The object of research, development or design (in Russian) : способы и средства автоматизации экспертного анализа машинного кода телекоммуникационных устройств

The object of research, development or design (in Kazakh) : телекоммуникациялық құрылғылардың машиналық кодына сараптамалық талдауды автоматтандыру әдістері мен құралдары

Aim of work (in Russian) : разработка способа и средств автоматизации экспертного анализа машинного кода телекоммуникационных устройств в интересах повышения эффективности поиска уязвимостей в условиях отсутствия исходных кодов

Aim of work (in Kazakh) : бастапқы кодтар болмаған кезде осалдықтарды іздеу тиімділігін арттыру мақсатында телекоммуникациялық құрылғылардың машиналық кодына сараптамалық талдауды автоматтандыру әдісі мен құралдарын әзірлеу

Методы исследования (на русском) : Для достижения целей и решения задач планируется использование как классических, так и современных методов исследования, а именно:  для решения всех задач: системный, причинно-следственный и сравнительный анализ;  для разработки модели машинного кода и классификации уязвимостей: сбор, систематизация и анализ научно-технической информации;  для создания метода и методик поиска уязвимостей предлагаемым методом: функциональный и структурный синтез;  для реализации программных средств: общая методология программирования, теории компиляции и графов, компьютерное моделирование.

Методы исследования (на казахском) : Мақсаттарға жету және мәселелерді шешу үшін зерттеудің классикалық және қазіргі әдістерін қолдану жоспарлануда, атап айтқанда: - барлық мәселелерді шешу: жүйелік, себептік және салыстырмалы талдау; - осалдықтардың классификациясы мен машиналық код моделін жасау: ғылыми-техникалық ақпаратты жинау, жүйелеу және талдау; - ұсынылған әдісті қолдана отырып осалдықтарды іздеу әдісі мен тәсілдерін құру: функционалдық және құрылымдық синтез; - бағдарламалық жасақтаманы іске асыруға арналған: бағдарламалаудың жалпы әдістемесі, графика және компиляция теориясы, компьютерлік модельдеу.

Obtained results and novelty (in Russian) : 1) программный комплекс автоматизации поиска уязвимостей, позволяющий выявлять в программном обеспечении сложно-обнаруживаемые уязвимости без предоставления исходного кода; является результатом решения задач разработки модели машинного кода, разработки синтаксиса языка описания представления алгоритмов и архитектуры, а также создания прототипов программных средств; 2) тестовый стенд комплекса и отчет о результатах тестирования; является промежуточным решением задачи по проведению испытаний по поиску типовых уязвимостей; 3) документация на программное обеспечение комплекса по поиску уязвимостей в машинном коде телекоммуникационных устройств разработанным способом; является результатом решения задач по созданию прототипов программных средств и создания метода поиск уязвимостей по классам; 4) перечень типовых уязвимостей (программных закладок) и рекомендации для их поиска с помощью комплекса; является результатом решения задачи классификации уязвимостей в машинном коде.

Obtained results and novelty (in Kazakh) : 1) бастапқы кодын берместен бағдарламалық қамтамасыз етуді қиындықсыз анықтауға мүмкіндік беретін осалдықтарды іздестіруді автоматтандыру үшін бағдарламалық кешен; машина коды моделін құру проблемаларын шешудің, алгоритмдер мен архитектураның тұсаукесерін сипаттауға арналған синтаксисті әзірлеу және бағдарламалық қамтамасыз етудің прототипін жасаудың нәтижесі болып табылады; 2) кешеннің сынақ стенділері және тестілеу нәтижелері туралы есеп; типтік осалдықтарды іздестіру міндетін аралық шешу болып табылады; 3) әзірленген әдісті қолдана отырып телекоммуникациялық құрылғылардың компьютерлік кодының осалдықтарын іздеуге арналған бағдарламалық қамтамасыздандыру туралы құжаттама; прототипті бағдарламалық қамтамасыз ету проблемаларын шешудің және сабақтар бойынша осалдықтарды табу әдісін жасаудың нәтижесі болып табылады; 4) әдеттегі осалдықтардың тізімі (бағдарлама бетбелгілері) және оларды кешенді пайдалана отырып іздеу бойынша ұсынымдар; машиналық кодтағы осалдықтарды жіктеу мәселесін шешудің нәтижесі болып табылады.

The main constructive and technical economic indicators (in Russian) : Практическая значимость проекта заключается в том, что полученный способ поиска (состоящий их метода, программных средств и автоматизированной формы его выполнения) позволит локализовать уязвимости в машинном коде, которые не только принципиально невозможно обнаружить автоматическими средствами (из-за отсутствия их формализации), но которые также являются не просто ошибками при разработке (например, на уровне базовых операций), а заложены туда сознательно (например, на уровне нарушения в работе алгоритмов и наличия «бэкдор» в архитектуре) и, следовательно, обладают высокой угрозой деструктивных действий. Особым статусом обладает область автоматизированных систем управления технологическими производствами и стратегическими объектами, где последствия от реализации киберугроз вследствие использования уязвимостей в программном обеспечении может носить физический характер.

The main constructive and technical economic indicators (in Kazakh) : Жобаның практикалық маңыздылығы алынған іздеу әдісі (әдістен, бағдарламалық жасақтамадан және оны орындаудың автоматтандырылған түрінен тұратын) машиналық кодтағы осалдықтарды оқшаулауға мүмкіндік беретіндігінде, оларды автоматты түрде табу мүмкін емес (формаландырудың болмауына байланысты) Олар сондай-ақ дамудағы қателіктер ғана емес (мысалы, негізгі операциялар деңгейінде), бірақ оны әдейі қояды (мысалы, алгоритмдердің жұмысындағы бұзушылық деңгейінде және архитектурада «артқы есіктің» болуы), сондықтан жойқын әрекеттердің жоғары қаупі бар. Технологиялық өндіріс пен стратегиялық объектілерді басқарудың автоматтандырылған жүйелерінің аймағы ерекше мәртебеге ие, мұнда бағдарламалық қамтамасыздандырудағы осалдықтарды қолдану салдарынан болатын киберқауіптерді жүзеге асырудың салдары физикалық болуы мүмкін.

Level of implementation (in Russian) : начальная

Level of implementation (in Kazakh) : бастауыш

Efficiency (in Russian) : Применение разработанных методологического и программного решения позволит осуществлять поиск уязвимостей в машинном коде телекоммуникационных устройств, требующих участия эксперта из-за отсутствия возможности формализации последние.

Efficiency (in Kazakh) : Әзірленген әдістемелік және бағдарламалық шешімдерді қолдану телекоммуникациялық құрылғылардың машиналық кодының осалдықтарын іздеуге мүмкіндік береді, бұл сарапшының соңғы қатысушыларды ресімдеу мүмкіндігі болмағандықтан қатысуын талап етеді.

Field of application (in Russian) : предлагаемый метод и программные средства будут крайне востребованы в Республике Казахстан, поскольку позволят существенно повысить безопасность ее информационного пространства, для работы с которым используются телекоммуникационные устройства без исходного кода и в особенности иностранного производства

Field of application (in Kazakh) : ұсынылған әдіс пен бағдарламалық қамтамасыздандыру Қазақстан Республикасында үлкен сұранысқа ие болады, өйткені ол өзінің ақпараттық кеңістігінің қауіпсіздігін едәуір арттырады, ол үшін бастапқы коды жоқ телекоммуникациялық құрылғылар, әсіресе шетелдік өндіріс қолданылады