Координационный центр CERT
![]() | |
Тип компании | FFRDC (часть Института программной инженерии ) |
---|---|
Промышленность | Программное обеспечение и сетевая безопасность |
Основан | 1988 |
Штаб-квартира | Питтсбург, Пенсильвания , США |
Ключевые люди | Бригадный генерал ВВС США (в отставке) Грегори Дж. Таухилл Директор |
Веб-сайт | быть |
( Координационный центр CERT CERT /CC ) — это координационный центр группы реагирования на компьютерные чрезвычайные ситуации (CERT) Института программной инженерии (SEI), некоммерческого центра исследований и разработок, финансируемого из федерального бюджета США . CERT/CC исследует ошибки программного обеспечения, влияющие на безопасность программного обеспечения и Интернета, публикует исследования и информацию о своих выводах, а также работает с предприятиями и правительством над повышением безопасности программного обеспечения и Интернета в целом.
История
[ редактировать ]Первая организация такого рода, CERT/CC, была создана в Питтсбурге в ноябре 1988 года по указанию DARPA в ответ на инцидент с червем Морриса . [1] CERT/CC теперь является частью подразделения CERT Института программной инженерии, в котором работают более 150 специалистов по кибербезопасности, работающих над проектами, использующими упреждающий подход к защите систем. Программа CERT сотрудничает с правительством, промышленностью, правоохранительными органами и научными кругами для разработки передовых методов и технологий для противодействия крупномасштабным и сложным киберугрозам.
Программа CERT является частью Института программной инженерии (SEI), финансируемого из федерального бюджета центра исследований и разработок ( FFRDC ) в главном кампусе Университета Карнеги-Меллона в Питтсбурге. CERT является зарегистрированной торговой маркой Университета Карнеги-Меллона. [2]
Путаница с US-CERT и другими CERT.
[ редактировать ]В 2003 году Министерство внутренней безопасности заключило соглашение с Университетом Карнеги-Меллон о создании US-CERT . [3] US-CERT — это национальная группа реагирования на инциденты компьютерной безопасности ( CSIRT ) в Соединенных Штатах Америки. Такое сотрудничество часто приводит к путанице между CERT/CC и US-CERT. Несмотря на то, что эти две организации связаны, они представляют собой разные организации. В целом, US-CERT занимается делами, которые касаются национальной безопасности США, тогда как CERT/CC занимается более общими делами, часто на международном уровне.
CERT/CC координирует информацию с US-CERT и другими группами реагирования на инциденты компьютерной безопасности, некоторые из которых имеют лицензию на использование названия «CERT». [4] Хотя эти организации лицензируют название «CERT» от Университета Карнеги-Меллона, эти организации являются независимыми организациями, созданными в своих странах и не управляются CERT/CC.
CERT/CC создал FIRST , организацию, способствующую сотрудничеству и обмену информацией между различными национальными CERT и безопасности частных продуктов группами реагирования на инциденты (PSIRT).
Возможности
[ редактировать ]Исследовательская работа CERT/CC разделена на несколько различных направлений работы. [5] Некоторые ключевые возможности и продукты перечислены ниже.
Координация
[ редактировать ]CERT/CC работает напрямую с поставщиками программного обеспечения в частном секторе, а также с государственными учреждениями, устраняя уязвимости программного обеспечения и предоставляя исправления для общественности. Этот процесс известен как координация.
CERT/CC продвигает особый процесс координации, известный как ответственное скоординированное раскрытие информации . В этом случае CERT/CC работает в частном порядке с поставщиком над устранением уязвимости до публикации публичного отчета, обычно совместно с собственными рекомендациями по безопасности поставщика. В крайних случаях, когда поставщик не желает решать проблему или с ним невозможно связаться, CERT/CC обычно раскрывает информацию публично через 45 дней после первой попытки контакта. [6]
Уязвимости программного обеспечения, координируемые CERT/CC, могут быть получены в результате внутренних исследований или внешних отчетов. Об уязвимостях, обнаруженных сторонними лицами или организациями, можно сообщить в CERT/CC, используя форму сообщения об уязвимостях CERT/CC. [7] В зависимости от серьезности обнаруженной уязвимости CERT/CC может предпринять дальнейшие действия по устранению уязвимости и скоординировать свои действия с поставщиком программного обеспечения.
База знаний и заметки об уязвимостях
[ редактировать ]CERT/CC регулярно публикует заметки об уязвимостях в базе знаний CERT. [8] [9] Примечания об уязвимостях включают информацию о недавних уязвимостях, которые были исследованы и согласованы, а также о том, как отдельные лица и организации могут смягчить такие уязвимости.
База данных заметок об уязвимостях не претендует на полноту.
Инструменты анализа уязвимостей
[ редактировать ]CERT/CC предоставляет ряд бесплатных инструментов исследовательскому сообществу в области безопасности. [10] Некоторые предлагаемые инструменты включают следующее.
- CERT Tapioca — предварительно настроенное виртуальное устройство для проведения атак «человек посередине». Это можно использовать для анализа сетевого трафика программных приложений и определения того, правильно ли программное обеспечение использует шифрование и т. д.
- BFF (Basic Fuzzer Framework) — фаззер мутационных файлов для Linux.
- FOE (Failure Observation Engine) — фаззер мутационных файлов для Windows.
- Дранцер — обнаружение уязвимостей Microsoft ActiveX
Обучение
[ редактировать ]CERT/CC периодически предлагает учебные курсы для исследователей или организаций, желающих создать свои собственные PSIRT. [11]
Споры
[ редактировать ]Летом 2014 года исследование CERT, профинансированное федеральным правительством США , сыграло ключевую роль в деанонимизации Tor , а информация, полученная от CERT по повестке ФБР, была использована для уничтожения SilkRoad 2.0 той осенью. ФБР отрицает, что платило CMU за деанонимизацию пользователей. [12] а КМУ отрицал получение финансирования за выполнение требований правительственной повестки. [13]
Несмотря на то, что исследование косвенно способствовало закрытию многочисленных незаконных веб-сайтов и аресту как минимум 17 подозреваемых, оно подняло множество проблем:
- об этике исследований компьютерной безопасности как проблеме сообщества Tor [14] и другие [15]
- о необоснованном поиске в Интернете в связи с гарантией 4-й поправки США [14]
- о действиях SEI /CERT, противоречащих собственным задачам, включая сокрытие обнаруженных им уязвимостей от разработчиков программного обеспечения и общественности. [15]
В заявлении CMU от ноября 2015 года говорится, что «...университет время от времени получает повестки с просьбой предоставить информацию о проведенных им исследованиях. Университет соблюдает верховенство закона, выполняет законно выданные повестки и не получает финансирования для его соблюдение», хотя Motherboard сообщила, что ни ФБР, ни CMU не объяснили, как власти впервые узнали об исследовании, а затем вызвали в суд для получения соответствующей информации. [13] В прошлом SEI также отказывалась объяснить характер этого конкретного исследования в ответ на запросы прессы, говоря: «Спасибо за ваш запрос, но в нашей практике мы не комментируем расследования правоохранительных органов или судебные разбирательства». [16]
См. также
[ редактировать ]- Стандарт кодирования CERT C
- Группа реагирования на компьютерные чрезвычайные ситуации
- Компьютерная безопасность
Ссылки
[ редактировать ]- ^ «О нас: Подразделение CERT» . Институт программной инженерии . Университет Карнеги-Меллон . Проверено 9 марта 2015 г.
- ^ «Товарные знаки и знаки обслуживания» . Институт программной инженерии . Университет Карнеги-Меллон . Проверено 7 декабря 2014 г.
- ^ «Министерство внутренней безопасности США объявляет о партнерстве с Координационным центром CERT Карнеги-Меллона» . Пресс-релиз СЭИ . Университет Карнеги-Меллон. 15 сентября 2003 года . Проверено 7 декабря 2014 г.
- ^ «Национальные CSIRT» . Университет Карнеги-Меллон. 18 сентября 2014 года . Проверено 9 марта 2015 г.
- ^ CERT/CC. «Отдел CERT» . Проверено 9 марта 2015 г.
- ^ «Политика раскрытия уязвимостей» . Институт программной инженерии . Университет Карнеги-Меллон . Проверено 9 марта 2015 г.
- ^ «Координационный центр CERT» .
- ^ «База данных заметок об уязвимостях» . Институт программной инженерии . Университет Карнеги-Меллон . Проверено 27 октября 2017 г.
- ^ Кори Беннетт (3 ноября 2014 г.). «Новая инициатива направлена на исправление недостатков безопасности программного обеспечения» . Холм . Проверено 6 декабря 2014 г.
- ^ «Инструменты анализа уязвимостей» . Институт программной инженерии . Университет Карнеги-Меллон . Проверено 9 марта 2015 г.
- ^ «Курсы обучения CERT» . Институт программной инженерии . Университет Карнеги-Меллон . Проверено 9 марта 2015 г.
- ^ «ФБР: «Утверждение о том, что мы заплатили CMU 1 миллион долларов за взлом Tor, неверно» » . Арс Техника. 14 ноября 2015 г.
- ^ Jump up to: а б «Министерство обороны США профинансировало исследование Карнеги-Меллона по взлому Tor» . Хранитель . 25 февраля 2016 г.
- ^ Jump up to: а б Дингледин, Роджер (11 ноября 2015 г.). «Платило ли ФБР университету за атаку на пользователей Tor?» . Проект Тор . Проверено 20 ноября 2015 г.
- ^ Jump up to: а б Фельтен, Эд (31 июля 2014 г.). «Почему исследователи CERT атаковали Tor?» . Свобода мастерить, Центр политики в области информационных технологий, Принстонский университет.
- ^ «Судебные документы показывают, что университет помог ФБР арестовать «Шелковый путь 2» и подозреваемых в детской порнографии» . Материнская плата . 11 ноября 2015 года . Проверено 20 ноября 2015 г.