23-11-04 10:30
CVE - baza ranjivosti softvera
piše ACO DMITROVIĆ
Kada se pojavi novi virus, proizvođači zaštitnih programa žure s ažuriranjem popisa virusa kako bi svoje kupce što prije zaštitili. Razumljivo je, nemaju vremena za međusobne dogovore o tome kako će virus nazvati, pa je uobičajeno da isti virus dobije nekoliko različitih imena. U takvoj zbrci specijalistima za sigurnost teško je komunicirati (a to znači i djelotvorno reagirati), jer najprije treba postići dogovor o kojem se virusu zapravo razgovara.
Srećom, kada se radi o ranjivosti softvera, situacija nije toliko kaotična. Na adresi http://www.cve.mitre.org/ nalazi se baza Common Vulnerabilities and Exposures, skraćeno CVE. Velik je napor uložen u standardizaciju i uvjeravanje proizvođača sigurnosnih programa da se drže dogovorenoga. Na adresi http://www.cve.mitre.org/compatible/organizations.html objavljen je popis tvrtki i njihovih proizvoda, na primjer firewalla i sistema za otkrivanje uljeza (Intrusion detection) koji su "CVE kompatibilni".
Čemu toliki trud? Evo jednostavnog primjera. Ako kupite IDS tvrtke CISCO, u izvještajima će napadi na vašu mrežu biti numerirani četveroznamenkastim brojevima koji su nalik na običan redni broj u CISCO-voj internoj bazi ranjivosti. Ako želite na Internetu pronaći dodatne informacije o pojedinom napadu, morat ćete se pomučiti. Srećom, CISCO se odlučio priključiti pokretu, tako da nova inačica njihovog IDS softvera već ima rezervirano polje za CVE oznaku. Za sada je to samo link koji ide u prazno, u što sam se mogao uvjeriti na nedavnoj demonstraciji kod zastupnika. No već će slijedeće izdanje softvera, nadamo se, nuditi punu CVE kompatibilnost.
Drugi dobar primjer je SNORT, popularni besplatni IDS, koji u svoje izvještaje o napadima upiše redak s linkom na CVE. Srce je za CARNet zajednicu razvilo kombinaciju dvaju open source projekata, gdje je Prelude iskorišten kao sigurnosna konzola koja prikuplja upozorenja koja mu šalju SNORT-ovi raspoređeni po mreži. Ako u svojoj mreži koristite senzore različitih proizvođača, vrlo je važno da svi oni poštuju zajednički standard za identifikaciju napada. Bez toga bi statistike bile posve besmislene, ne bi ni bilo moguće dovesti u odnos isti napad koji se dogodio u različitim dijelovima mreže.
O našim novim paketima, koji se zovu snort-cn i snort-central-cn, više u nekom sljedećem članku.
|