Start_X Sep 18 2023 at 13:09

Как научить разработчиков писать безопасный код: взгляд хакера

7 min

15K

Start X (EX Антифишинг) corporate blogInformation Security*Development Management*

Opinion

Comments 4

Apoheliy Sep 18 2023 at 17:27

Подумал, что статья по утечки памяти, статические анализаторы, выстраивание процессов разработки чтобы был безопасный код.

Также, похоже, предложенный подход (ctf) актуален для программирования систем с подключением к внешней сети (как вариант - выходом в интернет) или доступом пользователя к операционной среде (т.е. он, образно, может вставить флешку в usb-порт).

Для случая программирования изолированных систем что-то подобное есть?

Start_X Sep 19 2023 at 09:16

Что вы имеете в виду под изолированными системами? Если это что-то вроде внутреннего сервиса компании, это значит, что туда входят какие-то данные, преобразовываются и выходят, значит, доступ есть (через web-интерфейс, терминал или ту же флешку), и все указанное выше актуально)

Apoheliy Sep 19 2023 at 22:40

Интересное предположение.

Сеть изолирована (доступа в интернет - нет). Веба - нет, Серверов - нет. Точнее так: сервера есть, но не являются обязательными: работает как с серверами, так и без серверов (требование по устойчивости). Но веба всё равно нет (даже с серверами).

Данные в основном входят по аналоговым проводам (телефонная лапша), типа fxo, fxs, тч. Также есть синхронные линии, типа E1. Кстати, ещё иногда есть SIP через ethernet. Но тут момент в том, что на всех этих входах нет ни аутентификации, ни авторизации. Т.е. кто смог подключиться - тот легитимный.

И какая возможна атака?: Условный хакер ломает доверенного контрагента и через него влезает в изолированную сеть и подключается к системе по E1 или sip? И пытается что-то ... что (веб серверов - нет)?

Что самое интересное, запрос на безопасный код - он ЕСТЬ! Реально есть! Вот прямо по названию статьи.

Только это всё не про веб.

Start_X Sep 21 2023 at 18:44

Касательно того, чего пытается достичь атакующий при попадании в систему — зависит от того, что этой системой обрабатывается и для чего она нужна. Тут необязательно нужны веб-сервера, атаки на уровнях от физического до сетевого никуда не делись (как пример, stuxnet).

Говоря о защите, снова упираемся в назначение системы. Чем дешевле активы, тем меньше заинтересованность хакеров и меньше затраты на ИБ. Тут только Вам выбирать, может и английского замка хватит)