Black Tea Testing #2 - Захист ПЗ: Розробка і тестування

ЗАХИСТ ПО: РОЗРОБКАІ ТЕСТУВАННЯСергій Музиченко,serhiy.muzychenko@gmail.comhttp://www.linkedin.com/pub/serhiy-muzychenko/56/785/255

ПРО МЕНЕ:

Я не:• сертифікований спеціаліст (MVP, MCP,

MxP…)• маю великого досвіду роботи• працював тривалий час в Google,

Microsoft…• …

ЗМІСТ ОСНОВНІ ПОНЯТТЯ- ЗАХИСТ (ЩО ЦЕ? ДЛЯ ЧОГО ? ПРИКЛАДИ )- ВІД КОГО (ХТО? НАВІЩО? СКІЛЬКИ? ЯК?)- ПРИКЛАДІ ВЗЛОМІВ (WINRAR…)

LIVEHACK

ПІДХІД КОМПАНІЙ ДО ЗАХИСТУ ПО( “+ ” і “-” – цих підходів) - З ВИКОРИСТАННЯМ СВОЇХ РОЗРОБОК - З ВИКОРИСТАННЯМ ЧУЖИХ РОЗРОБОК

ПРОЦЕС ПРИЙНЯТЯ РІШЕНЯ ПРИ ЗАХИСТІ ПО (і не тільки при захисті…)

ПРОЦЕС ТЕСТУВАННЯ ЗАХИСТУ ПО

ЗАХИСТ ЩО ЦЕ? ДЛЯ ЧОГО ?

ПРИКЛАДИ

ОСНОВНІ ПОНЯТТЯ

ТЕОРІЯ

ЗАХИСТ ПО – це набір програмно-апаратних засобів, для обмеження доступу до інформації

або програмно-апаратних ресурсам…

• Для захисту інтелектуальних розробок• Для забезпечення надійності і

достовірності інформації• Для захисту від несанкціонованого

копіювання• …

???

ДЛЯ ЧОГО ?

ПРИКЛАДИ

• Вікно входу в операційну систему• Пін-код на мобільному телефоні• Пароль на архів• Авторизація на сайті• …

ХТО ? НАВІЩО? СКІЛЬКИ $? ЯК?

ВІД КОГО

ХТО БУДЕ ТЕСТУВАТИ НАШ ЗАХИСТ?

QA vs

НАВІЩО

Заради:• задоволення власного его• поваги інших• тренування для мозку• цікавості• …

СКІЛЬКИ КОШТУЄ?- зламати захист

- захистити продукт

ЯКА ЦІНА?

ЯК ВІДБУВАЄТЬСЯ ВЗЛОМ? АНАЛІЗ ВСЬОГО, ЩО

ВІДНОСИТЬСЯ ДО ОБ’ЄКТУ ВЗЛОМУ

• виклик API• показ повідомлень• наявність тексту в файлах• звертання до сервера

ЦільЗрозуміти, як працює захист.

Знайти слабкі ланки, в його логіці і обійти їх.

ПРИКЛАДИ ВЗЛОМІВ

TEAM FFF

FiGHTiNG FOR FUN

• Взлом захисту WINRAR, що будувався на криптографії еліптичних кривих

• Взлом різних програм із захистом побудованому на RSA із довжиною ключа від 1024 до 2048 біт.

LIVEHACK

TIME TOHACK,TIME TO CHANGE THE WORLD

LIVEHACK

Програма: Visual NodeFire

Короткий опис: програма, для побудови CSS3

Посилання:Захист: базується на серійному

номері

ЯК БУДЕМО ЛАМАТИ?

Проведемо поверхневий огляд програми і спробуємо її

зареєструвати…

LIVEHACK

Запам'ятаємо текст повідомлення і пошукаємо, в якому файлі він

міститься…

LIVEHACK

Знаходимо його в файлі ‘qm_visual.js’… Відкриваємо цей

файл…

LIVEHACK

Шукаємо текст нашого повідомлення…

LIVEHACK

Аналізуємо, від чого залежить поява повідомлення…

LIVEHACK

Знаходимо, ще цікаве місце…LIVEHACK

Проаналізувавши, роботу системи захисту, ми можемо легко взломати цю програму.

Більшість програм ломається, так само легко …

LIVEHACK

ПІДХІД КОМПАНІЙ ДОЗАХИСТУ ПО

Аналіз різних варіантів…

З використанням власних розробок…

ПІДХІД КОМПАНІЙ ДОЗАХИСТУ ПО

З використанням власних розробок…

Плюси:

- високий рівень гнучкості захисту

- не поширеність захисту зменшує шанс, що

зловмисник уже мав справу із подібним захистом

- швидка реакція на інцедент взлому

- …

ПІДХІД КОМПАНІЙ ДОЗАХИСТУ ПО

З використанням власних розробок…

Мінуси:

- високий поріг входу (захист потрібно

спроектувати, розробити, протестувати, а для цього

потрібні час і гроші)

- …

ПІДХІД КОМПАНІЙ ДОЗАХИСТУ ПО

З використанням чужих розробок…

ПІДХІД КОМПАНІЙ ДОЗАХИСТУ ПО

З використанням чужих розробок…

Плюси:

- низький поріг входу (ми платимо тільки за продукт,

тестування, підтримку бере на себе розробник

захисту)

- ми знімаємо з себе відповідальність і

виправдовуємось, що зробило все від нас залежне

- …

ПІДХІД КОМПАНІЙ ДОЗАХИСТУ ПО

З використанням чужих розробок…

Мінуси:

- відсутність початкового коду не дає можливості

для швидкого внесення змін в захист

- ми покладаємось на професіоналізм компанії

розробника

- …

ПІДХІД КОМПАНІЙ ДОЗАХИСТУ ПО

Який варіант вибрати?

Вибір зробити дуже легко – рахуємо скільки

коштуватимуть обидва варіанти і робимо

вибір.

ПІДХІД КОМПАНІЙ ДОЗАХИСТУ ПО

ПРОЦЕС ПРИЙНЯТЯ РІШЕНЯ ПРИ ЗАХИСТІ ПО

…І не тільки при захисті.

ПРОЦЕС ПРИЙНЯТЯ РІШЕНЯ ПРИ ЗАХИСТІ ПО

Наявність вимог

Способом прийняття рішень

ПРОЦЕС ПРИЙНЯТЯ РІШЕНЯ ПРИ ЗАХИСТІ ПО

Які вимоги до захисту?

- які вимоги бізнесу?

- які вимоги безпеки?

“Міцність ланцюга залежить від міцності

найслабшого кільця…”

Теорія Обмежень (ТОС)

ПРОЦЕС ПРИЙНЯТЯ РІШЕНЯ ПРИ ЗАХИСТІ ПО

- Що робити:коли вимоги відсутні

ми не знаємо, що конкретно потрібно

робити?

ПРОЦЕС ПРИЙНЯТЯ РІШЕНЯ ПРИ ЗАХИСТІ ПО

Що робити?Залежить від того, як ми приймаємо

рішення…

ПРОЦЕС ПРИЙНЯТЯ РІШЕНЯ ПРИ ЗАХИСТІ ПО

Як ми приймаємо рішення?В питанні, в якому не компетентні?

В даному контексті – при захисті ПО…

ПРОЦЕС ПРИЙНЯТЯ РІШЕНЯ ПРИ ЗАХИСТІ ПО

Як ми приймаємо рішення?В питанні, в якому не компетентні?

1. Пошук розв'язку проблеми в Інтернеті

або серед знайомих

2. Аналіз пропозицій від компаній-

розробників ПО для захисту.

3. Вибір між компаніями й розробкою

власного захисту.

4.Ухвалення рішення й розробка вимог на

основі рішення до захисту

ПРОЦЕС ПРИЙНЯТЯ РІШЕНЯ ПРИ ЗАХИСТІ ПО

Як ми приймаємо рішення?В питанні, в якому не компетентні?

1. Пошук розв'язку проблеми в Інтернеті

або серед знайомих

2. Аналіз пропозицій від компаній-

розробників ПО для захисту.

3. …

Де тут помилка?

ПРОЦЕС ПРИЙНЯТЯ РІШЕНЯ ПРИ ЗАХИСТІ ПО

Як ми приймаємо рішення?В питанні, в якому не компетентні?

Які помилки ми допускаємо?

Ми не компетентні в питаннях захисту ПО!

ПРОЦЕС ТЕСТУВАННЯ ЗАХИСТУ ПО

Хто у ваші компанії тестує захист?

Як, би я тестував і проектував захист…

ПРОЦЕС ТЕСТУВАННЯ ЗАХИСТУ ПО

Як, би я тестував і проектував захист…

Повинно бути два відділи:

- проектування захисту

- аудит захисту

(аналіз інцидентів)

ПРОЦЕС ТЕСТУВАННЯ ЗАХИСТУ ПО

Слабкі місця при побудові захисту…

Логіка захистуІнфраструктура

…

ПРОЦЕС ТЕСТУВАННЯ ЗАХИСТУ ПО

ПОСИЛАННЯ

1. http://ru.wikipedia.org/wiki/RSA

2. http://ru.wikipedia.org/wiki/Защита_прогр

аммного_обеспечения

3. http://news.softodrom.ru/ap/b4490.shtml

4. http://ru.wikipedia.org/wiki/Эллиптическа

я_криптография

5. http://ru.wikipedia.org/wiki/Теория_огран

ичений

ЗАХИСТ ПО: РОЗРОБКА І ТЕСТУВАННЯ

ДЯКУЮЗА УВАГУ

ЗАХИСТ ПО: РОЗРОБКА І ТЕСТУВАННЯ