Не так давно прошла первая волна Call For Papers форума по информационной безопасности PHDays V. Представляем новую порцию выступлений, которые прозвучат 26-27 мая в Москве (первый и второй анонсы). Докладчики расскажут, как повысить безопасность iOS-приложения, чем суперкомпьютер привлекает хакеров и как его защитить, а также поведают о взаимоотношениях продавцов и покупателей эксплоитов уязвимостей нулевого дня.
Автоматизация отладки
Александр Тарасенко расскажет об автоматизации отладки с помощью инструмента WinDbg. Слушатели получат практические навыки написания скриптов с помощью встроенного движка WinDbg, а также использования Python и расширения Pykd. Доклад может быть интересен исследователям кода и разработчикам софта, требующего применения нестандартных отладочных средств.
Безопасность iOS-приложений
Член OWASP и ИБ-специалист авиакомпании Emirates Пратик Гианчандани (Prateek Gianchandani) проведёт мастер-класс по созданию эксплоитов для iOS-приложений. Во время демонстрации докладчик будет использовать специально разработанное им приложение, содержащее типовые уязвимости. Слушатели узнают о том, как повысить уровень безопасности iOS-приложения ещё на этапе его разработки. По завершении вводной части все желающие смогут попробовать свои силы в тестировании приложений.
На страже суперкомпьютеров
Сотрудники немецкой ИБ-компании ERNW Феликс Вильхельм (Felix Wilhelm) и Флориан Грунов (Florian Grunow) расскажут о файловой системе IBM General Parallel File System, которая используется в некоторых известных суперкомпьютерах (например, Watson от IBM), её архитектуре и уязвимостях. Популярность системы делает её целью киберпреступников, которые интересуются не только хранимыми данными, но и возможностью получения доступа к вычислительным ресурсам мощнейших компьютеров. Докладчики продемонстрируют эксплуатацию двух реальных ошибок безопасности IBM GPFS.
Продажа эксплоитов
Основатель проекта BeeWise и главный консультант компании secYOUre Альфонсо Де Грегорио (Alfonso De Gregorio) расскажет о нравах, царящих на рынке эксплоитов уязвимостей нулевого дня: будут описаны сложившиеся на популярных площадках отношения между продавцами и покупателями таких инструментов.
Взлом хешей на пятой скорости
Алексей Черепанов, который принимал участие в разработке известной утилиты для взлома паролей John the Ripper и поддерживает GUI-интерфейс для неё, на PHDays V расскажет об увеличении скорости взлома хешей с помощью методов генерации кода.
Быстро и полезно
Помимо стандартных докладов, в программе PHDays V запланирован обширный FastTrack, состоящий из насыщенных и динамичных пятнадцатиминутных выступлений.
Посетители форума узнают о том, как атаки на GSM-сети с подменой базовой станции позволяют прослушать любой GSM-телефон — об этом расскажет сотрудник инжинирингового центра НИЯУ МИФИ Сергей Харьков.
Кроме того, криптограф и специалист по безопасности компании Kudelski Security Сильвен Пелисье (Sylvain Pelissier) на примере файловой системы для GNU/Linux eCryptfs покажет, что в некоторых случаях шифрование файлов помогает при взломе паролей.
Из рассказа Дениса Горчакова слушатели узнают о том, как противодействовать платёжному фроду в сети оператора связи. Речь пойдет о программно-аппаратном комплексе для анализа вирусов под ОС Android, выявлении центров управления (online & SMS) бот-сетями из заражённых устройств, коллекторов данных и счетов-аккумуляторов средств.
С 16 февраля стартовала вторая волна Call For Papers. Приём работ продлится до 31 марта, так что у вас еще есть шанс стать докладчиком грядущего PHDays. Также всех приглашают поучаствовать в CFP друзей форума — конференции HITB.
Поиск талантов
Существуют и другие способы попасть на форум. К примеру, три года назад был придуман конкурс PHDays Young School, чтобы помочь начинающим исследователям проявить себя, продемонстрировать свои работы и поделиться неожиданными идеями. В этом году приём заявок продлён до 1 марта, а значит, у каждого наблюдательного разработчика, читающего эти строки, есть шанс в конце весны рассказать о своих открытиях в области ИБ с трибуны перед тысячами лучших хакеров и специалистов по безопасности.
Лирики против физиков
В этом году организаторы впервые приглашают художников и других представителей визуальных искусств из самых разных стран, работающих во всех основных жанрах, выставить свои работы на юбилейном пятом форуме PHDays. Знаменитый эссеист Пол Грэм писал, что из множества различных типов людей хакеры и художники — едва ли не самые похожие, и организаторы решили это проверить.
У тебя будет возможность показать свои арт-работы аудитории в 3000 человек и 10 000 онлайн-зрителей, найти для своего проекта партнёров и друзей. Свои предложения и вопросы направляй по адресу PHD@ptsecurity.com. Заявки принимаются до 3 апреля 2015 года.
Обычно в это время года компания Google объявляет условия и размер денежных призов для ежегодного конкурса Pwnium на взлом браузера Chrome/Chromium и операционной системы Chrome OS.
Конкурс традиционно проводился в рамках хакерской конференции CanSecWest в Ванкувере. Например, в прошло году компания выложила на стол e миллионов долларов. У участников был один день, чтобы показать свои эксплоиты.
С этого года всё будет иначе. Pwnium больше не ограничивается одним днём конференции, а идёт круглый год. Таким образом, общая сумма вознаграждений возрастает с e миллионов долларов до ∞ миллионов долларов, сказано в официальном блоге Google Online Security.
По мнению организаторов, это снижает барьер для участия. Раньше исследователю нужно было зарегистрироваться до марта, предоставить работающий эксплоит и физически появиться на конференции. Теперь он в любое время может отправить информацию в рамках программы выплаты вознаграждений за баги Chrome Vulnerability Reward Program (VRP).
Решение Google отменить однодневный конкурс вполне логично. Зачем стимулировать хакеров придерживать 0day-уязвимости и эксплоиты в течение года, чтобы дождаться конкурса и претендовать на большую награду? Ведь это ухудшает ситуацию с безопасностью платформы Chrome. По новым условиям, исследователей стимулируют сообщать о багах мгновенно, пока это не сделал кто-то другой и не получил заслуженную премию.
В такой ситуации Google корректирует условия программы Chrome VRP, чтобы авторы эксплоитов показывали цепочку багов в стиле Pwnium, а также увеличивает максимальный размер вознаграждения до $50 000. Условия участия см. в FAQ.
В 2002 году Тим Петерс разработал гибридный алгоритм сортировки Timsort, который хитроумно сочетает в себе сортировку вставками и сортировку слиянием. Сейчас это стандартный алгоритм сортировки в Python, OpenJDK, Sun JDK в Android JDK. К сожалению, недавно в нём обнаружен явный баг. Учитывая популярность вышеупомянутых платформ, речь идёт о миллиардах компьютеров и мобильных устройств.
Специалисты из консорциума Envisage провели анализ, как работают реализации Timsort в Java и Python. Ониубедились, что в обоих случаях возможен выход за пределы массива.
Более подробное исследование позволило найти конкретный баг в реализациях TimSort. Этот баг содержится в коде, который отвечает за слияние подмассивов. В Java/Android он выглядит так.
private void mergeCollapse() {
while (stackSize > 1) {
int n = stackSize - 2;
if (n > 0 && runLen[n-1] <= runLen[n] + runLen[n+1]) {
if (runLen[n - 1] < runLen[n + 1])
n--;
mergeAt(n);
} else if (runLen[n] <= runLen[n + 1]) {
mergeAt(n);
} else {
break; // Invariant is established
}
}
}
Согласно алгоритму, слияние подмассивов происходит до тех пор, пока не достигается выполнение двух правил:
X > Y + Z
Y > Z
Так вот, при некоторых значениях вышеприведённый код mergeCollapse приводит к ошибке. Например, если взять такие значения runLen.
120, 80, 25, 20, 30
После первой итерации цикла происходит слияние 25 и 20 (поскольку 25 < 20 + 30 и 25 < 30).
120, 80, 45, 30
После второй итерации программа прекращает работу, потому что результат удовлетворяет поставленным условиям (80 > 45 + 30 и 45 > 30). Но на самом деле 120 < 80 + 45, а проверка этого условия не предусмотрена кодом, что и приводит к ошибке.
Функцию в Java/Android следует исправить следующим образом.
private void newMergeCollapse() {
while (stackSize > 1) {
int n = stackSize - 2;
if ( n > 0 && runLen[n-1] 0 && runLen[n-2] <= runLen[n] + runLen[n-1]) {
if (runLen[n - 1] < runLen[n + 1])
n--;
} else if (n runLen[n + 1]) {
break; // Invariant is established
}
mergeAt(n);
}
}
Спецификации Pointer Events вчера приняты в качестве рекомендаций W3C. Это отличный новый стандарт, который унифицирует обработку событий для всех возможных вариантов ввода: мышь, стилус, пальцы на тачскрине и т.д. Спецификации предусматривают, что обработку осуществляет один и тот же код. Он спроектирован так, чтобы добавлять любые устройства в будущем, какими бы они ни были.
К сожалению, не всё так замечательно, как могло бы быть, пишет американский веб-разработчик Тим Кадлец (Tim Kadlec). Не все браузеры готовы внедрить Pointer Events. Спецификации полностью поддерживаются только в IE11. Разработчики Mozilla решают эту задачу. А вот компания Apple не проявляет к спецификациям никакого интереса. Судя по всему, её примеру последует и Google.
Причём главным «тормозом» тут является именно Apple. В прошлом году на собрании группы разработчиков Pointer Events (PE) представитель Google сказал, что без сомнения PE предлагают элегантное решение проблемы и они бы с радостью внедрили поддержку спецификаций, если бы все браузеры их поддерживали, а конкретнее — если бы Apple согласилась на это.
И это не первый такой случай. Проблема в том, что Apple является одним из главных разработчиков движка WebKit, который, в частности, занимает практически монопольное положение на мобильных устройствах. У Apple слишком большое влияние на рынке браузеров и без её согласия, фактически, ни один новый стандарт не станет по-настоящему общепринятым. В то же время Apple слишком часто «играет в своей песочнице» и не стремится активно сотрудничать с другими разработчиками, когда дело касается общих стандартов.
Другие компании вынуждены равняться на Apple, чтобы сохранять совместимость и кроссплатформенность веб-приложений. Хотя Mozilla и Microsoft могут не признавать это открыто, но де-факто такое влияние у Apple есть и с этим нужно что-то делать. Сейчас стало очевидно, что Mozilla, Google и Microsoft способны нормально договориться насчёт стандартов, а Apple ведёт свою игру.
«Это нездоровая ситуация для веба. Нужно что-то менять», — пишет Тим Кадлец, мнение которого разделяют и другие разработчики.
Google объявила войну так называемому crapware, то есть программам со встроенными рекламными модулями и прочим «мусором», который принудительно устанавливается в систему.
Во-первых, компания установила правила Unwanted Software Policy, где чётко формулирует базовые критерии, которым должен соответствовать хороший софт.
1. Прозрачная процедура установки.
2. Простое удаление.
3. Ясное поведение, то есть программа должна делать только то, что от неё ожидается.
4. Сбор информации только с ведома пользователя.
5. «Хорошая компания»: все остальные программы, которые поставляются в комплекте, должны соответствовать указанным правилам.
Пару дней назад компания Google взяла на себя смелость по очистке веба от мусора — и начала принудительно блокировать софт, который не соответствует этим требованиям. Теперь он автоматически отфильтровывается в браузере Chrome (пользователю предлагается отменить скачивание вредоносных файлов), поисковой выдаче, а также в рекламных объявлениях (блокируется реклама со ссылками на сайты, где размещается плохой софт).
Понятно, что Google несёт прямые финансовые потери от такой политики. Но зато делает хорошее дело, что выгодно в долгосрочной перспективе. Теперь поиск Google выгодно отличается от Yahoo и Bing, ведь там «мусорный софт» по-прежнему выдаётся вместе с остальными результатами.
Вот какой раньше была поисковая выдача Google по запросу [vlc download].
Нынешний вид.
Для сравнения, результаты Yahoo и Bing по тому же поисковому запросу.
История с троянской программой Superfish, которую Lenovo устанавливала на новые ноутбуки, ещё не сошла со страниц мировых изданий, а китайская компания уже поплатилась за свой поступок.
