Пожалуйста, ознакомьтесь с обновленными правилами поведения в чате и комментариях.

Please read the updated chat and comments code of conduct.

https://news.1rj.ru/str/ru_appsec/2

Опрос: что вы думаете о DevSecOps?

Расскажите, что вы думаете о DevSecOps и что хотели бы узнать о нем.

Пожалуйста, найдите возможность потратить пару минут на участие в этом опросе. Его результаты повлияют, в том числе, на будущие активности, как в рамках пользовательской группы PDUG, так и треков докладов для разработчиков на PHDays и Standoff.

https://habr.com/ru/company/pt/blog/572724/

В этом году, в рамках The Standoff (9-10 ноября, Москва, ВДНХ), впервые будет проводиться трек для разработчиков, в формате, аналогичном формату трека на PHDays, под эгидой пользовательской группы PDUG.

‼️Приглашаем спикеров принять участие в CFP мероприятия: https://forms.gle/btopBc98vVRmeAD4A.

Все доклады будут проходить в гибридном формате (выступление оффлайн с трансляцией в онлайн). Участникам PDUG предоставляется возможность посетить мероприятие бесплатно. Подробности будут опубликованы позднее, после формирования программы трека.

Как стать докладчиком на The Standoff 👇🏼

📌 Приглашаем выступить с докладами на темы поиска и эксплуатации уязвимостей, защиты от хакерских атак, а также практики разработки безопасного программного обеспечения.

The Standoff — это не только противостояние «красных» и «синих», но и насыщенная деловая и техническая программа.

В рамках двухдневного форума:

✅ поговорим о развитии индустрии кибербеза;
✅ разберем новые вызовы в сфере ИБ;
✅ обсудим острые проблемы бизнеса;
✅ продолжим диалог с государством об импортозамещении в индустрии;
✅ в особый трек выделим тему инвестиций в кибербез.

Как всегда, мы не ограничимся только офлайн-форматом. Кибербитву и выступления будут транслировать в прямом эфире на сайте The Standoff. Поэтому, если вам есть о чем рассказать всему миру, — становитесь нашим спикером 😎

🗓 Подайте заявку до 30 сентября, пройдите отбор программного комитета и станьте докладчиком The Standoff!

9 и 10 ноября 2021 года все выступления пройдут в Москве на ВДНХ в двух форматах:

⁃ доклад (50 минут),
⁃ fast track (15 минут).

❗️Можно подать несколько заявок. Доклады принимаются на русском и английском языке.

ObjLupAnsys

ObjLupAnsys is a tool to detect prototype pollution vulnerabilities in Node.js packages.

Repository: https://github.com/Song-Li/ObjLupAnsys
Paper: https://songli.io/papers/fse21_objlupansys.pdf

Выложены записи докладов августовского ZeroNights X:

https://www.youtube.com/watch?v=DK_H58Vg7is&list=PLHlFrzuFU1EUpnX5GFcAcv5_vvOS-OK0O (defensive track)

https://www.youtube.com/watch?v=OfEx8WG4LnE&list=PLHlFrzuFU1EVWqevd_ldVh4CoKg5es1rV (web village)

https://www.youtube.com/watch?v=Sy3Kdd1jIvo&list=PLHlFrzuFU1EX8J2tPxOFJ2XySuP6OElEE (main stage)

Вакансия Junior Security Researcher от Veeam:

https://careers.veeam.com/vacancies/quality-assurance/junior_security_researcher-743999775493509

Очевидная математика протокола Диффи-Хеллмана

Обычно, протокол Диффи-Хеллмана (DH) описывают на примере вычетов, то есть, арифметики остатков. Это так называемый классический вариант реализации протокола, который тоже используется на практике. При этом, протокол успешно обобщается на другие математические структуры, лишь бы они обладали некоторыми специальными свойствами.

https://dxdt.ru/2021/10/11/9117/

Ученые из Кембриджского университета в Соединенном Королевстве раскрыли обнаруженный еще 25 июля вектор атаки Trojan Source, позволяющий внедрять уязвимости в исходный код программного обеспечения таким образом, чтобы рецензенты не могли их обнаружить, что создает угрозу популярному ПО и цепочкам поставок.

Trojan Source использует простой прием, который не требует модификации компилятора или прочих ухищрений, затрагивая C, C ++, C #, JavaScript, Java, Rust, Go и Python. Вся фишка состоит в использовании управляющих символов Unicode для изменения порядка токенов в исходном коде на уровне кодирования.

Как выяснилось, используя управляющие символы, встроенные в комментарии и строки, злоумышленник может переупорядочить исходный код, чтобы не меняя визуальной картинки изменить его логику таким образом, чтобы создать уязвимость, которую можно впоследствии поэксплуатировать.

Реализация Trojan Source происходит по двум сценариям: CVE-2021-42574 (или двунаправленная атака) и CVE-2021-42694 (гомоглифическая атака).

В первом случае применяются элементы управления Unicode для двунаправленного текста, чтобы определять направление, в котором отображается контент. К примеру, LRI и RLI. Двунаправленные (Bidi) элементы управления LRI и RLI являются невидимыми символами, и они не единственные. Вводя эти инструкции, компилятор может скомпилировать код, полностью отличный от того, что видит человек.

Внедряя символы переопределения Unicode Bidi в комментарии и строки, злоумышленник может создать синтаксически корректный исходный код на большинстве современных языков, для которого порядок отображения символов представляет собой логику, отличающуюся от реальной логики.

Второй вариант атаки основывается на применении гомоглифов, то есть разных символов, которые хоть и имеют одинаковое визуальное представление, но реализуют разный функционал. Человеческий глаз будет видеть обе функции идентичными, в то время как компилятор различает латинскую «H» и кириллическую «H» и обрабатывает код как имеющий две разные функции, поэтому результат разным.

Оказывается также, что символы Bidi сохраняются при копировании/вставке в большинстве браузеров, редакторов и операционных систем. Trojan Source работает практически во редакторах кода и веб-репозиториях (оцените сами ниже в таблице)

За свои изыскания научные деятели получили в среднем 2 246 долларов по bugbounty. На GitHub они предоставили PoC, которые демонстрируют, насколько серьезной угрозой может быть атака: тем более, что Trojan Source затрагивает почти все компьютерные языки, а патчи еще толком не выпущены, оставляя уязвимыми почти два десятка поставщиков программного обеспечения.

Вакансия от Positive Technologies (PT Application Inspector)

Ищем C#-разработчиков на проект движка анализа кода для PT Application Inspector. Наукоёмкие задачи, компиляторные технологии, чуть-чуть аппсека и никакого кровавого энтерпрайза (весь проект представляет собой сетевое консольное приложение с некоторым количеством библиотек).

Более подробно: https://hh.ru/vacancy/43539774?from=employer

Горячие подробности The Standoff: день #1 🔥

⏰ С 11:00 на киберполигоне вас ждут экскурсии по инфраструктуре города-государства: мы познакомимся с программой кибербитвы, заглянем к защитникам в SOC-центр, узнаем тренды промышленной кибербезопасности и принципы работы команд обеих сторон.

⏰ В 12:30 начнется презентация платформы для проведения киберучений нон-стоп, а после этого участники команд атаки и защиты расскажут об устройстве полигона, а также дадут свои прогнозы на исход учений.

Ждем вас в прямом эфире The Standoff 👉 https://standoff365.com

#TheStandoff #security #cybersecurity #IT #DevSecOps