БЕЗПЕЧНЕ ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ, ЩО РОЗРОБЛЯЄ РЕКОМЕНДАЦІЇ

Ключові слова: розробка безпечного програмного забезпечення; життєвий цикл розробки програмного забезпечення; вразливості; переповнення буфера; статичний та динамічний аналіз; механізми запобігання переповнення буферу

Анотація

Шкідливий вплив на інформацію в процесі функціонування комп'ютерних систем різного призначення здійснюється з метою порушення конфіденційності, цілісності і доступності і є можливим внаслідок експлуатації наявних вразливостей. Результатом такого впливу може бути несанкціонований доступ до даних або витік конфіденційної інформації. Актуальність розробки рекомендацій по створенню безпечного програмного забезпечення (ПЗ) полягає у вдосконаленні підходів до розробки ПЗ з метою ліквідації вразливостей для нового ПЗ та досліджень вже створеного ПЗ на предмет відсутності в ньому вразливостей. Для вирішення цієї проблеми, по-перше, було проведено аналіз життєвих циклів програмного забезпечення з метою визначення основних етапів його розробки. Наступним кроком були визначені можливі загрози для інформації на кожному з етапів розробки.  Розглянуто уразливість переповнення буферу як приклад. Наведено можливі способи експлуатації цієї вразливості, проаналізовано переваги і недоліки засобів виявлення та протидії. Як результат, запропоновано рекомендації щодо розробки безпечного програмного забезпечення як на загальному рівні, так і більш конкретні стосовно переповнення буфера. Практичною цінністю рекомендацій є зменшення ризиків порушення властивостей інформації, що підлягає захисту, і мінімізація витрат організації. Отримані в роботі результати також можуть бути використані для прийняття рішень про можливість експлуатації відповідного програмного забезпечення.

Завантаження

Дані завантаження ще не доступні.

Посилання

IEEE Standard Glossary of Software Engineering Terminology, IEEE Std 610.12-1990, 1990. (in English).

M. Howard, S. Lipner, “The security development lifecycle”, Microsoft Press, 2006. [Online]. Available: https://www.researchgate.net/publication/234792172_The_Security_Development_Lifecycle. [Accessed: 11- May - 2019]. (in English).

L. Futcher and R. von Solms, "Guidelines for secure software development", Proceedings of the 2008 annual research conference of the South African Institute of Computer Scientists and Information Technologists on IT research in developing countries riding the wave of technology - SAICSIT '08, pp. 56-65, 2008. Available: 10.1145/1456659.1456667 [Accessed 11 May 2019]. (in English).

DSTU ISO/IEC/IEEE 12207:2018 (ISO/IEC/IEEE 12207:2017, IDT) Systems and software engineering. Software life cycle processes, 2018. (in English).

DSTU ISO/IEC/IEEE 24765:2018 (ISO/IEC/IEEE 24765:2017, IDT) Systems and software engineering. Vocabulary, 2018. (in English).

"CWE - Common Weakness Enumeration", Cwe.mitre.org, 2019. [Online]. Available: https://cwe.mitre.org/index.html. [Accessed: 11- May- 2019]. (in English).

E. Spafford, "The internet worm program: an analysis", ACM SIGCOMM Computer Communication Review, vol. 19, no. 1, pp. 17-57, 1989. Available: 10.1145/66093.66095. (in English).

M. Hill, J. Masters, P. Ranganathan, P. Turner and J. Hennessy, "On the Spectre and Meltdown Processor Security Vulnerabilities", IEEE Micro, vol. 39, no. 2, pp. 9-19, 2019. Available: 10.1109/mm.2019.2897677. (in English).

"CVE-2019-0697 | Windows DHCP Client Remote Code Execution Vulnerability", microsoft.com, 2019. [Online]. Available: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0697. [Accessed: 11- May- 2019]. (in English).

T. Babenko, S. Toliupa and Y. Kovalova, "LVQ models of DDOS attacks identification," 2018 14th International Conference on Advanced Trends in Radioelecrtronics, Telecommunications and Computer Engineering (TCSET), Lviv-Slavske, 2018, pp. 510-513. (in English).

Intel I. and IA-32 architectures software developer’s manual, Volume 3A: System Programming Guide, Part 1, September 2016. (in English).

One, "Smashing the stack for fun and profit", Phrack.org, 1996. [Online]. Available: http://phrack.org/issues/49/14.html. [Accessed: 11- May - 2019]. (in English).

Avetisyan, "Modern methods of static and dynamic analysis of programs for automation of processes for improving the quality of software", Doctor of Physical and Mathematical Sciences, Ivannikov Institute for System Programming of the RAS, 2012. (in English).

V. Ivannikov et al., "Static analyzer Svace for finding of defects in program source code", Proceedings of the Institute for System Programming of RAS, vol. 26, no. 1, pp. 231-250, 2014. Available: 10.15514/ispras-2014-26(1)-7. (in English).

D. Brumley, P. Poosankam, D. Song and J. Zheng, "Automatic Patch-Based Exploit Generation is Possible: Techniques and Implications", in 2008 IEEE Symposium on Security and Privacy, IEEE Computer Society Washington, DC, USA, 2008, pp. 43-157. (in English).

Avgerinos, T., Cha, S.K., Lim, B.T.H., and Brumley, D. “AEG: Automatic Exploit Generation,” Network and Distributed System Security Symposium, Internet Society, San Diego, CA, 2011, pp. 283-300. (in English).

F. Bellard, "QEMU, a Fast and Portable Dynamic Translator", in USENIX Annual Technical Conference, Anaheim, CA, USA, 2005, pp. 41–46. (in English).

N. Nethercote and J. Seward, "Valgrind", ACM SIGPLAN Notices, vol. 42, no. 6, pp. 89-100, 2007. Available: 10.1145/1273442.1250746 [Accessed 11 May 2019]. (in English).

Cadar, D. Dunbar and D. Engler, "KLEE: Unassisted and Automatic Generation of High-Coverage Tests for Complex Systems Programs", in OSDI'08 Proceedings of the 8th USENIX conference on Operating systems design and implementation, San Diego, California, 2008, pp. 209–224. (in English).

T. Avgerinos, S. Cha, A. Rebert, E. Schwartz, M. Woo and D. Brumley, "Automatic exploit generation", Communications of the ACM, vol. 57, no. 2, pp. 74-84, 2014. Available: 10.1145/2560217.2560219 [Accessed 11 May 2019]. (in English).


Переглядів анотації: 47
Завантажень PDF: 38
Опубліковано
2019-12-26
Як цитувати
[1]
V. Grechko, T. Babenko, і L. Myrutenko, «БЕЗПЕЧНЕ ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ, ЩО РОЗРОБЛЯЄ РЕКОМЕНДАЦІЇ», Кібербезпека: освіта, наука, техніка, вип. 2, вип. 6, с. 82-93, Груд 2019.