CERT Coordination Center

CERT Coordination Center
Typ	FFRDC (del av Software Engineering Institute )
Industri	Programvara och nätverkssäkerhet
Grundad	1988
Huvudkontor	Pittsburgh, PA , USA
Nyckelpersoner	; US AF-brigadgeneral (ret) Gregory J. Touhill Direktör
Hemsida	sei .cmu .edu /about /divisioner /cert /index .cfm

CERT Coordination Center ( CERT/CC ) är koordineringscentret för dataräddningsteamet (CERT) för Software Engineering Institute (SEI), ett icke-vinstdrivande federalt finansierat forsknings- och utvecklingscenter i USA . CERT/CC undersöker programvarubuggar som påverkar programvara och internetsäkerhet, publicerar forskning och information om dess resultat och arbetar med företag och myndigheter för att förbättra säkerheten för programvara och internet som helhet.

Historia

Den första organisationen i sitt slag, CERT/CC skapades i Pittsburgh i november 1988 på DARPA: s ledning som svar på Morris maskincidenten. CERT/CC är nu en del av CERT-avdelningen av Software Engineering Institute, som har mer än 150 cybersäkerhetsexperter som arbetar med projekt som tar ett proaktivt tillvägagångssätt för att säkra system. CERT-programmet samarbetar med myndigheter, industri, brottsbekämpning och akademi för att utveckla avancerade metoder och teknologier för att motverka storskaliga, sofistikerade cyberhot.

CERT-programmet är en del av Software Engineering Institute (SEI), ett federalt finansierat forsknings- och utvecklingscenter ( FFRDC ) vid Carnegie Mellon Universitys huvudcampus i Pittsburgh. CERT är ett registrerat varumärke som tillhör Carnegie Mellon University.

Förväxling med US-CERT och andra CERT

2003 ingick Department of Homeland Security ett avtal med Carnegie Mellon University om att skapa US-CERT . US-CERT är det nationella teamet för svar på datorsäkerhetsincidenter ( CSIRT ) för USA. Detta samarbete orsakar ofta förvirring mellan CERT/CC och US-CERT. Även om de är relaterade är de två organisationerna distinkta enheter. I allmänhet hanterar US-CERT ärenden som rör USA:s nationella säkerhet, medan CERT/CC hanterar mer generella ärenden, ofta internationellt.

CERT/CC samordnar information med US-CERT och andra svarsteam för datasäkerhetsincidenter, av vilka några har licens att använda namnet "CERT". Även om dessa organisationer licensierar "CERT"-namnet från Carnegie Mellon University, är dessa organisationer oberoende enheter etablerade i sina egna länder och drivs inte av CERT/CC.

som främjar samarbete och informationsutbyte mellan de olika nationella CERT:erna och privata produktsäkerhetsincidentresponsteam (PSIRTs).

Förmågor

CERT/CC:s forskningsarbete är uppdelat i flera olika arbetsområden. Några nyckelfunktioner och produkter listas nedan.

Samordning

CERT/CC arbetar direkt med programvaruleverantörer i den privata sektorn såväl som statliga myndigheter för att åtgärda sårbarheter i mjukvaran och tillhandahålla korrigeringar till allmänheten. Denna process är känd som koordination.

CERT/CC främjar en särskild samordningsprocess som kallas Responsible Coordinated Disclosure . I det här fallet arbetar CERT/CC privat med leverantören för att åtgärda sårbarheten innan en offentlig rapport publiceras, vanligtvis tillsammans med leverantörens egen säkerhetsrådgivning. I extrema fall när leverantören inte är villig att lösa problemet eller inte kan kontaktas, offentliggör CERT/CC vanligtvis information offentligt efter 45 dagar sedan första kontaktförsöket.

Sårbarheter i programvara som samordnas av CERT/CC kan komma från intern forskning eller från extern rapportering. Sårbarheter som upptäckts av externa individer eller organisationer kan rapporteras till CERT/CC med hjälp av CERT/CC:s sårbarhetsrapporteringsformulär. Beroende på hur allvarlig den rapporterade sårbarheten är kan CERT/CC vidta ytterligare åtgärder för att åtgärda sårbarheten och samordna med programvaruleverantören.

Kunskapsbas och sårbarhetsanteckningar

CERT/CC publicerar regelbundet sårbarhetsanteckningar i CERT KnowledgeBase. Sårbarhetsanteckningar innehåller information om senaste sårbarheter som undersökts och samordnats, och hur individer och organisationer kan mildra sådana sårbarheter.

Vulnerability Notes-databasen är inte avsedd att vara heltäckande.

Sårbarhetsanalysverktyg

CERT/CC tillhandahåller ett antal kostnadsfria verktyg till säkerhetsforskningssamhället. Några verktyg som erbjuds inkluderar följande.

CERT Tapioca – en förkonfigurerad virtuell apparat för att utföra man-in-the-midten-attacker. Detta kan användas för att analysera nätverkstrafik av mjukvaruapplikationer och avgöra om programvaran använder kryptering korrekt, etc.
BFF (Basic Fuzzer Framework) – en mutationsfil fuzzer för Linux
FOE (Failure Observation Engine) – en mutationsfil för Windows
Dranzer—Microsoft ActiveX sårbarhetsupptäckt

Träning

CERT/CC erbjuder regelbundet utbildningar för forskare eller organisationer som vill etablera sina egna PSIRT.

Kontroverser

Sommaren 2014 var CERT-forskning finansierad av den amerikanska federala regeringen nyckeln till avanonymiseringen av Tor , och information som stämts från CERT av FBI användes för att ta ner SilkRoad 2.0 den hösten. FBI förnekade att ha betalat CMU för att avanonymisera användare, och CMU förnekade att ha tagit emot finansiering för dess efterlevnad av regeringens stämning.

Trots att den indirekt bidragit till att ta ner många olagliga webbplatser och gripandet av minst 17 misstänkta, väckte forskningen flera frågor:

om forskningsetik för datorsäkerhet som en angelägenhet för Tor-gemenskapen och andra
om att ha blivit orimligt sökt på nätet som relaterat till garantin enligt US 4th tillägget
om SEI /CERT som agerar tvärs över sina egna uppdrag, åtgärder inklusive att undanhålla de sårbarheter som den hade hittat från mjukvaruimplementatorerna och allmänheten.

CMU sade i ett uttalande i november 2015 att "...universitetet från tid till annan delges stämningar som begär information om forskning som det har utfört. Universitetet följer rättsstatsprincipen, följer lagligt utfärdade stämningar och får ingen finansiering för dess överensstämmelse", även om moderkortet rapporterade att varken FBI eller CMU förklarade hur myndigheten först fick reda på forskningen och sedan stävdes för lämplig information. Tidigare hade SEI också avböjt att förklara arten av denna specifika forskning som svar på pressförfrågningar och sa: "Tack för din förfrågan, men det är vår praxis att inte kommentera brottsbekämpande utredningar eller domstolsförfaranden."

Se även

externa länkar

Officiell hemsida

Carnegie Mellon University
Akademiker	Ingenjörshögskola College of Fine Arts Dietrich College of Humanities and Social Sciences H. John Heinz III College för informationssystem och offentlig politik Mellon College of Science Skolan för datavetenskap Tepper School of Business Margaret Morrison Carnegie College (nedlagd)
Filial campus	Australien Qatar Rwanda Silicon Valley
Studentliv	Traditioner Grekiskt liv Scotch'n'Soda Theatre Miller ICA Tartanen WRCT Universitetets idrottsförbund Alma Mater
Forskning	Pittsburgh Supercomputing Center Software Engineering Institute Robotics Institute Human Computer Interaction Institute Hunt Institute for Botanical Documentation Beräkningsbiologiska institutionen Språkteknologiinstitutet Pittsburgh Life Sciences Greenhouse Carnegie skola
människor	Andrew Carnegie Familjen Mellon Alumner och fakulteter
Projekt och arv	Alice Andrew projekt SALIGHET CMMI Mach 3M dator Centrum för PostNatural History Konfliktkök Robot Hall of Fame Waffle Shop: A Reality Show YinzCam

Staden Pittsburgh
Regering	Flygplats Konventioner Stadshus Tingshus Borgmästare Råd evenemang InterGov Polis Allmän åklagare Sheriff Brand Bibliotek Genomresa Utbildning Parker Hamn Regional
Ekonomi	Allegheny-konferensen Duquesne Club Handelskammare Företag Ekonomisk klubb HYP-klubben Börsen
Andra ämnen	Högskolor och universitet Kultur kakbord teater Grön man Dialekt Yinzer Flagga Fiktiva inställningar Filma filmer tv Historia namn tidslinjen Judisk historia 2018 synagogaskjutning Pittsburgh toalett Sjukhus Media Museer Grannskap Smeknamn Anmärkningsvärda Pittsburghers Region kombinerat statistiskt område Skyskrapor sporter
Kategori