Безопасное программирование

Безопасное программирование — это практика разработки программного обеспечения, предотвращающая случайное внедрение уязвимостей и обеспечивающая устойчивость к воздействию вредоносных программ и несанкционированному доступу. Баги и логические ошибки являются основной причиной появления уязвимостей программного обеспечения.

Задача безопасного программирования - защита персональных данных пользователя от кражи и порчи. Небезопасная программа — потенциальная цель для злоумышленника, который может использовать имеющиеся уязвимости для просмотра, изменения или удаления имеющейся информации, влияния на работу программ и сервисов (запуск или остановка), внедрения вредоносного кода в систему. ^[1]

Безопасное программирование интуитивно можно определить, как процесс написания безопасной программы. Безопасная программа — программа, устойчивая ко всем возможным внешним воздействиям - от некорректного ввода данных до любых попыток получить доступ к данным, не имея нужных привилегий.

При написании программ следуем обращать внимание на следующие показатели:

• Качество кода (уменьшение количества багов и других проблем)
• Понятность кода (удобочитаемость, возможность поддержки)
• Обеспечение корректности работы при любых вводимых данных и непредсказуемых действиях пользователя

Однако не все программы, имеющие баги, имеет смысл причислять к небезопасным. Если результат работы программы отличается от ожидаемого, но при этом отсутствуют возможности для несанкционированного доступа, то такая программа не создает проблем с точки зрения информационной безопасности, и рассматривать её в качестве небезопасной не имеет смысла.

Любое приложение можно разделить на несколько логических уровней. При проектировании следует уделять отдельное внимание каждому уровню. С самого начала следует учитывать требования безопасности. При этом на этапе реализации не должны создаваться новые уязвимости, а, наоборот, учитываться требования со всех предыдущих этапов проектирования. Подобный подход позволяет упростить разработку продукта, а также снизить расходы на обеспечение безопасности. Анализ кода на безопасность (ручной или автоматический) - дорогостоящая процедура, увеличивающая общую стоимость программного продукта. Но в большинстве случаев такой анализ необходим: последствия нахождения уязвимостей другими людьми и использования их в корыстных целях может привести как к потере репутации, так и к ещё большим финансовым потерям. Стоит учесть, что разработчики должны уметь обеспечивать безопасность при проектировании, разработке, управлении и конфигурировании, интеграции^[англ.], правильно проводить тестирование. ^[2]

В настоящее время существует огромное число практик написания ПО . Но есть наиболее важные качества остающиеся важными при любом подходе.

• Работоспособность и полезность ( юзабилити , англ. usability)
• Безопасность (англ. security) - возможность защиты от внешних угроз, атак и сохранение работоспособности после их отражение и устранения.
• Надежность (англ. reliability) - предсказуемое, корректное и безотказное поведение в случае некорректных исходных данных.
• Конфиденциальность (англ. privacy) - обеспечение безопасной и корректной работы с конфиденциальной информацией.
• Обеспечение целостности и корректности бизнеса (англ. business integrity) - четкая организация сопровождения программы контроль прозрачности, законности, корректности работы пользователя.

Четыре последних качества стали основой Trustworthy computing (TwC) (англ. Trustworthy computing) («Вычисления заслуживающие доверия») - инициативы корпорации Microsoft, главная задача которой - обратить внимание разработчиков на важность обеспечения указанных требования на каждом из этапов разработки ПО .

Существует множество принципов обеспечения безопасности ПО, большей частью похожих друг на друга. Их обобщением можно считать приведенные выше принципы. ^[3]

Любая найденная уязвимость потенциально может быть использована для взлома большого количества приложений. Для удобной работы по обеспечению безопасности и устранению проблем с ней уязвимости необходимо классифицировать. В первую очередь подобные классификаторы должны помогать специалистам и экспертам, работающим над устранением уязвимостей. Каждая уязвимость должна быть определенным образом строго задокументирована.

• CVE (Common Vulnerabilities and Exposures) — словарь конкретных уязвимостей конкретных продуктов.
• CWE (Common Weakness Enumeration) — база данных типов уязвимостей. Основная задача проекта — предоставить описания распространенных видов уязвимостей, способы их предотвращения, обнаружения и исправления.
• SecurityFocus BID
• OSVDB (Open Sourced Vulnerability Database) — «открытая база данных уязвимостей», созданная тремя некоммерческими организациями. Прекратила работу 5 апреля 2016 года. Блог продолжает работать.^[4]
• Secunia - лента уязвимостей известной датской компании Secunia в области компьютерной и сетевой безопасности.
• IBM ISS X-Force

Современные анализаторы кода и автоматизированные аудиторы могут использовать подобные базы уязвимостей . Это повышает степень доверия к данному продукту, а также может быть важным при составлении отчётов об уязвимостях, имеющихся в программном продукте.

Встречаются и другие классификаторы. При работе с ними необходимо обращать внимание на авторов, каждая система классификации должна создаваться экспертами в данной области.

Для описания свойств уязвимости специалистами используется система подсчета рисков уязвимостей CVSS^?!. Она представляет собой шкалы, на основе которых выставляются баллы. Система метрик придумана для разделения приоритетов над исправлением уязвимостей. Каждая шкала относится к определенному смысловому разделу, который называется метрикой. Таких метрик три^[5]:

• Базовая (англ. base) - характеристики уязвимости, не зависящие от времени и среды исполнения. Служит для описания сложности эксплуатации уязвимости, потенциального ущерба для конфиденциальности, целостности и доступности информации.
• Временная (англ. temporal) - метрика, учитывающий временной фактор, например, время на исправление уязвимости.
• Контекстная (англ. environmental) - метрика, учитывающая информацию о среде функционирования программного обеспечения.

Последние две метрики носят вспомогательный характер и используются лишь для корректировки показателей базовой метрики с учетом различных специфик.

Список наиболее распространенных ошибок, ставящих под угрозу безопасность современных программ. ^[6]

• Внедрение SQL-кода (англ. SQL injection)
• Уязвимости, связанные с web-серверами (XSS, XSRF, расщепление HTTP запроса (англ. HTTP response splitting))
• Уязвимости web-клиентов
• Переполнение буфера
• Дефекты форматных строк^[7]
• Целочисленные переполнения
• Некорректная обработка исключений и ошибок
• Внедрение команд
• Утечка информации
• Ситуация гонки (англ. Race condition)
• Слабое юзабилити ^[8]
• Выполнение кода с завышенными привилегиями
• Хранение незащищенных данных
• Проблемы мобильного кода (англ. Code mobility)
• Слабые пароли
• Слабые случайные числа
• Использование небезопасных криптографических решений
• Незащищенный сетевой трафик

Перечислить все известные уязвимости невозможно, учитывая, что каждый день появляются новые. В данном списке приведены наиболее часто встречающиеся уязвимостей, допустить которые легко, но последствия которых могут быть катастрофическими. Например, причиной распространения червя Blaster стала ошибка всего в двух строках кода.

Информация об уязвимостях может быть использована злоумышленниками при написании вирусов. Например, один из первых известных сетевых червей — вирус Морриса в 1988 году использовал такие уязвимости как переполнение буфера в Unix-демоне finger для распространения между машинами. Тогда количество зараженных машин составило порядка 6 тысяч ^[9], а экономический ущерб по данным счётной палаты США составил от $100,000 до $10,000,000^[10].

В 2016 компьютерные вирусы причинили мировой экономике ущерб в 450 миллиардов долларов.^[11]

В 2017 ущерб от вируса WannaCry оценивают в $1 млрд. Случаи заражения были зафиксированы по меньшей мере в 150 странах^[12]. Вирус использовал эксплойт EternalBlue, использующий уязвимость в протоколе SMB, связанную с переполнением буфера^[13].^[14]

• Howard M., LeBlanc D., Viega J. 24 Deadly Sins of Software Security: Programming Flaws and How to Fix Them (англ.). — McGraw Hill Professional, 2009. — 464 p. — ISBN 9780071626767.

• Seacord R. C. Secure Coding in C and C++ (англ.). — 2. — Addison-Wesley, 2013. — 600 p. — ISBN 9780132981972.

• Stoneburner G., Hayden C., Feringa A. Engineering Principles for Information Technology Security (A Baseline for Achieving Security) (англ.) / National Institute of Standards and Technology. — Revision A. — 2004. — 33 p.

• Wheeler D. A.. Secure Programming HOWTO - Creating Secure Software (англ.). — 2015. — 186 p.

• Saltzer J.H., Schroeder M.D.. The Protection of Information in Computer Systems (англ.) : article / Saltzer J. H.. — 1975.

• Mell P., Scarfone K., Romanosky S. Common Vulnerability Scoring System (англ.) // IEEE Security & Privacy : article. — 2006. — Vol. 4. — P. 85-89. — ISSN 1540-7993.

• Касперски К. Записки исследователя компьютерных вирусов (рус.). — Питер, 2005. — P. 93, 103-104, 117-122. — 316 p. — ISBN 5469003310.

• Комаров А. Меряем уязвимости (рус.) // Хакер : Журнал. — 2009. — № 04 (124). — P. 48—51.

• Сафонов В. О. Современные технологии разработки надежных и безопасных программ (рус.) // Компьютерные инструменты в образовании : Журнал. — 2008. — № 06. — P. 25-33.

• Seacord R. C. The CERT C Secure Coding Standard (англ.). — 2008. — P. Pearson Education. — 720 p. — ISBN 9780132702461.

• Long F. The CERT Oracle Secure Coding Standard for Java (англ.) / Carnegie-Mellon University. CERT Coordination Center. — Addison-Wesley Professional, 2012. — 699 p. — ISBN 9780321803955.