+ Reply to Thread
Results 1 to 13 of 13

Thread: Аудит российского ПО

  1. #1
    s.zelenyuk's Avatar

    Default Аудит российского ПО

    Как известно, существует реестр программ, разрабатываемых в замену иностранным вариантам для использования в государственных учреждениях. Возникает вопрос, насколько безопасен этот софт в плане уязвимостей. Я осмотрел поверхностно несколько программ, и в каждом втором случае обнаружились ошибки то в правах на объекты, то в драйверах, не проверяющих IOCTL. Не приходится говорить о том, сколько потенциальных уязвимостей можно найти, если углубиться в бинарники.

    Из этого можно сделать предположение, что с учётом безопасности ведётся разработка разве что тех программ, которые у всех на слуху, например, антивирусов. Тем временем, в реестре 2602 записи, и хотя около 90% софта, если не больше, недоступно для скачивания, что-то найти можно. Очевидно, что ПО само по себе или по указу свыше безопасным не станет, и нужны прецеденты, которые могут быть двух видов: либо уязвимости ищутся и сообщаются разработчику в рамках закона, либо тёмные личности находят их первыми и эксплуатируют, пока об этом не станет известно общественности. Мы идём первым путём.

    Теперь к самой идее. Время одиночек уходит в прошлое, софт слишком сложен, чтобы несколько найденных уязвимостей в рамках bug bounty на что-то повлияли. Я вижу разумным организацию группы людей, объединённых целью усовершенствования безопасности отечественного ПО, без какой-либо материальной выгоды, следующих закону и профессиональной этике. Несколько ключевых пунктов:
    • исследуется только российское ПО из реестра;
    • уязвимости разглашаются по принципу responsible disclosure;
    • информация о найденных уязвимостях выкладывается на отдельном ресурсе, схожем с NVD или ФСТЭК БДУ;
    • каждый участник вправе сохранять анонимность;
    • группа или её участники не получают оплату за найденные уязвимости.
    Правила и сайт будут разработаны позднее.

    На данный момент хотелось бы услышать ваши вопросы, предложения, критику идеи или отдельных моментов. Контакты:
    Tox ID: 0F90C4EF7582AFCA770D0FEE28CBB28B568C66B7B505D250B4 7FCC510A7EC3535400C3AD8254 (удалите пробел)
    Last edited by s.zelenyuk; 08-01-2017 at 05:52.

  2. #2
    Darwin's Avatar

    Default Re: Аудит российского ПО

    объединённых целью усовершенствования безопасности отечественного ПО
    Очень слаба цель, без мат. поддержки. ИМХО

    Правила и сайт будут разработаны позднее.
    Причем основная выгода (от пиара) идет разработчику будущего сайта.
    Счастлив кто отдал, а не взял. (с) Inception

  3. Пользователь сказал cпасибо:
    BaronPabloz (15-01-2017)
  4. #3
    s.zelenyuk's Avatar

    Default Re: Аудит российского ПО

    Очень слаба цель, без мат. поддержки. ИМХО
    Ищутся энтузиасты, готовые попробовать копнуть непаханое поле, ибо пока даже неизвестно, как корпорации будут реагировать на сообщения об уязвимостях и, в особенности, на раскрытие деталей в случае игнорирования.
    Причем основная выгода (от пиара) идет разработчику будущего сайта.
    Повторюсь, нет никакой цели получать выгоду. На первых порах можно использовать данный форум, далее потребуется организация базы для систематизации и удобного поиска. NVD не рассматривается, наш сугубо локальный софт их не интересует, остаётся БДУ, но она управляется ФСТЭК'ом и как-то повлиять на неё нельзя. Остаётся создание отдельного ресурса.
    Last edited by s.zelenyuk; 07-01-2017 at 15:41.

  5. #4

    Default Re: Аудит российского ПО

    Quote Originally Posted by s.zelenyuk View Post
    Ищутся энтузиасты...
    Повторюсь, нет никакой цели получать выгоду...
    Не претендую быть оракулом, но на дворе рыночная экономика, и на энтузиазме долго существовать не получится. Коммерческая перспектива должна просматриваться хотя бы вдалеке, без неё проект обречён.

  6. 5 пользователя(ей) сказали cпасибо:
    BaronPabloz (15-01-2017) Darwin (08-01-2017) Patrick (10-01-2017) vient (09-01-2017) ximera (09-01-2017)
  7. #5
    s.zelenyuk's Avatar

    Default Re: Аудит российского ПО

    Критика учтена, спасибо. Будем думать дальше.

  8. #6
    s.zelenyuk's Avatar

    Default Re: Аудит российского ПО

    Создан список ПО из реестра.
    Таблица в формате ODS: https://github.com/sergeyzelenyuk/re..._formatted.ods
    Скрипт: https://github.com/sergeyzelenyuk/re...yaz_ru_scraper

    Начато формирование списка софта, доступного для скачивания и анализа.

  9. #7
    s.zelenyuk's Avatar

    Default Re: Аудит российского ПО

    Из 2602 программ всего можно скачать 354, из них 214 в полной версии и 140 в виде демо. Те программы, для скачивания которых нужно регистрироваться, не учитывались.
    Список скачиваемых программ: https://github.com/sergeyzelenyuk/re...wnloadable.ods
    Список всех программ (ссылка из предыдущего поста нерабочая): https://github.com/sergeyzelenyuk/re..._formatted.ods

  10. #8
    Darwin's Avatar

    Default Re: Аудит российского ПО

    Рекомендую завести документ на Google Docs или делать дополнительно CSV-файл.
    Счастлив кто отдал, а не взял. (с) Inception

  11. #9
    s.zelenyuk's Avatar

    Default Re: Аудит российского ПО

    Quote Originally Posted by Darwin View Post
    Рекомендую завести документ на Google Docs или делать дополнительно CSV-файл.
    Готово.
    https://github.com/sergeyzelenyuk/re...wnloadable.csv
    https://github.com/sergeyzelenyuk/re..._formatted.csv

  12. Пользователь сказал cпасибо:
    Darwin (20-01-2017)
  13. #10
    s.zelenyuk's Avatar

    Default Re: Аудит российского ПО

    Первые уязвимости (RCE) найдены в TrueConf. Решил, что буду работать один, по крайней мере первое время, что будет дальше - увидим.

  14. #11
    s.zelenyuk's Avatar

    Default Re: Аудит российского ПО


  15. #12
    s.zelenyuk's Avatar

    Default Re: Аудит российского ПО

    Идея искать баги бесплатно выгорела, вы были правы.

  16. Пользователь сказал cпасибо:
    Darwin (15-10-2017)
  17. #13
    Darwin's Avatar

    Default Re: Аудит российского ПО

    Кек, может и деньги начнут платить))

    Российские власти заплатят 500 миллионов рублей за поиск уязвимостей в IT-системах
    https://meduza.io/news/2018/01/12/ro...-v-it-sistemah
    Счастлив кто отдал, а не взял. (с) Inception

+ Reply to Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
All times are GMT. The time now is 14:45
vBulletin® Copyright ©2000 - 2018
www.reverse4you.org