Анализ защищенности программного обеспечения

Мы предлагаем:

  • Анализ защищенности программного продукта
  • Анализ кода программ
  • Анализ уязвимостей программного обеспечения

Почему мы:

  • Следование современным тенденциям анализа ИБ программного обеспечения
  • Множество выявленных уязвимостей в процессе проведенных исследований

Важно:

Своевременно выявить уязвимости ПО, чтобы не расследовать инциденты ИБ.

Анализ защищенности программного обеспечения - услуги RTM Group
Анализ защищенности программного обеспечения - от RTM Group
Узнать стоимость?

Эксперты по анализу защищенности программного обеспечения

Эксперт по анализу защищенности программного обеспечения Перминов Геннадий Вадимович

Перминов Геннадий Вадимович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа и педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по анализу защищенности программного обеспечения Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты

Аудит или анализ кода – проверка программного обеспечения (сайта, прикладного ПО и пр.) по требованиям безопасности для выявления уязвимостей, которые могут появиться на этапе эксплуатации системы.

Как правильно анализ кода, аудит ПО или тестирование?

В зависимости от объекта и методики исследования аудит программного обеспечения называют по-разному, например:

  • Аудит программного обеспечения
  • Тестирование программного продукта по требованиям безопасности
  • Анализ исходного кода
  • Анализ защищенности приложения
  • и пр.

В действительности корректная формулировка зависит от того, что именно передается на исследование и какими методами тестируется программное обеспечение.

На исследование может быть предоставлено следующее:

  • Исходные коды программного обеспечения
  • Стек технологий, используемый при разработке программы
  • Учётные данные (например, привилегированные)
  • Данные о программном обеспечении
  • Обфусцированный код
  • Образ приложения без исходных кодов

В зависимости от того, что предоставлено на анализ, могут быть использованы разные методики анализа программного обеспечения.

 

Аудит программного кода методом «белого ящика»

В случае предоставления на анализ исходного кода программы и дополнительной информации доступной непосредственному разработчику возможно максимально глубокое исследование.

В этом случае ходе проекта выполняются работы по анализу стенда с приложением, а также анализ исходного кода на предмет уязвимостей и неоптимальных настроек безопасности.

Последовательно проводятся инструментальный анализ кода и экспертное исследование как выявленных сканером недостатков, так и участков, требующих внимания независимо от работы автоматизированных средств.

Приложение проверяется в различных режимах – статичный код, отладка и имитация продуктива (тестовая среда). Комбинация данных подходов позволяет оценивать актуальные векторы атаки и проверять возникшие в ходе тестирования гипотезы.

Целью проведения работ является выявление уязвимостей, способных повлечь за собой раскрытие конфиденциальной информации или нарушение работы приложения.

Эксперт осуществляет следующие работы:

  • Анализ архитектуры, моделирование угроз
  • Статический и динамический анализ кода
  • Анализ механизмов хранения и передачи конфиденциальной информации
  • Анализ кода на наличие вредоносных элементов
  • Анализ API
  • Анализ конфигурационных файлов
  • Анализ криптографических протоколов
  • Обработка ошибок, полученных в процессе анализа кода
  • Фаззинг полей для ввода данных
  • Анализ возможных утечек
  • Анализ бизнес-логики приложения

В ходе анализа кода программы эксперт выявляет неполадки и дефекты, определить которые другими способами или затруднительно или невозможно.

 

Анализ программного обеспечения методом «серого ящика»

В ходе проекта выполняются работы по анализу стенда с приложением, а также анализ исходного кода (в случае, если удалось восстановить код приложения).

Для анализа используются эмуляция бизнес-действий (или технологических операций, в зависимости от типа анализируемого ПО) с анализом передаваемых данных приложения и формируемых артефактов в оперативной и долговременной памяти. Также выполняются автоматизированные тесты для проверки корректности реакции приложения на стрессовые данные, либо инъекции.

При возможности восстанавливается исходный код, который анализируется как специализированными сканерами ПО, так и экспертно, что позволяет строить и подтверждать гипотезы недостатков безопасности программы.

Исполнитель осуществляет следующие работы:

  • Статический (при наличии технической возможности) и динамический анализ ПО
  • Анализ механизмов хранения и передачи конфиденциальной информации
  • Анализ кода (в случае успешного восстановления) на наличие вредоносных элементов
  • Анализ API (при наличии)
  • Анализ конфигурационных файлов
  • Анализ криптографических протоколов
  • Фаззинг полей для ввода данных
  • Обработка ошибок, полученных в процессе анализа кода
  • Анализ бизнес-логики приложения

 

Анализ защищенности приложения методом «черного ящика»

В тех случаях, когда на анализ предоставляется только образ приложения без исходных кодов, также организуется тестовый стенд, выполняются работы по анализу защищенности ПО, осуществляется попытки восстановить исходный код приложения для тестирования.

Исполнитель осуществляет следующие работы:

  • Проведение деобфускации и дизассемблирования кода
  • Анализ механизмов хранения и передачи конфиденциальной информации
  • Анализ исходного кода (в случае успешного восстановления) на наличие вредоносных элементов
  • Анализ конфигурационных файлов
  • Анализ криптографических протоколов
  • Фаззинг полей для ввода данных
  • Обработка ошибок, полученных в процессе анализа кода
  • Анализ возможной утечки информации
  • Анализ бизнес-логики приложения

    Нужна консультация?

    Что входит в аудит безопасности кода?

    Что входит в аудит безопасности кода

    • Углубленный анализ программных продуктов и систем, а также сайтов на наличие недокументированных возможностей и различных уязвимостей;
    • Исправление алгоритмов, на которых основываются аналитические системы. При необходимости, осуществляется предварительная деобфускация, т.е., приведение кода в читабельный вид;
    • Модифицирование приложений без исходной кодировки с учетом потребностей заказчика.

     

    Дополнительные услуги

    • Анализ систем на уровне информационной безопасности. Существует как автоматический анализ, так и полуавтоматический. В первом случае происходит обработка инструментальными средствами, которые подстраиваются под определенные задачи. Выполняется быстро, но могут иметь место «ложные срабатывания». Полуавтоматический анализ предусматривает обработку со сборкой консолидированного отчета и его изучением исключительно специалистом. По результатам полуавтоматического анализа специалист также формирует перечень рекомендаций по устранению проблем.
    • Анализ на наличие уязвимостей и недокументированных возможностей. В исполняемом коде могут быть скрыты разные дефекты, если он представлен пользователю без исходного. Уязвимости возникают при неграмотной работе разработчиков с некоторыми деталями языков программирования. Данные, не отраженные в документах (недокументированные возможности), носят или случайный, или умышленный характер. Перечисленные проблемы успешно решаются нашими сотрудниками.
    • Восстановление алгоритмов, на которых основываются аналитические системы. Несовершенство алгоритма часто приводит к ошибкам в системе обработки данных. Мы проводим комплексный анализ и вносим уместные коррективы, которые будут эффективны в дальнейшей работе.
    • Модификация ПО без исходных кодов с учетом требований заказчика. Услуга необходима, если программное обеспечение устраивает компанию, но, требуется выполнить замену некоторых элементов, что сделать самостоятельно через настройки невозможно. Для этого используются методы декомпиляции, восстанавливая интерфейсы взаимодействия системных компонентов. Собственный модуль может быть с ограниченным или расширенным функционалом.
    • Деобфускация. Обфускация – обработка, с целью затруднения процессов анализа и хищения кода. Перед его восстановлением или анализом выполняется процедура деобфускации или «упрощения». Мы имеем большой опыт в этом направлении и даем гарантии надежного результата

     

    Почему RTM Group?

    • Профиль деятельности RTM Group – предоставление услуг по информационной безопасности
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по анализу защищенности программного обеспечения

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email:






    Видео по анализу защищенности программного обеспечения

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по анализу защищенности программного обеспечения

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Аудит программного кода

    от 100 000 руб.

    Аудит кода сайта

    от 100 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    Нами проведено более 800 аудитов

    Сотрудники компании провели более 700 аудитов по различным критериям

    Судебные ИТ-эксперты, ИТ-юристы и аудиторы ИБ

    В штате нашей компании

    Широкая география работы и присутствия

    Работа на территории России, Беларуси и Казахстана

    3 лицензии

    ФСТЭК России и ФСБ России

    Наши отзывы по анализу защищенности программного обеспечения

    Благодарность от ООО "Алми Партнер"
    01.09.2021
    Уважаемый коллектив ООО «РТМ ТЕХНОЛОГИИ»! Администрация ООО «АЛМИ Партнер» выражает благодарность за оказанную помощь в проведении экспертизы программных продуктов в сравнении с конкурентами. По результатам работ эксперты ООО «РТМ ТЕХНОЛОГИИ» предоставили рекомендательный отчет о преимуществах программных продуктов ООО «АЛМИ Партнер», состоявший из 100 страниц, а также внимательно отнеслись к уточнениям и дополнениям, учли и внесли необходимые правки. Хотим выразить благодарность сотрудникам компании за оказанную услугу, высокое качество работы, оперативность и своевременную помощь по запросам. Успешная реализация проекта была бы невозможна без вашего участия. Желаем всему коллективу ООО «РТМ ТЕХНОЛОГИИ» здоровья, интересных замыслов, их благополучных воплощений и хороших клиентов. Благодарим сотрудников за профессиональный подход и рекомендуем компанию как надежного партнера! С уважением, Генеральный директор А.В. Неклюдов

    Услуги для вас

    Продукты и решения для вас

    Нам доверяют

    Полезные статьи

    Статья 24 ответа по судебной компьютерно-технической экспертизе. Интервью

    24 ответа по судебной компьютерно-технической экспертизе. Интервью

    — В чем отличие компьютерно-технической экспертизы от других видов экспертиз?
    — Примеры компьютерно-технической экспертизы, как меняются вопросы?
    — Процедуры назначения судебной компьютерно-технической экспертизы в гражданских и уголовных делах
    — Кто в итоге платит за компьютерно-техническую экспертизу в уголовном и гражданском деле?
    — Сколько времени занимает и от чего зависит длительность судебной компьютерно-технической экспертизы?
    — Какие варианты компьютерно-технических экспертиз сейчас наиболее популярны?
    — Требования к экспертному заключению и самому эксперту
    — Какая ответственность у судебного эксперта?
    — Сколько зарабатывает судебный эксперт по компьютерно-технической тематике? И от чего зависят суммы вознаграждения?
    — Есть ли у судей какая-то инструкция по выбору судебного эксперта?
    — Есть ли в рамках критической информационной инфраструктуры экспертная задача именно для судебного эксперта?

    FAQ: Часто задаваемые вопросы

    Вы можете проверить наличие закладок в скомпилированном приложении?

    Добрый день.
    Уже скомпилированное приложение может быть подвергнуто анализу после дизассемблирования или иных процедур восстановления кода. Данная услуга одна из самых дорогих – для оценки сроков и стоимости необходимо предварительно получить сведения об архитектуре приложения.

    Добрый день!

    Нам требуется сравнение и экспертиза программного кода на предмет плагиата.

    Скажите, пожалуйста, есть ли у вас возможность оказать такую услугу?

    Да, наши эксперты могут провести анализ двух комплектов исходного кода на предмет идентичности.