ศูนย์ประสานงาน CERT

จากวิกิพีเดีย สารานุกรมเสรี
ข้ามไปที่การนำทาง ข้ามไปที่การค้นหา

ศูนย์ประสานงาน CERT
พิมพ์FFRDC (ส่วนหนึ่งของSoftware Engineering Institute )
อุตสาหกรรมซอฟต์แวร์และความปลอดภัยเครือข่าย
ก่อตั้งพ.ศ. 2531
สำนักงานใหญ่Pittsburgh, PA , สหรัฐอเมริกา
คนสำคัญ
Roberta G. Stempfley
ผู้กำกับ
เว็บไซต์sei .cmu .edu /about /divisions /cert /index .cfm

CERT ศูนย์ประสานงาน ( CERT / CC ) เป็นศูนย์กลางการประสานงานของทีมตอบสนองฉุกเฉินคอมพิวเตอร์ (CERT) สำหรับสถาบันวิศวกรรมซอฟต์แวร์ (SEI) ที่ไม่แสวงหากำไรสหรัฐอเมริกาสหรัฐกองทุนศูนย์วิจัยและพัฒนา CERT/CC วิจัยข้อบกพร่องของซอฟต์แวร์ที่ส่งผลกระทบต่อซอฟต์แวร์และความปลอดภัยทางอินเทอร์เน็ต เผยแพร่งานวิจัยและข้อมูลเกี่ยวกับสิ่งที่ค้นพบ และทำงานร่วมกับภาคธุรกิจและรัฐบาลเพื่อปรับปรุงความปลอดภัยของซอฟต์แวร์และอินเทอร์เน็ตโดยรวม

ประวัติ

องค์กรประเภทแรกในประเภทนี้ CERT/CC ก่อตั้งขึ้นในพิตต์สเบิร์กในเดือนพฤศจิกายน พ.ศ. 2531 ตามคำสั่งของDARPAเพื่อตอบสนองต่อเหตุการณ์หนอนมอร์ริส [1] CERT/CC เป็นส่วนหนึ่งของ CERT Division ของ Software Engineering Institute ซึ่งมีผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์มากกว่า 150 คนที่ทำงานในโครงการที่ใช้แนวทางเชิงรุกในการรักษาความปลอดภัยระบบ โครงการ CERT ร่วมมือกับรัฐบาล อุตสาหกรรม การบังคับใช้กฎหมาย และสถาบันการศึกษา เพื่อพัฒนาวิธีการและเทคโนโลยีขั้นสูงเพื่อรับมือกับภัยคุกคามทางไซเบอร์ขนาดใหญ่และซับซ้อน

โปรแกรม CERT เป็นส่วนหนึ่งของSoftware Engineering Institute (SEI) ซึ่งเป็นศูนย์วิจัยและพัฒนาที่ได้รับทุนจากรัฐบาลกลาง ( FFRDC ) ที่ วิทยาเขตหลักของ Carnegie Mellon Universityในพิตต์สเบิร์ก CERT เป็นเครื่องหมายการค้าจดทะเบียนของ Carnegie Mellon University [2]

ความสับสนกับ US-CERT และ CERT อื่นๆ

ในปี พ.ศ. 2546 Department of Homeland Securityได้ทำข้อตกลงกับ Carnegie Mellon University เพื่อสร้างUS-CERT [3] US-CERT คือทีมรับมือเหตุการณ์ด้านความปลอดภัยของคอมพิวเตอร์แห่งชาติ ( CSIRT ) ของสหรัฐอเมริกา ความร่วมมือนี้มักทำให้เกิดความสับสนระหว่าง CERT/CC และ US-CERT ในขณะที่มีความเกี่ยวข้องกัน ทั้งสององค์กรเป็นหน่วยงานที่แตกต่างกัน โดยทั่วไป US-CERT จะจัดการกับคดีที่เกี่ยวข้องกับความมั่นคงของชาติสหรัฐ ในขณะที่ CERT/CC จัดการกับคดีทั่วไปมากกว่า ซึ่งมักจะเป็นคดีระหว่างประเทศ

CERT/CC จะประสานงานข้อมูลกับ US-CERT และทีมรับมือเหตุการณ์ด้านความปลอดภัยของคอมพิวเตอร์อื่นๆ ซึ่งบางส่วนได้รับอนุญาตให้ใช้ชื่อ “CERT” [4]ในขณะที่องค์กรเหล่านี้อนุญาตให้ใช้ชื่อ "CERT" จากมหาวิทยาลัย Carnegie Mellon องค์กรเหล่านี้เป็นหน่วยงานอิสระที่จัดตั้งขึ้นในประเทศของตนเองและไม่ได้ดำเนินการโดย CERT/CC

CERT/CC ได้ก่อตั้ง FIRST ซึ่งเป็นองค์กรที่ส่งเสริมความร่วมมือและการแลกเปลี่ยนข้อมูลระหว่าง CERT ระดับประเทศและ PSIRT ด้านความปลอดภัยของผลิตภัณฑ์ส่วนบุคคล

ความสามารถ

งานวิจัยของ CERT/CC แบ่งออกเป็นส่วนงานต่างๆ [5]ความสามารถและผลิตภัณฑ์หลักบางอย่างมีการระบุไว้ด้านล่าง

การประสานงาน

CERT/CC ทำงานโดยตรงกับผู้จำหน่ายซอฟต์แวร์ในภาคเอกชนและหน่วยงานภาครัฐเพื่อแก้ไขจุดอ่อนของซอฟต์แวร์และให้บริการแก้ไขแก่สาธารณะ กระบวนการนี้เรียกว่าการประสานงาน

นี้ CERT / CC ส่งเสริมกระบวนการโดยเฉพาะอย่างยิ่งของการประสานงานที่รู้จักกันในการเปิดเผยข้อมูลการประสานงานที่มีความรับผิดชอบ ในกรณีนี้ CERT/CC จะทำงานอย่างเป็นส่วนตัวกับผู้ขายเพื่อแก้ไขช่องโหว่ก่อนที่จะเผยแพร่รายงานสาธารณะ ซึ่งมักจะร่วมกับคำแนะนำด้านความปลอดภัยของผู้จำหน่ายเอง ในกรณีที่ร้ายแรงเมื่อผู้ขายไม่เต็มใจที่จะแก้ไขปัญหาหรือไม่สามารถติดต่อได้ CERT/CC มักจะเปิดเผยข้อมูลต่อสาธารณะหลังจาก 45 วันนับตั้งแต่มีการพยายามติดต่อครั้งแรก [6]

ช่องโหว่ของซอฟต์แวร์ที่ประสานงานโดย CERT/CC อาจมาจากการวิจัยภายในหรือจากการรายงานภายนอก ช่องโหว่ที่บุคคลหรือองค์กรภายนอกค้นพบอาจถูกรายงานไปยัง CERT/CC โดยใช้แบบฟอร์มการรายงานช่องโหว่ของ CERT/CC [7]ขึ้นอยู่กับความรุนแรงของช่องโหว่ที่รายงาน CERT/CC อาจดำเนินการเพิ่มเติมเพื่อแก้ไขจุดอ่อนและประสานงานกับผู้จำหน่ายซอฟต์แวร์

ฐานความรู้และหมายเหตุช่องโหว่

CERT/CC เผยแพร่ Vulnerability Notes ใน CERT KnowledgeBase เป็นประจำ [8] [9] Vulnerability Notes ประกอบด้วยข้อมูลเกี่ยวกับช่องโหว่ล่าสุดที่ได้รับการวิจัยและประสานงาน และวิธีที่บุคคลและองค์กรอาจบรรเทาช่องโหว่ดังกล่าว

ฐานข้อมูล Vulnerability Notes ไม่ได้มีไว้เพื่อให้ครอบคลุม

เครื่องมือวิเคราะห์ช่องโหว่

CERT/CC มอบเครื่องมือฟรีจำนวนหนึ่งให้กับชุมชนการวิจัยด้านความปลอดภัย [10]เครื่องมือบางอย่างที่นำเสนอมีดังต่อไปนี้

  • CERT Tapioca—อุปกรณ์เสมือนที่กำหนดค่าไว้ล่วงหน้าสำหรับการโจมตีแบบ man-in-the-middle สามารถใช้เพื่อวิเคราะห์ทราฟฟิกเครือข่ายของแอปพลิเคชันซอฟต์แวร์และพิจารณาว่าซอฟต์แวร์ใช้การเข้ารหัสอย่างถูกต้องหรือไม่ เป็นต้น
  • BFF (Basic Fuzzer Framework) -- ไฟล์ fuzzer ที่กลายพันธุ์สำหรับ Linux
  • FOE (Failure Observation Engine) -- ไฟล์ fuzzer ที่กลายพันธุ์สำหรับ Windows
  • Dranzar—การค้นพบช่องโหว่ของ Microsoft ActiveX

การอบรม

CERT/CC มีหลักสูตรฝึกอบรมสำหรับนักวิจัยหรือองค์กรที่ต้องการจัดตั้ง PSIRT ของตนเองเป็นระยะ (11)

ศูนย์ประสานงาน CERT

ความขัดแย้ง

ในช่วงฤดูร้อนปี 2014 การวิจัยของ CERT ซึ่งได้รับทุนสนับสนุนจากรัฐบาลกลางสหรัฐฯเป็นกุญแจสำคัญในการยกเลิกการปกปิดชื่อTor (เครือข่ายที่ไม่เปิดเผยตัวตน)และข้อมูลที่FBIร้องขอจาก CERT ได้ถูกนำมาใช้เพื่อกำจัดSilkRoad 2.0 ในฤดูใบไม้ร่วงนี้ เอฟบีไอปฏิเสธการจ่ายเงินCMUเพื่อ deanonymize ผู้ใช้[12] และมหาวิทยาลัยเชียงใหม่ปฏิเสธรับเงินทุนสำหรับการปฏิบัติตามหมายศาลของรัฐบาล [13]

แม้จะมีส่วนสนับสนุนทางอ้อมในการทำลายเว็บไซต์ที่ผิดกฎหมายจำนวนมากและการจับกุมผู้ต้องสงสัยอย่างน้อย 17 คน การวิจัยได้ยกประเด็นหลายประการ:

  • เกี่ยวกับจริยธรรมการวิจัยด้านความปลอดภัยของคอมพิวเตอร์ที่เป็นปัญหาต่อชุมชนทอร์[14]และอื่น ๆ[15]
  • เกี่ยวกับการถูกค้นหาทางออนไลน์อย่างไม่สมเหตุสมผลซึ่งเกี่ยวข้องกับการรับประกันโดยการแก้ไขครั้งที่ 4 ของสหรัฐอเมริกา[14]
  • เกี่ยวกับSEI /CERT ที่กระทำการข้ามวัตถุประสงค์ในภารกิจของตนเอง การดำเนินการรวมถึงการระงับช่องโหว่ที่พบจากผู้ดำเนินการซอฟต์แวร์และสาธารณะ [15]

CMU กล่าวในแถลงการณ์เมื่อเดือนพฤศจิกายน 2558 ว่า "...มหาวิทยาลัยได้รับหมายเรียกเพื่อขอข้อมูลเกี่ยวกับการวิจัยที่ดำเนินการเป็นครั้งคราว มหาวิทยาลัยปฏิบัติตามหลักนิติธรรม ปฏิบัติตามหมายศาลที่ออกโดยกฎหมายและไม่ได้รับทุนสนับสนุน การปฏิบัติตาม” แม้ว่ามาเธอร์บอร์ดจะรายงานว่าทั้ง FBI และ CMU ไม่ได้อธิบายว่าผู้มีอำนาจเรียนรู้เกี่ยวกับการวิจัยในครั้งแรกได้อย่างไร จากนั้นจึงได้รับหมายเรียกสำหรับข้อมูลที่เหมาะสม[13] ในอดีต SEI ได้ปฏิเสธที่จะอธิบายธรรมชาติของงานวิจัยนี้โดยเฉพาะเพื่อตอบสนองต่อข้อซักถามของสื่อมวลชนว่า: "ขอบคุณสำหรับคำถามของคุณ แต่เป็นแนวปฏิบัติของเราที่จะไม่แสดงความคิดเห็นเกี่ยวกับการสอบสวนของหน่วยงานบังคับใช้กฎหมายหรือการดำเนินการของศาล" [16]

ดูเพิ่มเติม

อ้างอิง

  1. ^ "เกี่ยวกับเรา: กอง CERT" . สถาบันวิศวกรรมซอฟต์แวร์ . มหาวิทยาลัยคาร์เนกี้เมลลอน. สืบค้นเมื่อ9 มีนาคม 2558 .
  2. ^ "เครื่องหมายการค้าและเครื่องหมายบริการ" . สถาบันวิศวกรรมซอฟต์แวร์ . มหาวิทยาลัยคาร์เนกี้เมลลอน. สืบค้นเมื่อ7 ธันวาคม 2014 .
  3. ^ "สหรัฐอเมริกากรมความมั่นคงแห่งมาตุภูมิประกาศความร่วมมือกับคาร์เนกีเมลลอน CERT ศูนย์ประสานงาน" เอสอี แถลงข่าว . มหาวิทยาลัยคาร์เนกี้เมลลอน 15 กันยายน 2546 . สืบค้นเมื่อ7 ธันวาคม 2014 .
  4. ^ "องค์กร CSIRT แห่งชาติ" . มหาวิทยาลัยคาร์เนกี้เมลลอน. สืบค้นเมื่อ9 มีนาคม 2558 .
  5. ^ CERT/CC. "กอง CERT" . สืบค้นเมื่อ9 มีนาคม 2558 .
  6. ^ "นโยบายการเปิดเผยช่องโหว่" . สถาบันวิศวกรรมซอฟต์แวร์ . มหาวิทยาลัยคาร์เนกี้เมลลอน. สืบค้นเมื่อ9 มีนาคม 2558 .
  7. ^ "ศูนย์ประสานงาน CERT" .
  8. ^ "ฐานข้อมูลบันทึกช่องโหว่" . สถาบันวิศวกรรมซอฟต์แวร์ . มหาวิทยาลัยคาร์เนกี้เมลลอน. สืบค้นเมื่อ27 ตุลาคม 2017 .
  9. ^ คอรี เบนเน็ตต์ (3 พฤศจิกายน 2014) "ความคิดริเริ่มใหม่มีเป้าหมายเพื่อแก้ไขข้อบกพร่องด้านความปลอดภัยของ ซอฟต์แวร์" เดอะฮิ ลล์ . สืบค้นเมื่อ6 ธันวาคม 2014 .
  10. ^ "เครื่องมือวิเคราะห์ช่องโหว่" . สถาบันวิศวกรรมซอฟต์แวร์ . มหาวิทยาลัยคาร์เนกี้เมลลอน. สืบค้นเมื่อ9 มีนาคม 2558 .
  11. ^ "หลักสูตรฝึกอบรม CERT" . สถาบันวิศวกรรมซอฟต์แวร์ . มหาวิทยาลัยคาร์เนกี้เมลลอน. สืบค้นเมื่อ9 มีนาคม 2558 .
  12. ^ "เอฟบีไอ: 'ข้อกล่าวหาว่าเราจ่าย CMU $ 1M จะตัดเข้าสู่ Tor ไม่ถูกต้อง' " อาส เทคนิค. 14 พฤศจิกายน 2558
  13. ^ "กระทรวงกลาโหมสหรัฐได้รับการสนับสนุนการวิจัย Carnegie Mellon จะทำลาย Tor" เดอะการ์เดียน . 25 กุมภาพันธ์ 2559
  14. ^ Dingledine โรเจอร์ (11 พฤศจิกายน 2015) "เอฟบีไอจ่ายเงินให้มหาวิทยาลัยเพื่อโจมตีผู้ใช้ Tor หรือไม่" . โครงการท. สืบค้นเมื่อ20 พฤศจิกายน 2558 .
  15. ^ Felten เอ็ด (31 กรกฎาคม 2014) "ทำไมนักวิจัย CERT ถึงโจมตี Tor?" . Freedom to Tinker ศูนย์นโยบายเทคโนโลยีสารสนเทศ มหาวิทยาลัยพรินซ์ตันCS1 maint: ใช้พารามิเตอร์ของผู้เขียน ( ลิงค์ )
  16. ^ "ศาลเอกสารแสดงมหาวิทยาลัยช่วยให้เอฟบีไอหน้าอก Silk Road 2 ผู้ต้องสงสัยหนังโป๊เด็ก" เมนบอร์ด . 11 พฤศจิกายน 2558 . สืบค้นเมื่อ20 พฤศจิกายน 2558 .

ลิงค์ภายนอก