[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/LinuxDefconRussia
Руткиты в мире основанных на ядре Linux операционных систем уже не являются редкостью. Рассказ будет о том, как попытки в современных реалиях определить то, скомпрометирована ли система, привели к неожиданному результату.
Филипп Торчинский «Анализ производительности и отладка приложений с помощью D...Yandex
Научно-технический семинар «DTrace: Проверочная работа для вашего кода» в петербургском офисе Яндекса, 29 ноября 2012 г.
Филипп Торчинский, эксперт по облачным технологиям, Семоникс.
C++ CoreHard Autumn 2018. Кодогенерация C++ кроссплатформенно. Продолжение - ...corehard_by
В докладе будет рассмотрена генерация кода при компиляции различных языковых конструкций, как простых, так и сложных, на различных платформах, как общераспространённых x86/x64, так и тех, которым уделяется меньше внимания: ARM, AVR. Также будут встречаться примеры для совсем экзотических процессоров вроде PowerPC и даже MicroBlaze. Основной упор будет делаться не на обработку данных, а именно на сопоставление различных конструкций кода с инструкциями целевых платформ.
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/LinuxDefconRussia
Руткиты в мире основанных на ядре Linux операционных систем уже не являются редкостью. Рассказ будет о том, как попытки в современных реалиях определить то, скомпрометирована ли система, привели к неожиданному результату.
Филипп Торчинский «Анализ производительности и отладка приложений с помощью D...Yandex
Научно-технический семинар «DTrace: Проверочная работа для вашего кода» в петербургском офисе Яндекса, 29 ноября 2012 г.
Филипп Торчинский, эксперт по облачным технологиям, Семоникс.
C++ CoreHard Autumn 2018. Кодогенерация C++ кроссплатформенно. Продолжение - ...corehard_by
В докладе будет рассмотрена генерация кода при компиляции различных языковых конструкций, как простых, так и сложных, на различных платформах, как общераспространённых x86/x64, так и тех, которым уделяется меньше внимания: ARM, AVR. Также будут встречаться примеры для совсем экзотических процессоров вроде PowerPC и даже MicroBlaze. Основной упор будет делаться не на обработку данных, а именно на сопоставление различных конструкций кода с инструкциями целевых платформ.
Некоторые паттерны реализации полиморфного поведения в C++ – Дмитрий Леванов,...Yandex
Основываясь на опыте разработки Крипты, Дмитрий рассмотрит средства реализации статического и динамического полиморфизма в C++, а также некоторые их паттерны и антипаттерны.
Григорий Демченко, Асинхронность и неблокирующая синхронизацияSergey Platonov
Практика показывает, что использование подхода, основанного на колбеках для асинхронного программирования обычно не является удобным и подвержено различным ошибкам. Для упрощения написания и поддержки сложных асинхронных программ можно использовать несколько иной подход: использовать сопрограммы для переключения контекста на время ожидания события. Такой подход позволяет реализовать интересные неблокирующие примитивы, включая неблокирующее сетевое взаимодействие, неблокирующие мьютексы, а также удобное переключение между различными пулами потоков для разнесения выполнения задач, которые требуют различные ресурсы.
Использование шаблонов и RTTI для конфигурации симулятора флеш-накопителя - Г...Yandex
Флеш-накопители используются в самых разных устройствах, от мобильных телефонов до компьютеров и серверов. Для каждой модели накопителя нужна прошивка с определённым набором параметров, которые могут отличаться в зависимости от ситуации. В докладе будет описан универсальный фреймфорк на С++, который предоставляет разработчикам симуляторов простой, прозрачный и быстрый доступ к любому параметру. Тестировщикам же он позволяет управлять конфигурациями при помощи стандартных инструментов редактирования и слияния.
РусКрипто CTF 2010 Full Disclosure (мастер класс)Dmitry Evteev
В презентации рассмотрены следующие вопросы:
- технические и организационные подробности подготовки и проведения РусКрипто CTF 2010
- заложенные уязвимости, пути их обнаружения и эксплуатации
- хронология событий на РусКрипто CTF 2010 и не найденные игроками уязвимости
Дмитрий Кашицын, Троллейбус из буханки: алиасинг и векторизация в LLVMSergey Platonov
Зачастую, знакомство с алиасингом в C++ у многих программистов начинается и заканчивается одинаково: -fno-strict-aliasing. На вопросы новичка, более опытные коллеги отвечают в стиле: «не трогай! а то все сломаешь!». Новичок и не трогает. В докладе будет предпринята попытка заглянуть под капот и понять, что же там, внутри. Что такое алиасинг, где он может быть полезен и какие реальные преимущества дает. Тема будет рассмотрена и со стороны программиста и со стороны разработчика компилятора. А по сему, вопрос «зачем?» будет центральным в повествовании.
Юрий Ефимочев, Компилируемые в реальном времени DSL для С++ Sergey Platonov
В последнее время в промышленной разработке ПО особую популярность обретают Domain-Specific Lanugages (DSL). Они драматически упрощают разработку и дают возможность “программировать” не только программистам, но и пользователям прикладных программ.
В своем докладе я расскажу об опыте использования DSL применительно к С++, причем упор будет сделан на производительность кода DSL, и его мгновенную “встраиваемость” в запущенную программу путем компиляции DSL-кода в нативный код с помощью инструментария LLVM.
В докладе будут сделаны попытки ответить на вопросы, какой тип скрывается под маской auto, почему T&& не всегда rvalue, и почему move ничего не двигает.
Очередной скучный доклад про логгированиеPython Meetup
Стас Рудаков, компания СООО "Гейм Стрим"/Wargaming.net
Значение логов очень часто недооценивается, а зря. Доклад с оживленным диспутом со всеми участниками митапа, чтобы разобраться: как, куда и зачем писать логи. Помимо этого затронут вопрос, как из логов выжать больше информации.
ECU (Electronic Control Unit) для современного гоночного автомобиля представляет собой микроконтроллер, реализующий детальное управление всеми системами болида. Внутри ECU работает операционная система, принимающая информацию от различных датчиков и выдающая управляющие команды в соответствии с заданным профилем. Владелец может менять настройки профиля, но в базовых версиях своего оборудования разработчики ECU обычно запрещают использование некоторых функций, позволяющих добиться максимальной эффективности систем автомобиля. Целью нашего исследования было получение доступа к управлению всеми настройками ECU и полное раскрытие его потенциала.
Некоторые паттерны реализации полиморфного поведения в C++ – Дмитрий Леванов,...Yandex
Основываясь на опыте разработки Крипты, Дмитрий рассмотрит средства реализации статического и динамического полиморфизма в C++, а также некоторые их паттерны и антипаттерны.
Григорий Демченко, Асинхронность и неблокирующая синхронизацияSergey Platonov
Практика показывает, что использование подхода, основанного на колбеках для асинхронного программирования обычно не является удобным и подвержено различным ошибкам. Для упрощения написания и поддержки сложных асинхронных программ можно использовать несколько иной подход: использовать сопрограммы для переключения контекста на время ожидания события. Такой подход позволяет реализовать интересные неблокирующие примитивы, включая неблокирующее сетевое взаимодействие, неблокирующие мьютексы, а также удобное переключение между различными пулами потоков для разнесения выполнения задач, которые требуют различные ресурсы.
Использование шаблонов и RTTI для конфигурации симулятора флеш-накопителя - Г...Yandex
Флеш-накопители используются в самых разных устройствах, от мобильных телефонов до компьютеров и серверов. Для каждой модели накопителя нужна прошивка с определённым набором параметров, которые могут отличаться в зависимости от ситуации. В докладе будет описан универсальный фреймфорк на С++, который предоставляет разработчикам симуляторов простой, прозрачный и быстрый доступ к любому параметру. Тестировщикам же он позволяет управлять конфигурациями при помощи стандартных инструментов редактирования и слияния.
РусКрипто CTF 2010 Full Disclosure (мастер класс)Dmitry Evteev
В презентации рассмотрены следующие вопросы:
- технические и организационные подробности подготовки и проведения РусКрипто CTF 2010
- заложенные уязвимости, пути их обнаружения и эксплуатации
- хронология событий на РусКрипто CTF 2010 и не найденные игроками уязвимости
Дмитрий Кашицын, Троллейбус из буханки: алиасинг и векторизация в LLVMSergey Platonov
Зачастую, знакомство с алиасингом в C++ у многих программистов начинается и заканчивается одинаково: -fno-strict-aliasing. На вопросы новичка, более опытные коллеги отвечают в стиле: «не трогай! а то все сломаешь!». Новичок и не трогает. В докладе будет предпринята попытка заглянуть под капот и понять, что же там, внутри. Что такое алиасинг, где он может быть полезен и какие реальные преимущества дает. Тема будет рассмотрена и со стороны программиста и со стороны разработчика компилятора. А по сему, вопрос «зачем?» будет центральным в повествовании.
Юрий Ефимочев, Компилируемые в реальном времени DSL для С++ Sergey Platonov
В последнее время в промышленной разработке ПО особую популярность обретают Domain-Specific Lanugages (DSL). Они драматически упрощают разработку и дают возможность “программировать” не только программистам, но и пользователям прикладных программ.
В своем докладе я расскажу об опыте использования DSL применительно к С++, причем упор будет сделан на производительность кода DSL, и его мгновенную “встраиваемость” в запущенную программу путем компиляции DSL-кода в нативный код с помощью инструментария LLVM.
В докладе будут сделаны попытки ответить на вопросы, какой тип скрывается под маской auto, почему T&& не всегда rvalue, и почему move ничего не двигает.
Очередной скучный доклад про логгированиеPython Meetup
Стас Рудаков, компания СООО "Гейм Стрим"/Wargaming.net
Значение логов очень часто недооценивается, а зря. Доклад с оживленным диспутом со всеми участниками митапа, чтобы разобраться: как, куда и зачем писать логи. Помимо этого затронут вопрос, как из логов выжать больше информации.
ECU (Electronic Control Unit) для современного гоночного автомобиля представляет собой микроконтроллер, реализующий детальное управление всеми системами болида. Внутри ECU работает операционная система, принимающая информацию от различных датчиков и выдающая управляющие команды в соответствии с заданным профилем. Владелец может менять настройки профиля, но в базовых версиях своего оборудования разработчики ECU обычно запрещают использование некоторых функций, позволяющих добиться максимальной эффективности систем автомобиля. Целью нашего исследования было получение доступа к управлению всеми настройками ECU и полное раскрытие его потенциала.
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...Positive Hack Days
Author: John Bambenek
The cat-and-mouse game between malware researchers and malware operators has been going for years. The defense community is getting faster at responding to growing threats and taking down command and control centers of malware operators before they causes too much damage. Meanwhile, “bad guys” are building multitier redundant architectures utilizing P2P networks, Tor, and domain generation algorithms (DGA) to improve availability of supporting infrastructure against take-down operations. This report will cover the research of both American and Russian analysts into the use of such techniques and what can be learned about the adversaries who use them. Additionally, the speaker will introduce a new tool that helps researchers dig into DGAs.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
This document discusses vulnerabilities in the SAP Mobile Platform. It begins with an overview of the architecture and components of the SAP Mobile Platform, including SAP Control Center, SAP SQL Anywhere services, and SAP Mobile Server. It then summarizes several vulnerabilities found, such as decrypting the GIOP protocol, an XXE vulnerability in the SAP Control Center portal, and CSRF vulnerabilities in SAP Mobile Platform version 3.0. The document concludes by encouraging regular security assessments and monitoring to prevent vulnerabilities.
Критически опасные уязвимости в популярных 3G- и 4G-модемах или как построить...Positive Hack Days
The document describes how to build surveillance capabilities ("Big Brother") using vulnerabilities in internet-connected devices. It details steps like identifying devices using techniques like WHOIS lookups and fingerprinting, injecting code by exploiting firmware vulnerabilities or uploading modified firmware, intercepting data in transit, cloning SIM cards, infecting device operating systems, and creating advanced persistent threats between compromised devices. It provides examples of exploited vulnerabilities and references other researchers in the area. The goal is mass surveillance of users, with acknowledgment that many are unaware of the privacy and security risks.
Перехват беспроводных гаджетов — от квадрокоптеров до мышекPositive Hack Days
Автор: Артур Гарипов
Доклад посвящен общим аспектам применения SDR (software-defined radio) в анализе радиоэфира. Ведущий покажет, как происходят поиск и определение беспроводных устройств, анализ протоколов и их спуфинг, перехват управления беспроводным оборудованием, атака Mousejack.
Ведущий: Андрей Масалович
Целый арсенал средств информационного воздействия используется в корпоративном коммуникационном маркетинге и в астротурфинге. Докладчик расскажет о том, как подготавливаются информационные атаки, как распознавать их на ранних стадиях и противостоять им. Проанализирует особенности восприятия и распространения информации в социальных сетях с использованием троллей и ботов. Рассмотрит метод экспресс-анализа социальных портретов участников массовых обсуждений — рядовых пользователей, политиков, медийных персон, подростков, вербовщиков и их жертв.
The document discusses cybersecurity risks in industrial control systems used in chemical plants. It begins with an introduction to industrial control systems and their components. It then outlines the stages of a potential cyber-physical attack against such a system - gaining initial access, discovering details of the physical process, gaining control of systems, causing damage through manipulation of the process, and covering tracks. Specific attack scenarios are described, such as using water hammer effects to damage pipes. The talk aims to illustrate vulnerabilities to help drive improvements in the security of industrial control systems.
Positive Hack Days. Pavlov. Network Infrastructure Security AssessmentPositive Hack Days
A participant will acquire basic skills of searching for vulnerabilities on switches and routers from various vendors. The masterclass will cover both common network vulnerabilities, and exceptive cases that can be detected in the process of security assessment of real networks.
Ведущий: Валерий Боронин
Как облегчить для разработчика процесс анализа исходного кода на стадии реализации по SDL/SSDL и как интегрировать инструменты анализа, чтобы уменьшить затраты на исправление ошибок? Иногда лучшее решение — это отсутствие пользовательского интерфейса! Приходите, чтобы увидеть взаимодействие Человека с Машиной через исходный код.
This document discusses why IT security is problematic and what can be done to address its issues. It argues that IT security needs to be expanded to information security and take a more interdisciplinary approach, drawing from fields like psychology, sociology, education and political science. Currently, IT security focuses too much on technical issues and not enough on human and social factors. The document calls for establishing information security as its own scientific field backed by various disciplines to help professionalize the field beyond just discussing technical vulnerabilities. This new approach would aim to better understand security from different perspectives and help address issues at political, organizational and societal levels.
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege EscalationPositive Hack Days
The document is a presentation about lockpicking and attacking master-keyed systems. It discusses pin tumbler locks and how to pick them by exploring the bitting depths of each pin position. It shows how information can be extracted from a lock's response to different key configurations to determine the full bitting of the lock. The goal is to demonstrate how master-keyed systems can be compromised by extracting bitting information from keys that have access to different parts of the system.
Ведущий: Сергей Кавун
Докладчик расскажет о способе выявления инсайдеров на любом предприятии. Разработанная методика представляет собой математический аппарат, который программируется и закладывается в различные системы безопасности.
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОPositive Hack Days
Ведущие: Эмиль Олейников и Юрий Гуркин
Как медицинские, так и SCADA-системы обладают возможностью удаленного управления, настройки и наблюдения. Зачастую их подключают к интернету. В докладе рассказывается об уязвимостях в специализированном ПО, используемом в медицине и промышленности, которые были исследованы с помощью отечественного пентест-фреймворка EAST (exploits and security tools). Аналогично Metasploit, он позволяет автоматизировать и облегчить поиск уязвимостей и иллюстрацию уровня риска.
Fingerprinting and Attacking a Healthcare InfrastructurePositive Hack Days
The document discusses fingerprinting and attacking healthcare institutions. It notes that healthcare is an easy target due to less security maturity compared to other industries. It provides information on how to fingerprint electronic medical record (EMR) systems, medical devices, and other systems commonly found in hospitals. Specific techniques are presented for searching online databases to find healthcare systems and EMRs. The document also discusses attacks on the HL7 protocol commonly used in medical devices.
Ведущие: Дмитрий Частухин и Дмитрий Юдин
Бла-бла-бла SAP. Бла-бла-бла крупные компании. Бла-бла-бла взлом на миллионы долларов. Вот так обычно начинается любой доклад о SAP. Но в этот раз все будет по-другому. Давненько не было рассказов о жестокой эксплуатации и необычных уязвимостях. Пришло время пуститься во все тяжкие! Докладчики расскажут (и покажут), как получить полный контроль над системой, используя ряд незначительных уязвимостей в службах SAP.
Многие разработчики не представляют, как дорого обходятся ошибки в программах. Причем я имею в виду не падения ракет и прочие катастрофы, а обыкновенное прикладное программное обеспечение. Хочется показать всю важность нахождения ошибок на самых ранних этапах. Одним из способов выявить ошибку как можно раньше является статический анализ кода. Поговорим мы не только об этом, но и о различных приемах при написании кода, которые позволят избежать множество типовых ошибок.
На что нужно обратить внимание при обзоре кода разрабатываемой библиотекиAndrey Karpov
Разработка библиотек — более ответственное дело, чем разработка прикладного программного обеспечения. Разработчик не знает, как именно будет использоваться его библиотека, и должен обращать дополнительное внимание на мелкие детали и вопросы переносимости. Это заставляет по-новому взглянуть на использование таких функций, как realloc, exit, memset, memcmp. Заставляет быть более аккуратным при выборе типов данных и способов обработки ошибок.
В докладе будет дан ряд советов, на что разработчикам библиотек стоит дополнительно обращать внимание на code review.
Статический анализ и написание качественного кода на C/C++ для встраиваемых с...Andrey Karpov
Как учит печальный опыт множества инцидентов, требования к качеству программного кода встраиваемых систем намного выше, чем для классического программного обеспечения (игры, офисные пакеты, графические редакторы и т.д.). Поговорим о стандартах кодирования, таких как MISRA, SEI CERT, и инструментах статического анализа кода. Статические анализаторы решают две смежные, но всё-таки разные задачи: поиск ошибок и поиск запахов кода. Оба эти направления важны и должны использоваться. Однако часто эти два направления смешивают, что приводят к недоразумениям и отторжению методологии статического анализа кода. Попробуем расставить точки над i.
Использование C++ для низкоуровневой платформозависимой разработки — Кирилл ...Yandex
Доклад посвящён преимуществам и недостаткам C++ в сравнении с C и ассемблером в контексте разработки критичных к производительности библиотек, использующих специфичные для платформы возможности. На примерах реализации оптимизированных компонентов аудио- и видеокодеков мы рассмотрим, как можно упростить исходный код с помощью нестандартных расширений компилятора и новых возможностей C++11. Внимание также будет уделено функциональности, которой не хватает в текущих реализациях компилятора. В качестве целевых платформ используются ARMv7+NEON/ARM64, но предварительного знакомства с ними не требуется.
Статический анализ: ищем ошибки... и уязвимости?Andrey Karpov
Новости об очередной найденной уязвимости регулярно всплывают то тут, то там. Сопутствующие потери $, как правило, колоссальны. Поэтому вместо исправления уязвимостей, следует не допускать их появления. Один из способов борьбы с ошибками в коде – использование статического анализа. Но насколько он подходит для поиска уязвимостей? И так ли велика разница между простыми ошибками и уязвимостями с точки зрения кода? Эти вопросы мы и обсудим в ходе доклада, а заодно поговорим о том, каким образом использовать статический анализ так, чтобы извлечь из него максимум пользы.
Написание на C и C++ 64-битных программ, работающих с большими массивами данных, требует особой аккуратности. В 64-битном коде встречаются особые трудноуловимые ошибки, о которых редко рассказывают в книгах или на конференциях. Автор рассмотрит паттерны 64-битных ошибок и даст рекомендации, как писать код, защищённый от них.
SAST и Application Security: как бороться с уязвимостями в кодеAndrey Karpov
Проблематика: Объёмы кода растут; Плотность ошибок растёт нелинейно; Все хотят качественный и БЕЗОПАСНЫЙ код; Старых методов контроля качества уже недостаточно.
Павел Беликов, Как избежать ошибок, используя современный C++Sergey Platonov
Одной из проблем C++ является большое количество конструкций, поведение которых не определено или просто неожиданно для программиста. С такими ошибками мы часто сталкиваемся при разработке статического анализатора кода. Но, как известно, лучше всего находить ошибки ещё на этапе компиляции. На этом докладе мы поговорим о том, какие техники из современного C++ позволяют писать не только более простой и выразительный, но и безопасный код. Вы увидите ошибки в коде различных Open Source проектов и узнаете, как можно их избежать, используя новые стандарты
В презентации рассмотрены следующие вопросы:
- технические и организационные подробности подготовки и проведения РусКрипто CTF 2010
- заложенные уязвимости, пути их обнаружения и эксплуатации
- хронология событий на РусКрипто CTF 2010 и не найденные игроками уязвимости
Статический анализ кода: Что? Как? Зачем?Andrey Karpov
Методология статического анализа год за годом зарекомендовывает себя в поисках дефектов в исходном коде программ.
Максим расскажет про:
- методологию статического анализа и какие плюсы и минусы у нее есть;
- технологии этой методологии, которые позволяют выявлять разнообразнейшие дефекты в коде;
- интересные примеры ошибок в реальных проектах, которые были найдены при помощи статического анализа;
- интеграцию инструментов статического анализа в проекты любой сложности, и почему так важно регулярное использование подобных инструментов.
PVS-Studio, решение для разработки современных ресурсоемких приложенийTatyanazaxarova
Инструмент PVS-Studio
набор правил Viva64 для анализа 64-битных приложений;
набор правил VivaMP для анализа параллельных приложений;
набор правил для анализа общего назначения.
Лицензионная и ценовая политика PVS-Studio
Информация о компании ООО «СиПроВер»
Надежный обмен данными в гетерогенной среде, между разными платформами и технологиями является одним из ключевых моментов разработки сложных систем. Во время обмена данные преобразуются в некоторый промежуточный формат совместимый между платформами. Преобразование в подобный формат и из него — крайне рутинная и подверженная ошибкам работа.
Метаописание данных неким декларативным языком с последующей автогенерацией типизированных структур облегчает жизнь разработчику. Снимает с него необходимость задумываться о промежуточном формате, о правильном порядке полей, а типизированность гарантирует выявление ошибок еще на этапе компиляции кода.
В докладе будет рассмотрено несколько подобных решений, их плюсы и минусы. Также будет рассмотрен с практической стороны наш собственный формат метаданных, используемый нами на протяжении более 5 лет.
Целевая аудитория:
Ограничений нет, но в большей степени разработчики, имеющие уже определенный опыт разработки разнородных систем или приступающие к подобной задаче.
Андрей Карпов
Вы узнаете, что такое статический анализ кода и историю его развития. Узнаете, как эффективно применять инструменты статического анализа в своей работе, увидите практические примеры использования этой методологии. Доклад ориентирован на программистов, использующих языки Си/Си++, но будет полезен всем
Similar to 200 open source проектов спустя:опыт статического анализа исходного кода (20)
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
1. Основные понятия и определения: продукт, пакет, связи между ними.
2. Как узнать, какие изменения произошли в продукте?
3. Проблемы changelog и release note.
4. Решение: инструмент ChangelogBuilder для автоматической подготовки Release Notes
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
1. Обзор Windows Docker (кратко)
2. Как мы построили систему билда приложений в Docker (Visual Studio\Mongo\Posgresql\etc)
3. Примеры Dockerfile (выложенные на github)
4. Отличия процессов DockerWindows от DockerLinux (Долгий билд, баги, remote-регистр.)
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
1. Проблемы в построении CI процессов в компании
2. Структура типовой сборки
3. Пример реализации типовой сборки
4. Плюсы и минусы от использования типовой сборки
1. Что такое BI. Зачем он нужен.
2. Что такое Qlik View / Sense
3. Способ интеграции. Как это работает.
4. Метрики, KPI, планирование ресурсов команд, ретроспектива релиза продукта, тренды.
5. Подключение внешних источников данных (Excel, БД СКУД, переговорные комнаты).
Approof — статический анализатор кода для проверки веб-приложений на наличие уязвимых компонентов. В своей работе анализатор основывается на правилах, хранящих сигнатуры искомых компонентов. В докладе рассматривается базовая структура правила для Approof и процесс автоматизации его создания.
Задумывались ли вы когда-нибудь о том, как устроены современные механизмы защиты приложений? Какая теория стоит за реализацией WAF и SAST? Каковы пределы их возможностей? Насколько их можно подвинуть за счет более широкого взгляда на проблематику безопасности приложений?
На мастер-классе будут рассмотрены основные методы и алгоритмы двух основополагающих технологий защиты приложений — межсетевого экранирования уровня приложения и статического анализа кода. На примерах конкретных инструментов с открытым исходным кодом, разработанных специально для этого мастер-класса, будут рассмотрены проблемы, возникающие на пути у разработчиков средств защиты приложений, и возможные пути их решения, а также даны ответы на все упомянутые вопросы.
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
Разработка наукоемкого программного обеспечения отличается тем, что нет ни четкой постановки задачи, ни понимания, что получится в результате. Однако даже этом надо программировать то, что надо, и как надо. Докладчик расскажет о том, как ее команда успешно разработала и вывела в промышленную эксплуатацию несколько наукоемких продуктов, пройдя непростой путь от эксперимента, результатом которого был прототип, до промышленных версий, которые успешно продаются как на российском, так и на зарубежном рынках. Этот путь был насыщен сложностями и качественными управленческими решениями, которыми поделится докладчик
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
Немногие разработчики закладывают безопасность в архитектуру приложения на этапе проектирования. Часто для этого нет ни денег, ни времени. Еще меньше — понимания моделей нарушителя и моделей угроз. Защита приложения выходит на передний план, когда уязвимости начинают стоить денег. К этому времени приложение уже работает и внесение существенных изменений в код становится нелегкой задачей.
К счастью, разработчики тоже люди, и в коде разных приложений можно встретить однотипные недостатки. В докладе речь пойдет об опасных ошибках, которые чаще всего допускают разработчики Android-приложений. Затрагиваются особенности ОС Android, приводятся примеры реальных приложений и уязвимостей в них, описываются способы устранения.
Разработка любого софта так или иначе базируется на требованиях. Полный перечень составляют бизнес-цели приложения, различные ограничения и ожидания по качеству (их еще называют NFR). Требования к безопасности ПО относятся к последнему пункту. В ходе доклада будут рассматриваться появление этих требований, управление ими и выбор наиболее важных.
Отдельно будут освещены принципы построения архитектуры приложения, при наличии таких требований и без, и продемонстрировано, как современные (и хорошо известные) подходы к проектированию приложения помогают лучше строить архитектуру приложения для минимизации ландшафта угроз.
Доклад посвящен разработке корректного программного обеспечения с применением одного из видов статического анализа кода. Будут освещены вопросы применения подобных методов, их слабые стороны и ограничения, а также рассмотрены результаты, которые они могут дать. На конкретных примерах будет продемонстрировано, как выглядят разработка спецификаций для кода на языке Си и доказательство соответствия кода спецификациям.
The document discusses preventing attacks in ASP.NET Core. It provides an overview of topics like preventing open redirect attacks, cross-site request forgery (CSRF), cross-site scripting (XSS) attacks, using and architecture of cookies, data protection, session management, and content security policy (CSP). The speaker is an independent developer and consultant who will discuss built-in mechanisms in ASP.NET Core for addressing these security issues.
3. Пара слов о докладчике
• Карпов Андрей Николаевич, к.ф.-м.н.
• Технический директор ООО «СиПроВер»
• Microsoft MVP в категории Visual C++
• Intel Black Belt Software Developer
• Один из основателей проекта PVS-Studio
(статический анализатора кода для языков C/C++).
www.viva64.com
4. 212 открытых проектов и ряд закрытых
• CoreCLR
• LibreOffice
• Qt
• Chromium
• Tor
• Linux kernel
• Oracle VM VirtualBox
• Wine
• TortoiseGit
• PostgreSQL
• Firefox
• Clang
• Haiku OS
• Tesseract
• Unreal Engine
• Scilab
• Miranda NG
• ….
www.viva64.com
6. Интересные наблюдения
(7 грехов программистов)
1. Это глючит компилятор
2. Археологические слои
3. Эффект последней строки
4. Программисты самые умные
5. Безопасность, безопасность! А вы её тестируете?
6. Всё знать нельзя
7. В поисках серебряной пули
www.viva64.com
13. Наблюдение N3. Эффект последней строки
• Про альпинистов;
• Статистика была собрана мной из базы, когда
там содержалось около 1500 примеров ошибок.
• Я выявил 84 подходящих фрагмента.
• В 43 случаях ошибка была в последней строке.
TrinityCore
inline Vector3int32& operator+=(const Vector3int32& other) {
x += other.x;
y += other.y;
z += other.y;
return *this;
}
www.viva64.com
14. Эффект последней строки
Source Engine SDK
inline void Init(
float ix=0,
float iy=0,
float iz=0,
float iw = 0 )
{
SetX( ix );
SetY( iy );
SetZ( iz );
SetZ( iw );
}
Chromium
if (access & FILE_WRITE_ATTRIBUTES)
output.append(ASCIIToUTF16("tFILE_WRITE_ATTRIBUTESn"));
if (access & FILE_WRITE_DATA)
output.append(ASCIIToUTF16("tFILE_WRITE_DATAn"));
if (access & FILE_WRITE_EA)
output.append(ASCIIToUTF16("tFILE_WRITE_EAn"));
if (access & FILE_WRITE_EA)
output.append(ASCIIToUTF16("tFILE_WRITE_EAn"));
break;
www.viva64.com
15. Эффект последней строки
qreal x = ctx->callData->args[0].toNumber(); Qt
qreal y = ctx->callData->args[1].toNumber();
qreal w = ctx->callData->args[2].toNumber();
qreal h = ctx->callData->args[3].toNumber();
if (!qIsFinite(x) || !qIsFinite(y) ||
!qIsFinite(w) || !qIsFinite(w))
minX=max(0, minX+mcLeftStart-2); Miranda IM
minY=max(0, minY+mcTopStart-2);
maxX=min((int)width, maxX+mcRightEnd-1);
maxY=min((int)height, maxX+mcBottomEnd-1);
www.viva64.com
17. Наблюдение N4.
Программисты самые умные
• Программисты действительно очень умные и почти
всегда во всём правы
• Следствие 1: если они изредка неправы, их очень сложно
переубедить
• Следствие 2: программисты отказываются
воспринимать предупреждения, выдаваемые
анализатором кода и разбираться с ними
www.viva64.com
18. Комментарий к нашей статье
Wolfenstein 3D
ID_INLINE mat3_t::mat3_t( float src[ 3 ][ 3 ] ) {
memcpy( mat, src, sizeof( src ) );
}
Diagnostic message V511: The sizeof() operator returns size
of the pointer, and not of the array, in 'sizeof(src)'
expression.
Except it doesn't. The sizeof() operator returns the size of the object, and src is
not a pointer - it is a float[3][3]. sizeof() correctly returns 36 on my machine.
www.viva64.com
19. Другой пример возражения
>> И последний фрагмент кода на рассматриваемую тему.
>> Здесь очищается только один байт.
>> memset ( m_buffer, 0, sizeof (*m_buffer) );
Ложное утверждение. В этой строке очищается столько байт, сколько
хранится в первом элементе массива.
И с такими ситуациями мы
сталкиваемся очень часто.
www.viva64.com
20. Наблюдение N5. Безопасность, безопасность!
А вы её тестируете?
Пример аналогичен, показанному на предыдущем слайде. SMTP Client.
typedef unsigned char uint1;
void MD5::finalize () {
...
uint1 buffer[64];
...
// Zeroize sensitive information
memset (buffer, 0, sizeof(*buffer));
...
}
www.viva64.com
21. Безопасность, безопасность! А вы её тестируете?
• Компилятор вправе (и даже должен) удалять лишний memset().
• Подробности:
• http://www.viva64.com/ru/d/0208/
• http://habrahabr.ru/company/abbyy/blog/127259/
void Foo()
{
TCHAR buf[100];
_stprintf(buf, _T("%d"), 123);
MessageBox(
NULL, buf, NULL, MB_OK);
memset(buf, 0, sizeof(buf));
}
www.viva64.com
22. Безопасность, безопасность! А вы её тестируете?
php
char* php_md5_crypt_r(const char *pw,const char *salt, char *out)
{
static char passwd[MD5_HASH_MAX_LEN], *p;
unsigned char final[16];
....
/* Don't leave anything around in vm they could use. */
memset(final, 0, sizeof(final));
return (passwd);
}
www.viva64.com
23. Безопасность, безопасность! А вы её тестируете?
Linux-3.18.1
int E_md4hash(....)
{
int rc;
int len;
__le16 wpwd[129];
....
memset(wpwd, 0, 129 * sizeof(__le16));
return rc;
}
www.viva64.com
После нашей статьи функцию memset()
заменили на memzero_explicit().
Note: usually using memset() is just fine (!), but
in cases where clearing out _local_ data at the
end of a scope is necessary, memzero_explicit()
should be used instead in order to prevent the
compiler from optimizing away zeroing.
24. Безопасность, безопасность! А вы её тестируете?
void Foo()
{
TCHAR buf[100];
_stprintf(buf, _T("%d"), 123);
MessageBox(
NULL, buf, NULL, MB_OK);
RtlSecureZeroMemory(buf, sizeof(buf));
}
• RtlSecureZeroMemory()
• Аналогичные функции
www.viva64.com
25. Безопасность, безопасность! А вы её тестируете?
• PVS-Studio выдаёт касательно memset() предупреждение V597
• Эту ошибку мы встретили в огромном количестве проектов:
• Всего на данный момент в открытых проектах нами выявлено 169
таких ошибок!
• eMulePlus
• Crypto++
• Dolphin
• UCSniff
• CamStudio
• Tor
• NetXMS
• TortoiseSVN
• NSS
• Apache HTTP Server
• Poco
• PostgreSQL
• Qt
• Asterisk
• Php
• Miranda NG
• LibreOffice
• Linux
• …
www.viva64.com
26. Наблюдение N6. Всё знать нельзя
• Всё знать нельзя. Но незнание не освобождает от
ответственности
• Раз решили писать надёжное и безопасное ПО, то надо
учиться, учиться и учиться
• И применять инструменты, такие как PVS-Studio
• Анализаторы обладают знаниями о дефектах, о
существовании которых программисты даже не
догадываются!
• P.S. Один из примеров с memset() мы рассмотрели ранее
www.viva64.com
27. Ошибки, о существовании которых не
подозревают: strncat
char *strncat(
char *strDest,
const char *strSource,
size_t count
);
MSDN: strncat does not check for
sufficient space in strDest; it
is therefore a potential cause
of buffer overruns. Keep in mind
that count limits the number of
characters appended; it is not a
limit on the size of strDest.
www.viva64.com
29. Ошибки, о существовании которых не
подозревают: char c = memcmp()
Такая ошибка послужила причиной серьезной уязвимости в MySQL/MariaDB до версий 5.1.61,
5.2.11, 5.3.5, 5.5.22. Суть в том, что при подключении пользователя MySQL /MariaDB вычисляется
токен (SHA от пароля и хэша), который сравнивается с ожидаемым значением функцией
'memcmp'. На некоторых платформах возвращаемое значение может выпадать из диапазона
[-128..127]. В итоге, в 1 случае из 256 процедура сравнения хэша с ожидаемым значением всегда
возвращает значение 'true', независимо от хэша. В результате, простая команда на bash даёт
злоумышленнику рутовый доступ к уязвимому серверу MySQL, даже если он не знает пароль.
typedef char my_bool;
...
my_bool check(...) {
return memcmp(...);
}
Подробнее: Security vulnerability in MySQL/MariaDB - http://seclists.org/oss-sec/2012/q2/493
www.viva64.com
30. Наблюдение N7.
В поисках серебряной пули
• TDD, обзоры кода, динамический анализ, статический анализ, …
• У всего есть свои достоинств и недостатки
• Не стоит искать одну методологию или инструмент, который
сделает код надёжным
www.viva64.com
31. Что не могут юнит-тесты
• В тестах тоже можно ошибиться
• Пример. Тест запускается только если getIsInteractiveMode()
вернёт true:
Trans-Proteomic Pipeline
if (getIsInteractiveMode())
//p->writePepSHTML();
//p->printResult();
// regression test?
if (testType!=NO_TEST) {
TagListComparator("InterProphetParser",
testType,outfilename,testFileName);
www.viva64.com
32. Недостатки обзоров кода (code review)
• Человек быстро устаёт
• Слишком дорого
OpenSSL
if (!strncmp(vstart, "ASCII", 5))
arg->format = ASN1_GEN_FORMAT_ASCII;
else if (!strncmp(vstart, "UTF8", 4))
arg->format = ASN1_GEN_FORMAT_UTF8;
else if (!strncmp(vstart, "HEX", 3))
arg->format = ASN1_GEN_FORMAT_HEX;
else if (!strncmp(vstart, "BITLIST", 3))
arg->format = ASN1_GEN_FORMAT_BITLIST;
else
.... www.viva64.com
33. Недостатки обзоров кода (code review)
• Человек быстро устаёт
• Слишком дорого
OpenSSL
if (!strncmp(vstart, "ASCII", 5))
arg->format = ASN1_GEN_FORMAT_ASCII;
else if (!strncmp(vstart, "UTF8", 4))
arg->format = ASN1_GEN_FORMAT_UTF8;
else if (!strncmp(vstart, "HEX", 3))
arg->format = ASN1_GEN_FORMAT_HEX;
else if (!strncmp(vstart, "BITLIST", 3))
arg->format = ASN1_GEN_FORMAT_BITLIST;
else
.... www.viva64.com
34. Что-то не может динамический анализ
const unsigned char stopSgn[2] = {0x04, 0x66};
....
if (memcmp(stopSgn, answer, sizeof(stopSgn) != 0))
return ERR_UNRECOGNIZED_ANSWER;
if (memcmp(stopSgn, answer, sizeof(stopSgn)) != 0)
Не там поставлена скобка. Сравнивается только 1 байт, а не 2.
С точки зрения динамических анализаторов никакой ошибки нет.
Динамическими анализаторами найти такую ошибку нельзя.
www.viva64.com
35. Что-то не может статический анализ
unsigned nCount;
fscanf_s(stream, "%u", &nCount);
int array[10];
memset(array, 0, nCount * sizeof(int));
Есть здесь ошибка или нет?
Ответ может дать только запуск программы.
www.viva64.com
36. Заключение
• Инструменты разные нужны, инструменты разные важны
• Один из инструментов – статический анализатор кода PVS-Studio
http://www.viva64.com/ru/pvs-studio/
• Другие статические анализаторы кода:
http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis
www.viva64.com
38. Ответы на вопросы
E-Mail: Karpov@viva64.com
Я в twitter: https://twitter.com/Code_Analysis
PVS-Studio: http://www.viva64.com/ru/pvs-studio/
www.viva64.com