Koordinační centrum CERT - CERT Coordination Center

Koordinační centrum CERT
Typ	FFRDC (část Institut softwarového inženýrství )
Průmysl	Software a zabezpečení sítě
Založený	1988
Hlavní sídlo	Pittsburgh, PA, Spojené státy
Klíčoví lidé	Roberta G. Stempfley; Ředitel
webová stránka	sei.cmu.edu/o/ divize/ cert/index.cfm

The Koordinační centrum CERT (CERT / CC) je koordinačním centrem tým pro nouzovou reakci na počítač (CERT) pro Institut softwarového inženýrství (SEI), nezisková Spojené státy federálně financované výzkumné a vývojové centrum. CERT / CC zkoumá softwarové chyby, které mají dopad na bezpečnost softwaru a internetu, publikuje výzkum a informace o jeho zjištěních a ve spolupráci s obchodními a vládními subjekty zlepšuje bezpečnost softwaru a internetu jako celku.

Dějiny

První organizace svého druhu, CERT / CC, byla vytvořena v roce Pittsburgh v listopadu 1988 v DARPA směr v reakci na Morrisův červ incident.^[1] CERT / CC je nyní součástí divize CERT Institutu softwarového inženýrství, která má více než 150 odborníků v oblasti kybernetické bezpečnosti pracujících na projektech, které proaktivní přístup k zabezpečení systémů. Program CERT spolupracuje s vládami, průmyslem, orgány činnými v trestním řízení a akademickou obcí při vývoji pokročilých metod a technologií pro potírání rozsáhlých sofistikovaných kybernetických hrozeb.

Program CERT je součástí Institut softwarového inženýrství (SEI), federálně financované výzkumné a vývojové centrum (FFRDC ) na Univerzita Carnegie Mellon University hlavní kampus v Pittsburghu. CERT je registrovaná ochranná známka Carnegie Mellon University.^[2]

Zmatek s US-CERT a jinými CERT

V roce 2003 Ministerstvo vnitřní bezpečnosti uzavřela dohodu s Carnegie Mellon University o vytvoření US-CERT.^[3] US-CERT je národní tým pro reakci na počítačové bezpečnostní incidenty (CSIRT ) pro Spojené státy americké. Tato spolupráce často způsobuje záměnu mezi CERT / CC a US-CERT. I když jsou tyto dvě organizace příbuzné, jsou to odlišné entity. Obecně platí, že US-CERT řeší případy, které se týkají národní bezpečnosti USA, zatímco CERT / CC řeší obecnější případy, často mezinárodně.

CERT / CC koordinuje informace s US-CERT a dalšími týmy pro reakci na bezpečnostní incidenty počítačů, z nichž některé mají licenci k použití názvu „CERT“. ^[4] I když tyto organizace licencují název „CERT“ na univerzitě Carnegie Mellon University, jsou to nezávislé subjekty usazené v jejich vlastních zemích a CERT / CC je neprovozuje.

CERT / CC založil FIRST, organizaci podporující spolupráci a výměnu informací mezi různými národními CERT a soukromými PSIRT pro bezpečnost produktů.

Schopnosti

Výzkumná práce CERT / CC je rozdělena do několika různých pracovních oblastí.^[5] Níže jsou uvedeny některé klíčové funkce a produkty.

Koordinace

CERT / CC spolupracuje přímo s prodejci softwaru v soukromém sektoru i s vládními agenturami při řešení zranitelností softwaru a poskytování oprav veřejnosti. Tento proces se nazývá koordinace.

CERT / CC podporuje konkrétní proces koordinace známý jako Odpovědné koordinované zveřejnění. V tomto případě CERT / CC soukromě spolupracuje s dodavatelem na řešení této chyby zabezpečení před zveřejněním veřejné zprávy, obvykle společně s vlastním bezpečnostním poradcem dodavatele. V extrémních případech, kdy prodejce není ochoten problém vyřešit nebo jej nelze kontaktovat, CERT / CC obvykle zveřejní informace veřejně po 45 dnech od prvního pokusu o kontakt.^[6]

Zranitelnosti softwaru koordinované CERT / CC mohou pocházet z interního výzkumu nebo z externích zpráv. Zranitelnosti zjištěné externími jednotlivci nebo organizacemi lze hlásit CERT / CC pomocí formuláře pro hlášení zranitelností CERT / CC.^[7] V závislosti na závažnosti hlášené chyby zabezpečení může CERT / CC podniknout další kroky k řešení této chyby zabezpečení a koordinaci s prodejcem softwaru.

Poznámky k databázi znalostí a chybě zabezpečení

CERT / CC pravidelně zveřejňuje poznámky o zranitelnosti ve znalostní databázi CERT.^[8]^[9] Poznámky k chybě zabezpečení obsahují informace o nedávných zranitelnostech, které byly prozkoumány a koordinovány, a o tom, jak mohou jednotlivci a organizace tyto zranitelnosti zmírnit.

Databáze Vulnerability Notes nemá být úplná.

Nástroje pro analýzu zranitelnosti

CERT / CC poskytuje komunitě pro výzkum zabezpečení řadu bezplatných nástrojů.^[10] Některé nabízené nástroje zahrnují následující.

CERT Tapioca - předkonfigurované virtuální zařízení pro provádění útoků typu man-in-the-middle. To lze použít k analýze síťového provozu softwarových aplikací a k určení, zda software správně používá šifrování atd.
BFF (Basic Fuzzer Framework) - mutační souborový fuzzer pro Linux
FOE (Failure Observation Engine) - mutační souborový fuzzer pro Windows
Dranzer - zjišťování zranitelnosti Microsoft ActiveX

Výcvik

CERT / CC pravidelně nabízí školení pro výzkumné pracovníky nebo organizace, které chtějí založit vlastní PSIRT.^[11]

Koordinační centrum CERT

Kontroverze

V létě 2014 provedl výzkum CERT financovaný Federální vláda USA byl klíčem k de-anonymizaci domény Tor (anonymní síť) a informace předvolané CERT z FBI byl zvyklý sundat SilkRoad 2.0 ten pád. FBI odmítl platit CMU deanonymizovat uživatele,^[12]a CMU popřely, že by dostaly financování za dodržování vládního předvolání.^[13]

Navzdory nepřímému přispění ke zničení mnoha nezákonných webových stránek a zatčení nejméně 17 podezřelých výzkum přinesl několik otázek:

o etice výzkumu počítačové bezpečnosti jako o zájmu komunity Tor^[14] a další^[15]
o tom, že jsou bezdůvodně prohledávány online v souvislosti se zárukou poskytovanou 4. dodatek USA^[14]
o SEI / CERT jednající napříč svými vlastními misemi, včetně zadržení zranitelných míst, které našel od softwarových implementátorů a veřejnosti.^[15]

CMU ve svém prohlášení z listopadu 2015 uvedla, že „... univerzitě se čas od času doručují předvolání požadující informace o výzkumu, který provedla. Univerzita se řídí právním řádem, dodržuje zákonně vydaná předvolání a nedostává žádné prostředky na jeho dodržování “, i když Základní deska uvedli, že ani FBI, ani CMU nevysvětlily, jak se úřad nejprve o výzkumu dozvěděl, a poté předvolával příslušné informace.^[13]V minulosti SEI také odmítla vysvětlit podstatu tohoto konkrétního výzkumu v reakci na tiskové dotazy: „Děkujeme za váš dotaz, ale je naší praxí nekomentovat vyšetřování donucovacích orgánů nebo soudní řízení.“^[16]

Viz také

Reference

^ „O nás: Divize CERT“. Institut softwarového inženýrství. Univerzita Carnegie Mellon. Citováno 9. března 2015.
^ „Ochranné známky a servisní značky“. Institut softwarového inženýrství. Univerzita Carnegie Mellon. Citováno 7. prosince 2014.
^ „Americké ministerstvo pro vnitřní bezpečnost ohlašuje partnerství s CERT koordinačním centrem Carnegie Mellon“. Tisková zpráva SEI. Univerzita Carnegie Mellon. 15. září 2003. Citováno 7. prosince 2014.
^ „Národní týmy CSIRT“. Univerzita Carnegie Mellon. Citováno 9. března 2015.
^ CERT / CC. „Divize CERT“. Citováno 9. března 2015.
^ „Zásady zveřejňování informací o zranitelnosti“. Institut softwarového inženýrství. Univerzita Carnegie Mellon. Citováno 9. března 2015.
^ https://forms.cert.org/VulReport/
^ „Databáze poznámek o chybě zabezpečení“. Institut softwarového inženýrství. Univerzita Carnegie Mellon. Citováno 27. říjen 2017.
^ Cory Bennett. „Nová iniciativa si klade za cíl opravit chyby zabezpečení softwaru“. Kopec. Citováno 6. prosince 2014.
^ „Nástroje pro analýzu zranitelnosti“. Institut softwarového inženýrství. Univerzita Carnegie Mellon. Citováno 9. března 2015.
^ „CERT Training Courses“. Institut softwarového inženýrství. Univerzita Carnegie Mellon. Citováno 9. března 2015.
^ „FBI:„ Tvrzení, že jsme zaplatili CMU 1 milion USD za proniknutí do Tor, je nepřesné'". Ars Technica. 14. listopadu 2015.
^ ^A ^b „Americké ministerstvo obrany financovalo výzkum Carnegie Mellonové, aby zlomil Tor“. Opatrovník. 25. února 2016.
^ ^A ^b Dingledine, Roger (11. listopadu 2015). „Zaplatila FBI univerzitu útokům na uživatele Tor?“. Projekt Tor. Citováno 20. listopadu 2015.
^ ^A ^b Felten, Ed (31. července 2014). „Proč vědci CERT útočili na Tora?“. Freedom to Tinker, Centrum pro politiku informačních technologií, Princeton University.CS1 maint: používá parametr autoři (odkaz)
^ „Court Docs Show a University Helped FBI Bust Silk Road 2, Child Porn Suspects“. Základní deska. 11. listopadu 2015. Citováno 20. listopadu 2015.

externí odkazy

Oficiální webové stránky

[1] „O nás: Divize CERT“. Institut softwarového inženýrství. Univerzita Carnegie Mellon. Citováno 9. března 2015.

[2] „Ochranné známky a servisní značky“. Institut softwarového inženýrství. Univerzita Carnegie Mellon. Citováno 7. prosince 2014.

[3] „Americké ministerstvo pro vnitřní bezpečnost ohlašuje partnerství s CERT koordinačním centrem Carnegie Mellon“. Tisková zpráva SEI. Univerzita Carnegie Mellon. 15. září 2003. Citováno 7. prosince 2014.

[4] „Národní týmy CSIRT“. Univerzita Carnegie Mellon. Citováno 9. března 2015.

[5] CERT / CC. „Divize CERT“. Citováno 9. března 2015.

[6] „Zásady zveřejňování informací o zranitelnosti“. Institut softwarového inženýrství. Univerzita Carnegie Mellon. Citováno 9. března 2015.

[7] ttps://forms.cert.org/VulReport/

[8] „Databáze poznámek o chybě zabezpečení“. Institut softwarového inženýrství. Univerzita Carnegie Mellon. Citováno 27. říjen 2017.

[9] Cory Bennett. „Nová iniciativa si klade za cíl opravit chyby zabezpečení softwaru“. Kopec. Citováno 6. prosince 2014.

[10] „Nástroje pro analýzu zranitelnosti“. Institut softwarového inženýrství. Univerzita Carnegie Mellon. Citováno 9. března 2015.

[11] „CERT Training Courses“. Institut softwarového inženýrství. Univerzita Carnegie Mellon. Citováno 9. března 2015.

[12] „FBI:„ Tvrzení, že jsme zaplatili CMU 1 milion USD za proniknutí do Tor, je nepřesné'". Ars Technica. 14. listopadu 2015.

[Guardian2016-02-25-13] A ^b „Americké ministerstvo obrany financovalo výzkum Carnegie Mellonové, aby zlomil Tor“. Opatrovník. 25. února 2016.

[tor-blog-2015-11-11-14] A ^b Dingledine, Roger (11. listopadu 2015). „Zaplatila FBI univerzitu útokům na uživatele Tor?“. Projekt Tor. Citováno 20. listopadu 2015.

[Felton2014-15] A ^b Felten, Ed (31. července 2014). „Proč vědci CERT útočili na Tora?“. Freedom to Tinker, Centrum pro politiku informačních technologií, Princeton University.CS1 maint: používá parametr autoři (odkaz)

[Motherboard2015-16] „Court Docs Show a University Helped FBI Bust Silk Road 2, Child Porn Suspects“. Základní deska. 11. listopadu 2015. Citováno 20. listopadu 2015.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

Univerzita Carnegie Mellon
Akademici	Vysoká škola inženýrská Vysoká škola výtvarných umění Dietrich College of Humanities and Social Sciences Vysoká škola informačních systémů a veřejné politiky H. Johna Heinze III Mellon College of Science Škola informatiky Tepper School of Business Margaret Morrison Carnegie College (zaniklý)
Areály poboček	Austrálie Katar Rwanda Silicon Valley
Studentský život	Tradice Řecký život Scotch'n'Soda Miller Gallery Tartan The Oakland Review WRCT Univerzitní atletická asociace Alma Mater
Výzkum	Pittsburghské superpočítačové centrum Institut softwarového inženýrství Ústav robotiky Ústav lidské interakce s počítačem Huntův institut pro botanickou dokumentaci Oddělení výpočetní biologie Ústav jazykových technologií Skleník Pittsburgh Life Sciences Carnegie School
Lidé	Andrew Carnegie Mellonova rodina Absolventi a učitelé
Projekty a dědictví	Alice Andrew Project BLAHO CMMI Mach Počítač 3M Centrum pro historii PostNatural Konfliktní kuchyně Síň slávy robota Waffle Shop: Reality Show YinzCam

Město Pittsburgh
Vláda	Letiště Konvence Radnice Soud starosta Rada Události InterGov Policie Okresní advokát Šerif oheň Knihovny Tranzit Vzdělávání Parky Přístav Regionální
Ekonomika	Allegheny konference Klub Duquesne Obchodní komora Korporace Ekonomický klub HYP Club Burza
Další témata	Vysoké školy a univerzity Kultura divadlo Dialekt Vlajka Fiktivní nastavení Natáčení filmy televize Dějiny název Časová osa Nemocnice Média Muzea Sousedství Přezdívky Pozoruhodné Pittsburghers Kraj Kombinovaná statistická oblast Mrakodrapy Sportovní
Rezervovat Kategorie