13.12.11

О чем обычно говорят на внутренних конференциях по ИБ

Давеча слушал различные выступления на внутренней конференции Cisco SecCon. Собственно, задача данной конференции рассказать сотрудникам Cisco о тенденциях в области хакинга и о том, как им противостоять, как правильно писать защищенные программы, ну и т.д. Вторая часть интересна только нашим программистам, т.к. там изучаются такие темы как
  • Защищенное программирование на C/C++
  • Защищенное программирование для Java/Web
  • Фундаментальные основы тестирования ПО с точки зрения ИБ
  • Расширенное тестирования ПО с точки зрения ИБ: Fuzzing
  • Тестирование приложений с точки зрения ИБ
  • Статический и динамический анализ кода
  • И т.д.
А вот первую я прослушал с большим интересом. Особенно доклады приглашенных спикеров. Среди них директор по исследованиям в области ИБ Akamai, специальный агент Секретной Службы США, эксперты Verizon и Comcast, а также специалисты CERT/CC.

Слушать их было интересно и... страшно... для меня, как гражданина России. По их словам вся угроза киберпространству идет из России ;-( Особенно интересно было слушать спецагента US Secret Service, который рассказывал про реальные случаи ведения и задержания русских (там и граждане Эстонии были, но их упорно называли русскими) хакеров. Познавательный доклад ;-) Кстати, Секретная Служба США - основной орган по расследованию "электронных" инцидентов Америке (в моем курсе про это чуть более подробно).

Отличный рассказ от эксперта CERT/CC по тому, как писать защищенные программы, какие ошибки обычно делают программисты, какие практики должны быть внедрены для реализации SDL, какие инициативы запущены CERT/CC для решения этой задачи. Хоть я уже и давно не программист, но было интересно. Кстати, недавно обновили SAMATE - свободно доступный онлайн-инструмент, содержащий классические ошибки при написании кода на Java, C и C++. 175 категорий, 60000 специфических ошибок!

Уже от наших спецов была классная презентация по сертификации по требованиям ИБ. В целом идея с оценкой соответствия правильная; вопрос только в реализации. В презентации как раз рассматривались различные схемы сертификации (преимущественно американские) - "Общие критерии", FIPS, DoD UC ACL, I3MP, их особенности, требования, подводные камни. Если бы у нас был бы более грамотный подход к сертификации, то и вопросов бы к ФСТЭК и ФСБ было бы гораздо меньше.

ЗЫ. Из забавного - в презентациях как минимум 5 выступающих встречалась вот эта, ставшая уже классикой, иллюстрация.


2 коммент.:

doom комментирует...

А как же эта картинка:
http://qwey.ru/uploads/images/00/00/01/2011/01/19/e8bdd474e7.jpg

:)

Алексей Лукацкий комментирует...

А я такой и не видел раньше