. Получено 7 декабря, 2014.
  3. ^ «Министерство внутренней безопасности США объявляет о партнерстве с Координационным центром CERT Карнеги-Меллона». Пресс-релиз SEI. Университет Карнеги Меллон. 15 сентября 2003 г.. Получено 7 декабря, 2014.
  4. ^ «Национальные CSIRT». Университет Карнеги Меллон. Получено 9 марта, 2015.
  5. ^ CERT / CC. «Подразделение CERT». Получено 9 марта, 2015.
  6. ^ «Политика раскрытия уязвимостей». Институт программной инженерии. Университет Карнеги Меллон. Получено 9 марта, 2015.
  7. ^ https://forms.cert.org/VulReport/
  8. ^ "База данных заметок об уязвимостях". Институт программной инженерии. Университет Карнеги Меллон. Получено 27 октября, 2017.
  9. ^ Кори Беннетт. «Новая инициатива направлена ​​на исправление недостатков безопасности программного обеспечения». Холм. Получено 6 декабря, 2014.
  10. ^ «Инструменты анализа уязвимостей». Институт программной инженерии. Университет Карнеги Меллон. Получено 9 марта, 2015.
  11. ^ «Курсы обучения CERT». Институт программной инженерии. Университет Карнеги Меллон. Получено 9 марта, 2015.
  12. ^ ФБР: «Утверждение, что мы заплатили CMU 1 миллион долларов за взлом Tor, неверно.'". Ars Technica. 14 ноября 2015 года.
  13. ^ а б «Министерство обороны США профинансировало исследование Карнеги-Меллона с целью взлома Tor». Хранитель. 25 февраля 2016 г.
  14. ^ а б Дингледин, Роджер (11 ноября 2015 г.). "ФБР заплатило университету за атаку на пользователей Tor?". Проект Tor. Получено 20 ноября, 2015.
  15. ^ а б Фельтен, Эд (31 июля 2014 г.). «Почему исследователи CERT атаковали Tor?». Свобода тинкер, Центр политики информационных технологий, Принстонский университет.CS1 maint: использует параметр авторов (связь)
  16. ^ «Суд Docs Показать университет Помогли ФБР Bust Шелковый путь 2, детское порно Подозреваемые». Материнская плата. 11 ноября 2015 г.. Получено 20 ноября, 2015.

внешняя ссылка