CERT -samordningscenter - CERT Coordination Center
 | |
| Typ | FFRDC (del av Software Engineering Institute ) |
|---|---|
| Industri | Programvara och nätverkssäkerhet |
| Grundad | 1988 |
| Huvudkontor | Pittsburgh, PA , USA |
Nyckelpersoner |
Roberta G. Stempfley Regissör |
| Hemsida | sei |
Den Coordination Center CERT ( CERT / CC ) är samordningscentral i Computer Emergency Response Team (CERT) för Software Engineering Institute (SEI), en ideell USA federalt finansierade forsknings- och utvecklingscenter . CERT/CC undersöker programvarubuggar som påverkar programvara och internetsäkerhet, publicerar forskning och information om dess resultat och samarbetar med företag och myndigheter för att förbättra säkerheten för programvara och internet som helhet.
Historia
Den första organisationen i sitt slag, CERT/CC skapades i Pittsburgh i november 1988 på DARPA : s vägledning som svar på Morris -maskincidenten. CERT/CC är nu en del av CERT -avdelningen vid Software Engineering Institute, som har mer än 150 cybersäkerhetsproffs som arbetar med projekt som tar ett proaktivt tillvägagångssätt för att säkra system. CERT-programmet samarbetar med regering, industri, brottsbekämpning och akademi för att utveckla avancerade metoder och teknik för att motverka storskaliga, sofistikerade cyberhot.
CERT -programmet är en del av Software Engineering Institute (SEI), ett federalt finansierat forsknings- och utvecklingscenter ( FFRDC ) vid Carnegie Mellon Universitys huvudcampus i Pittsburgh. CERT är ett registrerat varumärke som tillhör Carnegie Mellon University.
Förvirring med US-CERT och andra CERT
2003 ingick Department of Homeland Security ett avtal med Carnegie Mellon University om att skapa US-CERT . US-CERT är det nationella datasäkerhetsteamet ( CSIRT ) för USA. Detta samarbete orsakar ofta förvirring mellan CERT/CC och US-CERT. Medan de är relaterade är de två organisationerna olika enheter. I allmänhet hanterar US-CERT ärenden som berör USA: s nationella säkerhet, medan CERT/CC hanterar mer allmänna ärenden, ofta internationellt.
CERT/CC samordnar information med US-CERT och andra svarsteam för datasäkerhet, varav några är licensierade att använda namnet "CERT". Även om dessa organisationer licensierar "CERT" -namnet från Carnegie Mellon University, är dessa organisationer oberoende enheter etablerade i sina egna länder och drivs inte av CERT/CC.
CERT/CC etablerade FIRST, en organisation som främjar samarbete och informationsutbyte mellan de olika nationella CERT: erna och privata produktsäkerhets -PSIRT: erna.
Förmågor
CERT/CC: s forskningsarbete är uppdelat i flera olika arbetsområden. Några viktiga funktioner och produkter listas nedan.
Samordning
CERT/CC arbetar direkt med mjukvaruleverantörer i den privata sektorn såväl som med statliga myndigheter för att ta itu med programproblem och tillhandahålla korrigeringar till allmänheten. Denna process kallas koordination.
CERT/CC främjar en särskild samordningsprocess som kallas ansvarsfullt samordnad avslöjande . I det här fallet arbetar CERT/CC privat med leverantören för att åtgärda sårbarheten innan en offentlig rapport publiceras, vanligtvis tillsammans med leverantörens egen säkerhetsrådgivning. I extrema fall när leverantören inte vill lösa problemet eller inte kan kontaktas, avslöjar CERT/CC vanligtvis information offentligt efter 45 dagar sedan första kontaktförsöket.
Sårbarheter i programvara som samordnas av CERT/CC kan komma från intern forskning eller från extern rapportering. Sårbarheter som upptäcks av externa individer eller organisationer kan rapporteras till CERT/CC med hjälp av CERT/CC: s sårbarhetsrapporteringsformulär. Beroende på svårighetsgraden av den rapporterade sårbarheten kan CERT/CC vidta ytterligare åtgärder för att åtgärda sårbarheten och samordna med programvaruleverantören.
Kunskapsbas och sårbarhetsanteckningar
CERT/CC publicerar regelbundet sårbarhetsanteckningar i CERT KnowledgeBase. Sårbarhetsanteckningar innehåller information om senaste sårbarheter som undersöktes och samordnades, och hur individer och organisationer kan mildra sådana sårbarheter.
Sårbarhetsanteckningsdatabasen är inte avsedd att vara heltäckande.
Verktyg för sårbarhetsanalys
CERT/CC tillhandahåller ett antal gratisverktyg till säkerhetsforskningsgemenskapen. Några verktyg som erbjuds inkluderar följande.
- CERT Tapioca-en förkonfigurerad virtuell apparat för att utföra man-i-mitten attacker. Detta kan användas för att analysera nätverkstrafik för programvara och avgöra om programvaran använder kryptering korrekt, etc.
- BFF (Basic Fuzzer Framework) - en mutationsfilfuzzer för Linux
- FOE (Failure Observation Engine) - en mutationsfilfuzzer för Windows
- Dranzer - upptäckt av Microsoft ActiveX -sårbarhet
Träning
CERT/CC erbjuder regelbundet utbildningskurser för forskare eller organisationer som vill etablera sina egna PSIRT.
CERT -samordningscenter
Kontroverser
Sommaren 2014 var CERT-forskning som finansierades av den amerikanska federala regeringen nyckeln till avanonymiseringen av Tor (anonymitetsnätverk) , och information som stämdes från CERT av FBI användes för att ta bort SilkRoad 2.0 den hösten. FBI nekade till att betala CMU för att deanonymisera användare, och CMU nekade att han fick finansiering för dess efterlevnad av regeringens stämning.
Trots att de indirekt bidragit till att ta bort många olagliga webbplatser och gripandet av minst 17 misstänkta, tog forskningen upp flera frågor:
- om forskningsetik kring datasäkerhet som ett bekymmer för Tor -gemenskapen och andra
- om att vara orimligt sökt på nätet i samband med garantin av den fjärde ändringen i USA
- om SEI /CERT som agerar i tvärsyfte för sina egna uppdrag, åtgärder inklusive att undanhålla de sårbarheter som det hade hittat från programvaruimplementanterna och allmänheten.
CMU sade i ett uttalande i november 2015 att "... universitetet då och då serveras med stämningar som begär information om forskning som det har utfört. Universitetet följer rättsstatsprincipen, följer lagligt utfärdade stämningar och får ingen finansiering för dess överensstämmelse ", även om moderkortet rapporterade att varken FBI eller CMU förklarade hur myndigheten först lärde sig om forskningen och sedan stämde för lämplig information. Tidigare hade SEI också avböjt att förklara karaktären på just denna forskning som svar på pressförfrågningar och sade: "Tack för din förfrågan, men det är vår praxis att inte kommentera brottsbekämpande utredningar eller domstolsförfaranden."