OSVDB

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 18:00, 18 сентября 2020.
OSVDB
OSVDB.png
Type of site

База данный уязвимостей

С открытым исходным кодом
Available in English
Created by Группа IT специалистов и хакеров
Editor Open Security Foundation США
Website https://blog.osvdb.org/
Registration Обязательная регистрация
Launched

август 2002 года

2004 год (запущена под новым управлением)
Current status

прекратила работу

в 2016 году
Content license
open source

Open Sourced Vulnerability Database (OSVDB) — некоммерческий проект, представлявший независимую базу данных уязвимостей, с открытым исходным кодом. Название расшифровывается примерно как: "Открытая база данных уязвимостей". Основная его цель заключалась в отслеживании уязвимостей и поиске средств для их устранения, сервис предоставлял подробную и актуальную техническую информацию для тех кто защищал сетевые системы от случайных злоупотреблений и систематических атак, начиная с домашних пользователей и малых предприятий и заканчивая транснациональными корпорациями. Проект стимулировал к более открытому сотрудничеству между компаниями и отдельными программистами, что привадило к снижению расходов с поиском и устранением уязвимостей в базах данных. Девиз OSVDB: «Все уязвимо». [Источник 1] .

История

Проект, призванный стимулировать сотрудничество между компаниями и индивидуальными пользователями, стартовал в августе 2002 года на конференциях Blackhat и DEF CON по инициативе нескольких известных представителей IT отрасли (среди них был знаменитый "белый хакер" H.D. Moore [Источник 2] , а так же rain.forest.puppy и другие).

А в 2004 году база OSVDB была запущена под новым управлением. База данных строилась вокруг ключевой идеи: организовать такой реестр уязвимостей, который содержал бы полную и подробную информацию обо всех обнаруженных уязвимостях, и поддержка которого не была бы аффилирована ни с одним из производителей программного обеспечения. Одним из косвенных результатов деятельности коллектива исследователей, причастных к развитию базы OSVDB, стало основание в 2005 году организации Open Security Foundation. Ее специалисты занимались самостоятельным поиском уязвимостей и агрегацией публично доступной из различных источников информации об обнаруженных уязвимостях или сценариях их эксплуатации. Помимо штатных сотрудников активное участие в поиске уязвимостей принимали двести волонтеров со всего мира. Новые уязвимости специалисты регистрировали в базе, производили их классификацию и валидацию. При этом уточнялись списки уязвимого ПО и сведения о возможных способах устранения уязвимостей. В таком виде каждая запись, снабженная соответствующими ссылками на доступные источники информации, оставалась в базе данных. Авторы OSVDB приняли решение о закрытии базы данных, которое произошло в 2016 [Источник 3] году. Специалистами и волонтёрами проекта за 12 лет работы была собрана информация о 106000 уязвимостей в 83000 продуктов производства 10000 компаний.

В настоящее время продолжается эпизодическая поддержка блога проекта, а сотрудничество организации Open Security Foundation и коммерческой компании Risk Based Security привело к созданию каталога уязвимостей VulnDB[Источник 4], как коммерческую реинкарнацию OSVDB. По состоянию на 2018 год сервис VulnDB содержит информацию о 176 тыс. обнаруженных уязвимостях (включая почти 60 тыс. записей об уязвимостях, отсутствующих в базах CVE List и NVD), а поддерживающие базу специалисты отслеживают появление новых уязвимостей для 19 тыс. современных программных продуктов и 2 тыс. популярных библиотечных компонентов. Одним из возможных предназначений предлагаемого сервиса может быть риск-менеджмент и оценка уровня защищенности компьютерных сетей организаций.

Описание OSVDB

Сервис OSVDB представлял из себя бесплатный web-сайт с каталогом всех уязвимостей в ПО, на рисунке 1 представлена его главная страница. [Источник 5] Изначально проект был развернут в двух основных частях: интерфейсная часть позволяла искать уязвимости и сообщать о них, а внутренняя часть позволяла участникам добавлять или редактировать уязвимости. Чтобы упростить процесс, OSVDB внедрила настраиваемый портал, который полностью интегрирует старый внутренний интерфейс и интерфейсный веб-сайт. Кроме того, метод обновления уязвимостей был изменен на вики-подобную систему, которая позволяет участникам редактировать отдельные поля при необходимости. OSVDB также был доступен для загрузки в нескольких форматах экспорта базы данных и в виде очень небольшого приложения Ruby on Rails. Это приложение использует экспорт базы данных SQLite, чтобы предоставить пользователю собственный, хотя и относительно безликий, локальный экземпляр OSVDB.

Модераторы OSVDB идентифицировали новые уязвимости и присваивали им уникальный идентификатор. Это позволяло авторам просматривать информацию об уязвимости в сети Интернет, а затем фиксировать детали в записи базы данных в самой OSVDB. Модератор проверял каждую запись об уязвимости перед ее фиксацией, чтобы убедиться, что стандарты OSVDB для ясности и корректности были соблюдены. После того, как обновление было принято, оно становится доступным для всех, кому требуется информация об уязвимостях из базы данных. Процесс происходил быстро, и новые уязвимости становились доступными для сообщества. Он также был эффективен, максимизируя производительность для участников и модераторов, так что команда могла не отставать от растущего потока данных об уязвимостях.

Онлайн-процесс и поддерживающая его автоматизация непрерывно совершенствовались с момента открытия проекта, и команда OSVDB продолжала увеличивать ценность базы данных и связанных с ней услуг с течением времени. По состоянию на январь 2012 года запись об уязвимости выполнялась штатными сотрудниками фонда OSF. Каждая новая запись содержала заголовок, описание, решение (если известно), данные классификации, ссылки, продукты и кредитоспособность.

Рисунок 1 - Гланая страница web-сайта OSVDB

Ядром OSVDB была реляционная база данных, которая связывала различную информацию об уязвимостях безопасности в единый открытый источник данных безопасности с перекрестными ссылками. Среди прочего присутствовали: локация эксплуатации (сетевой доступ/локальный доступ) и импакт (ущерб от уязвимости, воздействие на какую-либо часть целевой информационной системы). На начало ноября 2013 г. OSVDB содержала сведения свыше 100 тыс. уязвимостей.


Авторы и соавторы

Рисунок 2 - H.D. Moore

В команду основателей проекта входили знаменитые IT специалисты и хакеры, такие как:

  • H.D. Moore (см. рисунок 2)
  • rain.forest.puppy

В последующем некоторые восторженные хакеры добровольно поддерживали проект OSVDB. Некоторые из активных участников следующие [Источник 6]:

  • Брайан Мартин (главный операционный директор OSF, модератор)
  • Джейк Коунс (генеральный директор OSF, модератор)

Другие добровольцы, которые помогали в прошлом:

Прекращение работы OSVDB

5 апреля 2016 года проект Open Sourced Vulnerability Database (OSVDB) прекратил свою работу.[Источник 12] OSVDB была отключена одновременно с появлением официального сообщения в блоге разработчиков. Проект «убило» то обстоятельство, что многие компании не сочли нужным платить за OSVDB, тогда как контент можно получить и бесплатно. Компаниям предлагалось приобрести лицензию для полноценного использования OSVDB, однако многие предпочли обойтись без этого. Так, в 2014 году McAfee и испанскую фирму S21Sec уличили в создании скриптов, которые автоматически извлекали данные об уязвимостях из Базы. Разумеется, совершенно бесплатно. Тогда обе компании извинились за случившееся и пообещали, что подобное не повторится. Но как показала практика не только они предпочитали тихо воровать данные у OSVDB.

VulnDB (Vulnerability Intelligence)

В настоящее время на базе OSVDB был создан её коммерческий аналог под названием VulnDB [Источник 13] представленный на рисунке 3. Инструмент предлагает безопасность на основе рисков для всестороннего анализа уязвимостей через постоянно обновляемый поток данных. На основе самой обширной и полной базы данных об уязвимостях VulnDB позволяет организациям запрашивать самую последнюю информацию об уязвимостях безопасности ПО.

Рисунок 3 - Главная страница web-сайта VulnDB

Предложение подписки на фид данных VulnDB предоставляет организациям своевременную, точную и полную информацию об уязвимостях [Источник 14]

  1. Сторонние библиотеки — выявлено и отслежено более 2000 программных библиотек
  2. RESTful API — Возможность простой интеграции данных с настраиваемым CSV-экспортом и использованием гибкого RESTful AP.
  3. Оповещение по электронной почте — Возможность настроить оповещения по электронной почте для нескольких адресов электронной почты по поставщику, продукту, версии и критериям поиска
  4. Исследовательская группа — Их команда проводит дальнейший углубленный анализ отдельных уязвимостей, чтобы предоставить клиентам наиболее подробную информацию о причине и воздействии.
  5. CVE Mapping — ~ 100% сопоставление с CVE / NVD
  6. Своевременные оповещения — 24 × 365 Мониторинг и оповещения
  7. Оценки риска — Расширенная система классификации и наши собственные метрики CVSSv2, а также VTEM (временная шкала уязвимости и метрики воздействия).
  8. Технический анализ — подробный анализ уязвимостей
  9. Подробная информация — более 70 полей данных, включая информацию об источниках уязвимости, подробные ссылки и ссылки на решения
  10. Анализ воздействия
  11. Руководство по смягчению последствий
  12. Ссылки на патчи безопасности
  13. Ссылки на эксплойты
  14. Оценка поставщиков и продуктов

Фонд Open Security

Одним из косвенных результатов деятельности коллектива исследователей, причастных к развитию базы OSVDB, стало основание в 2005 году организации Open Security Foundation[Источник 15]. Фонд задумывался в качестве организации поддержки для открытого исходного кода проектов в области безопасности. Специалисты фонда занимались самостоятельным поиском уязвимостей и агрегацией публично доступной из различных источников информации об обнаруженных уязвимостях или сценариях их эксплуатации. Новые уязвимости специалисты регистрировали в базе, производили их классификацию и валидацию. При этом уточнялись списки уязвимого ПО и сведения о возможных способах устранения уязвимостей. В таком виде каждая запись, снабженная соответствующими ссылками на доступные источники информации, оставалась в базе данных.

Идею создания фонда Open Security в начале 2004 года предложили Крис Салло , Брайан Мартин, и Джейк Каунс. В апреле 2005 года на территории США был получен официальный некоммерческий статус.

Источники

  1. Biased software vulnerability stats praising Microsoft were 101% misleading // CSO. URL: https://www.csoonline.com/article/2226625/biased-software-vulnerability-stats-praising-microsoft-were-101--misleading.html (дата обращения: 18.06.2020).
  2. Metasploit Creator HD Moore's Latest Hack: IT Assets // DARKReading. URL: https://www.darkreading.com/analytics/metasploit-creator-hd-moores-latest-hack-it-assets-/d/d-id/1335860 (дата обращения: 26.06.2020).
  3. Общий обзор реестров и классификаций уязвимостейCVE, OSVDB, NVD, Secunia) // Безопасность пользователей в сети интернет. Дата обновления: 15.01.2019 URL:https://safe-surf.ru/specialists/article/5228/607311/ (дата обращения: 22.06.2020).
  4. Vulnerability Statistics // Официальный сайт VulnDB. URL: https://vulndb.cyberriskanalytics.com/#statistics (дата обращения: 18.06.2020).
  5. Open Source Vulnerability Database Project // TIM Review. Дата обновления: 15.06.2008. URL:https://timreview.ca/article/155 (дата обращения: 01.07.2020).
  6. Open-source vulnerabilities database shuts down // NETWORKWORLD. Дата обновления: 07.04.2016. URL:https://www.networkworld.com/article/3053613/open-source-vulnerabilities-database-shuts-down.html (дата обращения: 01.07.2020).
  7. Chris Sullo // CIRT.net Suspicion Breeds Confidence. URL: https://www.cirt.net/sullo (дата обращения: 26.06.2020).
  8. How would Sun Tzu defend computer systems? Poorly. A new era needs new thinking // Fabius Maximus website Breathing on the embers of a dying Republic. Дата обновления: 15.06.2015. URL:https://fabiusmaximus.com/2015/06/19/defense-strategy-information-security-86134/ (дата обращения: 15.07.2020).
  9. Network Security Evalution // Google book. URL: https://books.google.ru/books?id=bTfLfr3erUEC&pg=PR8&lpg=PR8&dq=Travis+Schack+osvdb&source=bl&ots=DNwp_CizXP&sig=ACfU3U3H2MpbsZqZ06UjyDWBHcspRi07hg&hl=ru&sa=X&ved=2ahUKEwimjfbc487qAhXhwosKHZuXCj4Q6AEwEXoECAsQAQ#v=onepage&q=Travis%20Schack%20osvdb&f=false (дата обращения: 15.07.2020).
  10. Open Source Work //Susam Pal. URL: https://susam.in/cv.html (дата обращения: 15.07.2020).
  11. HoneyC // News: Recent posts URL: https://sourceforge.net/p/honeyc/news/ (дата обращения: 15.07.2020).
  12.  Открытая база уязвимостей OSVDB прекратила работу после 12 лет существования // Securitylab. URL:https://www.securitylab.ru/news/480781.php/ (дата обращения: 24.06.2020).
  13. About VulnDB // Официальный сайт VulnDB URL:https://vulndb.cyberriskanalytics.com/#about (дата обращения: 23.06.2020).
  14. VulnDB – Vulnerability Intelligence // Information Security Squad. Дата обновления: 25.09.2019 URL:https://itsecforu.ru/2019/09/25/%F0%9F%A6%9F-%D1%82%D0%BE%D0%BF-7-%D0%BA%D1%80%D1%83%D0%BF%D0%BD%D1%8B%D1%85-%D0%B1%D0%B0%D0%B7-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B5%D0%B9-%D0%B4%D0%BB%D1%8F-%D0%BF%D0%BE%D0%B8/ (дата обращения: 18.06.2020).
  15. Sosok Pendiri Open Security Foundation // Официальный сайт Open Security Foundation . URL:https://www.opensecurityfoundation.org (дата обращения: 18.06.2020).