Координационный центр CERT

 

Координационный центр CERT/CC находится в Питсбурге (шт. Пенсильвания, США) в Институте разработки программного обеспечения при университете Карнеги-Мэллона (Carnegie Mellon University's Software Engineering Institute). SEI, спонсируемый Министерством обороны США, занимается улучшением методов разработки программного обеспечения. Координационный центр CERT/CC является частью программы, которая реализуется в SEI (Networked Systems Survivability, Выживаемость сетевых систем). Основная цель программы — гарантировать построение соответствующей технологии и методов управления системой для того, чтобы максимально эффективно противодействовать атакам, минимизировать ущерб и обеспечить бесперебойность работы системы даже в случае успешного осуществления атаки.

После известного случая с "червем Морриса", запущенным в Сеть в ноябре 1988 года и выведшим из строя почти 10% всех компьютеров сети Internet, Управление перспективных исследований Министерства Обороны США (Defense Advanced Research Projects Agency, DARPA) выделило деньги на создание центра, координирующего действия экспертов в области безопасности и позволяющего не только вовремя реагировать на возникающие атаки, но и предотвращать их в будущем.

Координационный центр CERT/CC основан для решения следующих задач:

· обеспечения постоянной и надежной связи для реагирования на сообщения об атаках;

· организации взаимодействия между экспертами, работающими в области информационной безопасности;

· централизации идентификации и коррекции уязвимостей в компьютерных системах;

· проведения научных исследований для повышения уровня безопасности существующих систем.

Начиная с момента своего основания и до конца третьего квартала 2000 года, CERT/CC обработал больше 42 000 сообщений о компьютерных инцидентах и атаках. Вместе с тем, очевидно, что одной организации практически не под силу объединить всех экспертов по безопасности и отвечать на сообщения со всех концов света. Поэтому CERT/CC предложил сформировать несколько отдельных групп, которые бы обеспечивали соответствующей информацией свои категории пользователей. Так были созданы CIAC FIRST и другие группы реагирования на атаки. До недавнего времени CERT/CC был самым крупным и известным центром, имеющим более 40 представительств во многих странах мира (в том числе и в государствах бывшего СССР). Однако в настоящий момент центр CERT уже не столь знаменит, как раньше. Существуют более популярные центры, публикующие бюллетени об атаках и уязвимостях чаще и полнее, например, ISS X-Force, SecurityFocus и т. д.

Для периодического ознакомления с обнаруженными в исследовательских лабораториях CERT/CC уязвимостями программного и аппаратного обеспечения на WWW-сервере (http://www.cert.org), FTP-сервере (ftp://ftp.cert.org/ pub/cert_advisories), в телеконференции USENET (comp.security.announce) и через список рассылки, публикуются так называемые Advisories — описания уязвимостей, атак и способов их преодоления. Информация о проблемах безопасности и их решении, полученная от фирм-производителей, распространяется в специальных информационных бюллетенях от поставщиков (Vendor-Initiated Bulletins) по тем же каналам, что и Advisories.

Для подписки на список рассылки CERT Advisories и CERT Vendor-Initiated Bulletins нужно послать сообщение на адрес [email protected]. В теле сообщения требуется указать следующие строки:

 

subscribe cert-advisory <ваш адрес электронной почты>

subscribe cert-bulletin <ваш адрес электронной почты>

 

X-Force

 

Как уже упоминалось в главе 2, в компании ISS была создана группа X-Force, которая занимается исследованиями в области адаптивной безопасности сети. Результаты этих исследований помещаются в базу данных уязвимостей и угроз. Помимо этого, группа X-Force периодически рассылает сообщения о новых атаках и уязвимостях в своем списке X-Force Security Alert. Для подписки на список рассылки требуется послать по E-mail сообщение на адрес [email protected]. Тело сообщения должно содержать следующую строку:

 

subscribe alert <ваш адрес электронной почты>

 

CIAC

Центр CIAC был организован при Министерстве энергетики США в 1989 г. Основной целью CIAC является обеспечение компьютерной безопасности служащих и подрядчиков Министерства энергетики. CIAC выполняет множество функций, включая:

· обработку сообщений об инцидентах;

· обеспечение компьютерной безопасности служащих и подрядчиков Министерства энергетики;

· проведение симпозиумов по вопросам информационной безопасности;

· консультации по вопросам защиты информации.

Группа CIAC входит в состав Центра безопасных компьютерных технологий (Computer Security Technology Center) и расположена в Национальной Лаборатории Лоуренса Ливермора (Lawrence Livermore National Laboratory). Центр CIAC является одним из участников форума FIRST.

CIAC для периодического ознакомления сообщества Internet с вновь образующимися "дырами" аналогично координационному центру CERT/CC публикует информационные бюллетени (Advisories) на своем WWW-сервере (http://llnl.ciac.gov) и распространяет их через список рассылки. Для подписки на список рассылки CIAC Advisories необходимо послать сообщение на адрес [email protected]. В тело сообщения требуется включить следующую строку:

 

subscribe ciac-advisories <ваш адрес электронной почты>

 

Журналы, ежедневники

 

В России пока мало издается журналов, посвященных описанию тех или иных атак и уязвимостей. Очень редко такие описания можно встретить в журналах "Сети. Глобальные сети и телекоммуникации", "Хакер", "Конфидент. Защита информации", "Системы безопасности, связи и телекоммуникаций" и т. д. Зарубежных журналов тоже сравнительно немного. И это закономерно. Печатные издания выходят раз-два в месяц, что не позволяет своевременно оповещать читателей о появлении новых способов нарушения политики безопасности. Как правило, такого рода информация публикуется в списках рассылки, на Web-серверах или, в крайнем случае, в электронных изданиях. Одним из известных электронных изданий является журнал Phrack (http://www.phrack.org).

 

Web-серверы

 

Web-серверы — это второй из распространенных дополнительных источников данных, из которых специалисты могут почерпнуть информацию об атаках и уязвимостях. Такие источники могут быть разделены на три категории.

· Серверы производителей и поставщиков программного и аппаратного обеспечения. В их список можно включить уже упомянутые сайты технической поддержки компаний Microsoft, Novell, Sun, Hewlett Packard, Cisco и др. На этих серверах публикуются сообщения об обнаруженных "дырах" в решениях именно этих компаний.

· Серверы специализированных организаций и компаний. К таким ресурсам можно отнести Web-серверы компаний ISS, Axent, Mitre, а также серверы таких организаций, как NASA, университет Purdue и т. п.

· Независимые серверы: Hackzone (http://www.hackzone.ru), Void (http://void.ru)

и т. д.

 

FIRST

 

После создания CERT/CC, CIAC и других групп, каждой со своим финансированием, своими целями и требованиями, стало ясно, что без единого, координирующего центра не обойтись. При взаимодействии между группами, зачастую находящимися в разных часовых поясах, возникали языковые и иные проблемы. Поэтому в 1990 году при содействии 11 участников (CERT, CIAC и др.) был создан FIRST (Forum of Incident Response and Security Teams) — международный форум, объединяющий практически все группы реагирования на инциденты. К середине 1997 года состав FIRST (http://www.first.org) уже насчитывал более 60 команд и групп реагирования на инциденты из различных стран мира (табл. 4.7).

 

Таблица 4.7. Команды реагирования, входящие в FIRST

 

Название команды реагирования	Пользователи
Команды реагирования, входящие в FIRST
AUSCERT (Australian Computer Emergency Response Team)	Австралия
CARNet-CERT	Организации, подключенные к сети CARNet
CERT	Пользователи Internet
CERT-IT, Computer Emergency Response Team Italiano	Италия
CERT-NL	Организации, подключенные к сети SURFnet
DFN CERT	Германия
Israeli Academic Network	Пользователи университета Израэли
MxCERT (Mexican CERT)	Мексика (домен .mx)
JANET-CERT	Все организации Великобритании, подключенные к сети JANET
NORDUnet	NORDUnet
SWITCH-CERT	Организации, подключенные к сети SWITCH
Правительственные учреждения США, входящие в FIRST
CIAC	Министерство энергетики США, его партнеры плюс организации, подключенные к Energy Science Network (ESnet)
Goddard Space Flight Center	Центр космических полетов Годдарда
NASA (Ames Research Center)	Аэрокосмическое агентство США
NASA Automated Systems Incident Response Capability (NASIRC)	Аэрокосмическое агентство США и аэрокосмические агентства других стран
NCSA-IRST (National Center for Supercomputing Applications IRST)	Сообщество супервычислений
U. S. National Institute of Health	Служащие национального института здравоохранения
NIST/CSRC	NIST и гражданские агентства США
U.S. Social Security Administration	Министерство социального страхования США
Small Business Administration (SBACERT)	Сообщество малого бизнеса
Veteran's Health Administration Forum of Incident Response Security Team	Сообщество ветеранов здравоохранения

 

Таблица 4.7. (продолжение)

 

Название команды реагирования	Пользователи
Военные организации США, входящие в FIRST
AFCERT (Air Force CERT)	Военно-воздушные силы
ASSIST	Министерство обороны (команда реагирования ASSIST)
Defense Information Systems Agency	Агентство DISA
NAVCIRT (Naval Computer Incident Response Team)	Команда реагирования NAVAL
Образовательные учреждения США, входящие в FIRST
Northwestern University	Северо-западный университет
Ohio State University Incident Response Team (OSU-IRT)	Команда реагирования университета штата Огайо
Pennsylvania State University	Университет штата Пенсильвания
Purdue Computer Emergency Response Team (PCERT)	Команда реагирования университета Purdue
Stanford University Network Security Team	Команда сетевой безопасности Стэндфордского университета
Зарубежные правительственные организации, входящие в FIRST
BSI/GISA	Германские правительственные учреждения
ССТА	Правительственные учреждения и агентства Великобритании
Defense Research Agency, Malvern	Агентство оборонных исследований США
Renater	Министерство исследований и образования Франции
Поставщики и производители компьютеров и устройств связи, входящие в FIRST
Apple Computer	Пользователи Apple Computer
Cisco Systems	Сотрудники и партнеры Cisco Systems
Digital Equipment Corporation (SSRT)	Заказчики DEC
FreeBSD, Inc.	Пользователи FreeBSD и других UNIX-систем
Hewlett Packard Company	Заказчики HP-UX и MPE
IBM-ERS	Заказчики IBM
MCI	Сотрудники и партнеры MCI
Micro BIT Virus Center	Любой звонящий

 

Таблица 4.7. (окончание)

 

Название команды реагирования	Пользователи
Motorola Соmp. Emergency Response Team	Motorola
Silicon Graphics Inc.	Пользователи SGI
SUN Microsystems, Inc.	Заказчики SUN
UNISYS Computer Emergency Response Team (UCERT)	Пользователи UNISYS
Sprint	Sprint Net (X.25) и Sprint Link (TCP/IP)
Другие коммерческие команды реагирования, входящие в FIRST
ANS CO+RE Systems, Inc.	Заказчики ANS
Bellcore	Bellcore
Boeing CERT (BCERT)	Boeing
EDS	EDS и ее заказчики
General Electric Company	Тринадцать предпринимателей GE
Goldman, Sachs and Company JP Morgan	Сотрудники и консультанты JP Morgan
SAIC Security Emergency ResponseCenter	Коммерческие и правительственные заказчики
TRW Inc.	Системные и сетевые администраторы TRW
Westinghouse Electric Corporation	Westinghouse Electric Corporation

 

Перед FIRST были поставлены следующие цели:

· обеспечение сотрудничества между участниками форума для эффективного предотвращения и обнаружения нападений и восстановления информационных систем после компьютерных инцидентов;

· осуществление связи между участниками форума для аварийной и консультативной информации о потенциальных угрозах и атаках;

· облегчение, взаимодействия участников FIRST, проводящих исследования в области информационной безопасности;

· облегчение распределения информации, инструментов и механизмов, обеспечивающих информационную безопасность.

FIRST — организатор ежегодного симпозиума Computer Security Incident Handling Workshop, на котором собираются все команды и группы реагирования на инциденты и где они обсуждают свои проблемы. На этом симпозиуме собираются не только участники FIRST, но и все желающие. 2-3 раза в год FIRST организует закрытые коллоквиумы только для своих участников.

Являясь координатором групп реагирования на инциденты, сам форум RST не публикует информации об уязвимостях и атаках на компьютерные системы.

 

Nasirc

 

Центр NASA Automated Systems Incident Response Capability (NASIRC) был создан американским аэрокосмическим агентством (NASA) для выполнения инструкции ОМВ А-130, закона Computer Security Act от 1987 года и других федеральных законов, нормативных документов и правил, имеющих отношение к технологиям защиты информации.

Центр NASIRC (http://www-nasirc.nasa.gov) координирует все подразделения NASA и обеспечивает их технической поддержкой по вопросам информационной безопасности, включая реагирование на атаки. Основные задачи NASIRC перечислены ниже.

· Анализ, координация деятельности и реагирование на широкий диапазон атак и угроз компьютерам и сетям. Исследование и выработка способов и рекомендаций, уменьшающих риск информационным системам.

· Анализ имеющихся на рынке средств защиты и распределение их среди подразделений NASA.

· Обучение служащих NASA. Выпуск брошюр и информационных бюллетеней, повышающих осведомленность пользователей в области защиты информации.

Аналогично многим другим командам реагирования на атаки, NASIRC входит в FIRST. NASIRC выполняет свои функции путем сотрудничества и координации внутренних подгрупп реагирования на инциденты, а также взаимодействуя с внешними организациями типа FIRST.

 

COAST

 

Цель создания проекта и одноименной лаборатории Computer Operations Audit and Security Technology (COAST):

· исследовательская работа в области информационной безопасности;

· разработка защитных программных и аппаратных средств;

· обучение вопросам обеспечения информационной безопасности.

О создании COAST (http://www.cs.purdue.edu/coast/) было официально объявлено в 1992 году. Однако одноименная лаборатория существовала еще задолго до этого. В рамках научно-исследовательских работ, проведенных ее сотрудниками, было опубликовано большое количество статей и книг, разработаны такие известные системы, как система анализа защищенности Unix-систем COPS; система контроля целостности файлов Tripwire; системы обнаружения атак IDIOT и AAFID и др.

В настоящий момент проект COAST, поддерживаемый такими крупными компаниями и организациями, как Microsoft, Sun, Cisco, DARPA, AT&T, Internet Security Systems, NSA, поменял свое название на CERIAS.