Pada 15-16 Mei, di situs forum cybersecurity PHDays, pertemuan
Kelompok Pengguna Pengembangan Aman berikutnya
, sebuah komunitas pengembangan yang aman, diadakan. Program dua hari mencakup 11 laporan dengan berbagai tingkat hardcore dan meja bundar yang ditujukan untuk analisis statis.
Di bawah potongan, kami membagikan materi pertemuan: presentasi dan rekaman video dari laporan.
Semua presentasi secara terpisah dari video tersedia di saluran komunitas Speakerdeck .Hari pertama
Kata sambutan oleh Vladimir Kochetkov, Positive Technologies
Apakah mungkin untuk menggeneralisasikan penganalisis kode sumber?
Ivan Kochurkin, Teknologi PositifLaporan ini membahas berbagai jenis penganalisa kode yang menerima ekspresi reguler, token, parse tree, grafik aliran data, dan instruksi eksekusi simbolik. Pembicara menjelaskan masalah yang muncul saat merangkum setiap jenis alat analisis dalam bahasa pemrograman yang berbeda, dan menawarkan solusi. Hal ini juga menunjukkan kerentanan dan kelemahan yang dapat ditemukan pada setiap pendekatan (misalnya, kegagalan gagal), menggambarkan kemampuan sumber terbuka penganalisa sumber PT.PM, prospek penggunaan dan pengembangannya.
Mitos dan legenda perkembangan yang aman
Yuri Shabalin, Keamanan SwordfishPenulis laporan ini berbicara tentang mitos utama dan stereotip yang mengejar arah pembangunan yang aman, tentang kesalahan utama dalam perencanaan dan mulai.
Berdasarkan mitos, legenda, dan kesalahan ini, pembicara menjelaskan cara mendekati pembangunan proses, apa yang perlu dipertimbangkan, cara menilai kekuatan Anda dengan benar dan memulai proses pengembangan yang aman dengan benar. Langkah-langkah organisasi, sarana teknis (tanpa menyebutkan vendor), interaksi antara pengembangan dan keamanan informasi, program kesadaran, mengelola seluruh proses, dan metrik efisiensi disajikan sebagai contoh utama kesalahan dan cara untuk mengatasinya.
Jenis Keamanan Integer di C ++
Igor Sobinov, pakar keamananLaporan ini dikhususkan untuk masalah pengamanan aplikasi di C ++ dari serangan pada overflow tipe integer. Kasus-kasus kerentanan yang terkait dengan kelas serangan ini, konsekuensi yang mungkin terjadi dari eksploitasi dan metode perlindungan mereka diperiksa.
Deteksi kerentanan dalam teori dan praktik, atau Mengapa tidak ada analisa statis yang sempurna
Yaroslav Alexandrov, Alexander Chernov dan Ekaterina Troshina, Solar SecurityLaporan ini membahas prinsip-prinsip dasar penganalisa kode statis, memberikan tinjauan komparatif dari metode dan algoritma yang mendukung analisis statis modern. Menggunakan contoh konkret, ditunjukkan bagaimana penganalisa statis mencari kerentanan, dan jawaban diberikan untuk pertanyaan mengapa tidak ada penganalisa statis ideal yang bekerja dengan cepat, tidak memberikan hasil positif palsu dan tidak melewatkan kerentanan. Para penulis menjelaskan bagaimana mengintegrasikan analisa statis ke dalam proses pengembangan sehingga efisien dalam hal sumber daya dan memberikan hasil berkualitas tinggi.
Analisis statis sempurna
Vladimir Kochetkov, Teknologi PositifAnalisis statistik yang ideal sebagai alat tidak ada. Tetapi adakah analisis statistik yang ideal sebagai suatu proses? Apa yang seharusnya menjadi pembagian peran di dalamnya antara seseorang dan alat SAST? Apa yang seharusnya menjadi alat untuk membuatnya semudah mungkin bagi seseorang untuk menyelesaikan tugas analisis statistik?
Meja bundar "SAST dan tempatnya di SDLC"
Moderator: Vladimir Kochetkov, Teknologi Positif
Peserta: Teknologi Positif, SolidLab, Mail.ru, Keamanan Surya, PVS-Studio, ISP RAS
Hari kedua
LibProteksi: 6 bulan kemudian
Vladimir Kochetkov, Teknologi PositifPembicara berbicara tentang hasil pengujian publik terhadap perpustakaan, mempertimbangkan secara rinci bypass yang ditemukan dan bagaimana menghilangkannya, dan juga menyajikan rencana pengembangan perpustakaan untuk tahun berjalan.
Dasar-dasar keamanan algoritma konsensus Blockchain
Evangelos Deirmentzoglou, Teknologi PositifAlgoritma konsensus adalah bagian integral dari platform blockchain. Laporan ini menyoroti prinsip-prinsip kerja algoritma konsensus seperti Bukti Kerja (bukti penyelesaian), Bukti Pasak (bukti kepemilikan), Bukti Delegasi Kepemilikan (bukti kepemilikan yang didelegasikan) dan Bukti Kewenangan (bukti wewenang). Saat menganalisis perbedaan antara algoritma ini, serangan yang paling umum dipertimbangkan untuk sistem berdasarkan teknologi ini, seperti Pengeluaran ganda, serangan 51%, serangan Suap, serangan Sibyl, serangan Nothing-At-Stake dan lainnya.
Laporkan dalam bahasa Inggris:
Laporan dalam bahasa Rusia:
Memprediksi angka acak dalam kontrak pintar Ethereum
Arseny Reutov, Teknologi PositifKontrak pintar tidak hanya digunakan untuk penempatan awal token cryptocurrency. Bahasa Soliditas mengimplementasikan berbagai lotere, kasino, dan permainan kartu yang tersedia bagi siapa saja yang menggunakan blockchain Ethereum. Otonomi blockchain membatasi sumber entropi untuk generator angka acak (RNGs). Tidak ada perpustakaan umum yang digunakan pengembang untuk membuat RNG yang aman.
Karena alasan inilah menerapkan RNG Anda sendiri dapat menciptakan banyak masalah - jauh dari selalu memungkinkan untuk menerapkan RNG yang aman, yang memberikan peluang bagi penyerang untuk memprediksi hasil dan mencuri uang. Laporan ini menyajikan analisis kontrak pintar berbasis blockchain untuk industri perjudian. Penulis laporan menunjukkan contoh nyata implementasi RNG yang tidak tepat dan berbicara tentang bagaimana mengidentifikasi masalah di RNG dan membuat generator aman Anda sendiri, dengan mempertimbangkan keterbatasan blockchain.
Jebakan parameterisasi dan pendekatan objek
Vladimir Kochetkov, Teknologi PositifApakah selalu menggunakan alat parameterisasi dan transisi ke model objek yang dapat secara efektif menyelesaikan tugas memastikan keamanan aplikasi? Apa risiko yang ditimbulkan oleh pendekatan ini? Apakah kerentanan dalam kode proyek mungkin saat menggunakannya? Penulis laporan menjawab pertanyaan-pertanyaan ini menggunakan contoh spesifik dan kasus nyata.
Metode Menghubungkan di Android
Alexander Guzenko, TinkoffPenulis laporan memberi tahu apa itu Metode Hooking dan Injector, dan akan menjelaskan bagaimana, mengetahui kedua konsep ini, menerapkannya ke Android dan memaksa aplikasi orang lain untuk melakukan apa yang Anda butuhkan.
Cara membuat WAF cepat. Membangun sistem analisis lalu lintas jaringan berkinerja tinggi
Michael Badin, WallarmLaporan ini membahas tahapan pemrosesan paket di WAF, masalah mendapatkan informasi yang diperlukan dari permintaan, mengoptimalkan proses tokenisasi, memfilter berdasarkan ekspresi reguler dan menerapkan analisis perilaku sebagai bagian dari lalu lintas pasca pemrosesan.
Kami berterima kasih kepada para pembicara dan peserta kami atas pertemuan yang produktif!
Jika Anda memiliki pertanyaan untuk panitia / pembicara atau keinginan untuk membuat presentasi Anda di pertemuan PDUG berikutnya, tulis ke
pdug@ptsecurity.com .