View on GitHub

ITMO-PE

My study notes about Program Engineering at University ITMO

MainPage/Algorithm&DataStructures/Labs

Лабораторная работа №1

Исследование баз данных угроз и уязвимостей. Калькулятор уязвимостей

Цель работы: получить знания и навыки работы с различными базами данных угроз и уязвимостей. Работа индивидуальная.

Объекты:

  1. Обязательный материал для ознакомления:
    • (https://habr.com/ru/company/pt/blog/266485/)
    • (https://habr.com/ru/company/ic-dv/blog/453756/)
    • (https://xakep.ru/2009/05/15/48221/#toc01. )
    • (https://habr.com/ru/company/xakep/blog/305262/)
  2. БД угроз и уязвимостей (описываем 5 БД и прикладываем пару скриншотов):
    • ФСТЭК
    • Vulners
    • CVE (NVD)
    • cert/cc
    • secunia
    • exploit in
    • X-Force
    • SecurityFocus
    • CNNVD
    • JVN
    • https://www.exploit-db.com
  3. Калькулятор CVSS. Метрики. Выбрать один вариант задачи из каждого блока метрик (задачи а / задачи б и т.д.) и посчитать. (Задачи ниже в текущем документе)

Ход работы:

Чтобы быть хорошим безопасником, нужно легко находить информацию и замечать мелочи. Например, какие статусы могут быть у уязвимости в базе данных, когда был придуман калькулятор CVSS и много, много чего еще…

Вывод по работе.

Калькулятор уязвимостей CVSS V3 https://bdu.fstec.ru/calc3

  1. Оцените уязвимости по базовым метрикам для ситуации при следующих условиях:

а) атака высокой сложности будет проводится на физический уровень системы, при этом оказывается влияние на другие компоненты системы. Однако атака приводит только к нарушению целостности высокого уровня. Взаимодействие с пользователем не требуется, а уровень привилегий - низкий.

б) атака высокой сложности будет проводится на физический уровень системы, при этом оказывается влияние на другие компоненты системы. Однако атака приводит только к нарушению целостности высокого уровня и доступности низкого. Взаимодействие с пользователем не требуется, а уровень привилегий - низкий.

в) атака высокой сложности будет проводится на физический уровень системы, при этом оказывается влияние на другие компоненты системы. Однако атака приводит только к нарушению всех свойств ИБ низкого уровня. Взаимодействие с пользователем не требуется, а уровень привилегий - низкий.

г) атака низкой сложности будет проводится на сетевой уровень системы, при этом оказывается влияние на другие компоненты системы. Атака приводит к нарушению конфиденциальности высокого уровня и доступности низкого уровня. Взаимодействие с пользователем не требуется, а уровень привилегий - низкий.

д) атака низкой сложности будет проводится на сетевой уровень системы, при этом не оказывается влияние на другие компоненты системы. Атака приводит к нарушению конфиденциальности и целостности высокого уровня, доступности низкого уровня. Взаимодействие с пользователем не требуется, а уровень привилегий - высокий.

е) атака высокой сложности будет проводится на сетевой уровень системы, при этом не оказывается влияние на другие компоненты системы. Атака приводит к нарушению конфиденциальности и целостности высокого уровня, доступности низкого уровня. При этом требуется взаимодействие с пользователем, уровень привилегий - низкий.

  1. Оцените уязвимости по временным метрикам для ситуации при следующих условиях:

а) Предполагается высокий уровень доступности средств эксплуатации, не определена доступность средств устранения и подтверждена степень доверия к источнику информации об уязвимости.

б) Предполагается, что есть сценарий для средств эксплуатации, не определена доступность средств устранения и подтверждена степень доверия к источнику информации об уязвимости.

в) Предполагается, что есть PoC-код для средств эксплуатации, не определена доступность средств устранения и подтверждена степень доверия к источнику информации об уязвимости.

г) Предполагается, что есть сценарий для средств эксплуатации, средства устранения недоступны и подтверждена степень доверия к источнику информации об уязвимости.

д) Предполагается, что есть сценарий для средств эксплуатации, есть рекомендации для средств устранения и подтверждена степень доверия к источнику информации об уязвимости.

е) Предполагается, что есть сценарий для средств эксплуатации, есть рекомендации для средств устранения, а информация об уязвимостях получена из достоверных отчетов.

  1. Оцените уязвимости по контекстным метрикам для ситуации при следующих условиях:

а) К уровню обеспечения КЦД заданы низкие требования, однако влияние на них оказывается высоким. При этом проводится атака низкой сложности на локальный уровень системы. Уровень привилегий в данном случае - высокий, взаимодействия с пользователем не происходит. Оказывается ли влияние на другие компоненты системы - неизвестно.

б) К уровню обеспечения КЦД заданы средние требования, однако влияние оказывается высоким. При этом проводится атака низкой сложности на локальный уровень системы. Уровень привилегий в данном случае - высокий, взаимодействия с пользователем не происходит. Оказывается ли влияние на другие компоненты системы - неизвестно.

в) К уровню обеспечения КЦД заданы высокие требования, влияние на них также оказывается высоким. При этом проводится атака низкой сложности на локальный уровень системы. Уровень привилегий в данном случае - высокий, взаимодействия с пользователем не происходит. Оказывается ли влияние на другие компоненты системы - неизвестно.

г) К уровню обеспечения КЦД заданы высокие требования, однако влияния оказывается низким. При этом проводится атака низкой сложности на локальный уровень системы. Уровень привилегий в данном случае - высокий, взаимодействия с пользователем не происходит. Оказывается ли влияние на другие компоненты системы - неизвестно.

д) К уровню обеспечения КЦД заданы высокие требования, однако влияние оказывается низким. При этом проводится атака высокой сложности на сетевой уровень системы. Уровень привилегий в данном случае - высокий, взаимодействия с пользователем не происходит. Оказывается ли влияние на другие компоненты системы - неизвестно.

е) К уровню обеспечения КЦД заданы высокие требования, однако влияние оказывается низким. При этом проводится атака неопределенной сложности на сетевой уровень системы. Уровень привилегий в данном случае - низкий, взаимодействия с пользователем не происходит. Также оказывается влияние на другие компоненты системы.

Лабораторная работа №2

Цель: изучить основные руководящие документы ФСТЭК и научиться применять их для практических задач.

Задачи:

  1. Ознакомиться с руководящими документами:

Лабораторная работа №5 Модели безопасности

Цель работы: изучить существующие модели безопасности и примеры их реализации

Ход работы:

  1. выбрать с преподавателем одну из рассмотренных на лекции моделей (также представлены ниже в документе)
  2. тщательно изучить выбранную модель
  3. придумать пример в реальной организации/ информационной системе с использованием выбранной модели
  4. составить презентацию (до 10 слайдов) с описанием и примером записать короткое видео (до 3 минут) по презентации, объясняющее особенности модели и ее применения, и выложить на гугл-диск вместе с презентацией

Вывод.

Модели для изучения:

  1. По приницпу предоставления прав (контроля конфиденциальности):
    1. дискреционные (Адепт, Харрисона-Руззо-Ульмана, пространство Хартсона)
    2. мандатные (Белла-Лападула, Z)
    3. MMS
    4. модели невмешательства и невыводимости
    5. игровая модель и модель с полным перекрытием (+Клеменса)
  2. Контроля целостности:
    1. Модель Биба с вариациями
    2. Кларка-Вилсона
  3. Распределения ресурсов (контроль отказа в обслуживании):
    1. Мандатная модель ОВО
    2. Модель Миллена

ЛР 7 Хэш-функции

  1. Выбрать семейство хэш функций (SHA, MD или российские аналоги)
  2. Изучить историю появления и этапы формирования
  3. Изучить области применения на всех этапах
  4. Подробно теоретически разобрать алгоритм действия последнего используемого варианта в открытом доступе (как смешиваются блоки, как побитовое сложение происходит и т.д.)
  5. Подготовить видео с презентацией (3-4 слайда) на 2-3 минуты, где вы это все рассказываете.