Вакансия от Positive Technologies
Positive Technologies, отдел исследований по анализу защищённости приложений, старший разработчик.
География: удаленная работа, предпочтительно СПб
Основными задачами отдела является разработка алгоритмов анализа и защиты приложений, прототипирование и внедрение перспективных технологий в продукты компании.
Позиция подразумевает участие в проектах по исследованию технологий анализа защищённости и защиты приложений, разработку прототипов решений, развитие существующих проектов отдела (универсальный абстрактный интерпретатор, анализатор JavaScript-кода, LibProtection).
Требования к кандидату:
Опыт разработки приложений под .NET (C#);
принципы ООП и проектирования ПО;
методы рефакторинга;
основные алгоритмы и структуры данных.
Будет плюсом:
Понимание принципов работы компиляторов, методов решения задач по анализу кода;
знания в области безопасности веб-приложений;
теоретический бэкграунд (теории вычислений, графов, множеств).
vkochetkov@ptsecurity.com
Positive Technologies, отдел исследований по анализу защищённости приложений, старший разработчик.
География: удаленная работа, предпочтительно СПб
Основными задачами отдела является разработка алгоритмов анализа и защиты приложений, прототипирование и внедрение перспективных технологий в продукты компании.
Позиция подразумевает участие в проектах по исследованию технологий анализа защищённости и защиты приложений, разработку прототипов решений, развитие существующих проектов отдела (универсальный абстрактный интерпретатор, анализатор JavaScript-кода, LibProtection).
Требования к кандидату:
Опыт разработки приложений под .NET (C#);
принципы ООП и проектирования ПО;
методы рефакторинга;
основные алгоритмы и структуры данных.
Будет плюсом:
Понимание принципов работы компиляторов, методов решения задач по анализу кода;
знания в области безопасности веб-приложений;
теоретический бэкграунд (теории вычислений, графов, множеств).
vkochetkov@ptsecurity.com
‼️ Как вы уже возможно знаете, PHDays в этом году пройдёт в гибридном формате (ламповый оффлайн + массовый онлайн) 20-21 мая в отеле Хаятт Ридженси Москва Петровский Парк: https://www.phdays.com/ru/press/news/positive-hack-days-10-nachalo-costoitsya-20-21-maya-2021-goda/ Количество билетов в свободной продаже в этом году крайне ограничено и одним из альтернативных способов получить возможность участия в оффлайн активностях форума является выступление с докладом или мастер-классом.
В рамках форума планируется в том числе проведение очередного митапа PDUG в традиционном формате трека выступлений. Программа трека ещё формируется и, если вы хотите принять в нём участие, сейчас самое время отправить заявку на CFP: https://www.phdays.com/ru/press/news/positive-hack-days-otkryvaet-call-for-papers-stante-dokladchikom/ (тематика трека: "Secure development").
CFP продлится, как минимум, до 28 марта. Если вы не успеваете определиться с конкретной темой до этой даты, или хотите выступить в формате, не предусмотренном CFP, то пишите на vkochetkov@ptsecurity.com, что-нибудь обязательно придумаем :)
В рамках форума планируется в том числе проведение очередного митапа PDUG в традиционном формате трека выступлений. Программа трека ещё формируется и, если вы хотите принять в нём участие, сейчас самое время отправить заявку на CFP: https://www.phdays.com/ru/press/news/positive-hack-days-otkryvaet-call-for-papers-stante-dokladchikom/ (тематика трека: "Secure development").
CFP продлится, как минимум, до 28 марта. Если вы не успеваете определиться с конкретной темой до этой даты, или хотите выступить в формате, не предусмотренном CFP, то пишите на vkochetkov@ptsecurity.com, что-нибудь обязательно придумаем :)
Phdays
«Positive Hack Days 10: Начало» cостоится 20–21 мая 2021 года
Международный форум по практической безопасности Positive Hack Days проходит каждую весну в Москве. Конференция, организованная компанией Positive Technologies, на два дня собирает вместе ведущих безопасников и хакеров со всего мира, представителей госструктур…
Детальный разбор уязвимостей, недавно обнаруженных в ядре Linux
https://habr.com/ru/company/skillfactory/blog/548366/
https://habr.com/ru/company/skillfactory/blog/548366/
Хабр
Серьёзная безопасность: всплывшие спустя 15 лет баги в ядре Linux
12 марта исследователи кибербезопасности GRIMM опубликовали информацию о трёх интересных багах в ядре Linux. В коде, который игнорировали около 15 лет. К счастью...
MindAPI
MindAPI is a mindmap which combines years of experience in testing API security.
https://github.com/dsopas/MindAPI
MindAPI is a mindmap which combines years of experience in testing API security.
https://github.com/dsopas/MindAPI
GitHub
GitHub - dsopas/MindAPI: Organize your API security assessment by using MindAPI. It's free and open for community collaboration.
Organize your API security assessment by using MindAPI. It's free and open for community collaboration. - dsopas/MindAPI
TLS 1.0, 1.1 официально объявлены устаревшими: https://datatracker.ietf.org/doc/rfc8996/
IETF Datatracker
RFC 8996: Deprecating TLS 1.0 and TLS 1.1
This document formally deprecates Transport Layer Security (TLS) versions 1.0 (RFC 2246) and 1.1 (RFC 4346). Accordingly, those documents have been moved to Historic status. These versions lack support for current and recommended cryptographic algorithms…
Secure Coding Urban Myths and Their Realities
Urban myths rely on their communities of origin to thrive and survive. Perpetuated by offhand anecdotes, sensational news stories, and friend-of-a-friend legends, urban myths about secure coding are no different; as developers share tidbits of information around common struggles and issues in application security, those conundrums quickly become myths that can make secure coding seem daunting.
https://info.veracode.com/six-urban-myths-about-secure-coding-ebook-resource.html
Urban myths rely on their communities of origin to thrive and survive. Perpetuated by offhand anecdotes, sensational news stories, and friend-of-a-friend legends, urban myths about secure coding are no different; as developers share tidbits of information around common struggles and issues in application security, those conundrums quickly become myths that can make secure coding seem daunting.
https://info.veracode.com/six-urban-myths-about-secure-coding-ebook-resource.html
Spectre v4: Security Analysis of AMD Zen3 Architecture Predictive Store Forwarding
https://www.amd.com/system/files/documents/security-analysis-predictive-store-forwarding.pdf
https://www.amd.com/system/files/documents/security-analysis-predictive-store-forwarding.pdf
AMD
AMD Documentation Hub
Find solution briefs, datasheets, tuning guides, programmer references, and more documentation for AMD processors, accelerators, graphics, and other products.
A Coq proof of the correctness of X25519 in TweetNaCl
We formally prove that the C implementation of the X25519 key-exchange protocol in the TweetNaCl library is correct. We prove both that it correctly implements the protocol from Bernstein's 2006 paper, as standardized in RFC 7748, as well as the absence of undefined behavior like arithmetic overflows and array out-of-bounds errors. We also formally prove, based on the work of Bartzia and Strub, that X25519 is mathematically correct, i.e., that it correctly computes scalar multiplication on the elliptic curve Curve25519.
https://eprint.iacr.org/2021/428
We formally prove that the C implementation of the X25519 key-exchange protocol in the TweetNaCl library is correct. We prove both that it correctly implements the protocol from Bernstein's 2006 paper, as standardized in RFC 7748, as well as the absence of undefined behavior like arithmetic overflows and array out-of-bounds errors. We also formally prove, based on the work of Bartzia and Strub, that X25519 is mathematically correct, i.e., that it correctly computes scalar multiplication on the elliptic curve Curve25519.
https://eprint.iacr.org/2021/428
Noise Protocol Framework
Noise is a framework for building crypto protocols. Noise protocols support mutual and optional authentication, identity hiding, forward secrecy, zero round-trip encryption, and other advanced features.
https://noiseprotocol.org/
Noise is a framework for building crypto protocols. Noise protocols support mutual and optional authentication, identity hiding, forward secrecy, zero round-trip encryption, and other advanced features.
https://noiseprotocol.org/
Вакансия от Tinkoff:
Ищем в Tinkoff баг-хантера искать уязвимости в наших приложениях. Формат работы: офис, удаленная работа. ЗП: до 250 000 руб. Обязателен опыт эксплуатации уязвимостей на практике. Участие в bug-bounty будет большим плюсом. За подробностями — к @icyberdeveloper.
Ищем в Tinkoff баг-хантера искать уязвимости в наших приложениях. Формат работы: офис, удаленная работа. ЗП: до 250 000 руб. Обязателен опыт эксплуатации уязвимостей на практике. Участие в bug-bounty будет большим плюсом. За подробностями — к @icyberdeveloper.
How to Backdoor a Cipher
Newly designed block ciphers are required to show resistance against known attacks, e.g., linear and differential cryptanalysis. Two widely used methods to do this are to employ an automated search tool (e.g., MILP, SAT/SMT, etc.) and/or provide a wide-trail argument. In both cases, the core of the argument consists of bounding the transition probability of the statistical property over an isolated non-linear operation, then multiply it by the number of such operations (e.g., number of active S-boxes). In this paper we show that in the case of linear cryptanalysis such strategies can sometimes lead to a gap between the claimed security and the actual one, and that this gap can be exploited by a malicious designer. We introduce RooD, a block cipher with a carefully crafted backdoor. By using the means of the wide-trail strategy, we argue the resistance of the cipher against linear and differential cryptanalysis. However, the cipher has a key-dependent iterative linear approximation over 12 rounds, holding with probability 1. This property is based on the linear hull effect although any linear trail underlying the linear hull has probability smaller than 1.
https://eprint.iacr.org/2021/442
Newly designed block ciphers are required to show resistance against known attacks, e.g., linear and differential cryptanalysis. Two widely used methods to do this are to employ an automated search tool (e.g., MILP, SAT/SMT, etc.) and/or provide a wide-trail argument. In both cases, the core of the argument consists of bounding the transition probability of the statistical property over an isolated non-linear operation, then multiply it by the number of such operations (e.g., number of active S-boxes). In this paper we show that in the case of linear cryptanalysis such strategies can sometimes lead to a gap between the claimed security and the actual one, and that this gap can be exploited by a malicious designer. We introduce RooD, a block cipher with a carefully crafted backdoor. By using the means of the wide-trail strategy, we argue the resistance of the cipher against linear and differential cryptanalysis. However, the cipher has a key-dependent iterative linear approximation over 12 rounds, holding with probability 1. This property is based on the linear hull effect although any linear trail underlying the linear hull has probability smaller than 1.
https://eprint.iacr.org/2021/442
Positive Technologies, открытое письмо исследовательскому сообществу
https://www.ptsecurity.com/ru-ru/about/news/otkrytoe-pismo-issledovatelskomu-soobshchestvu/
https://www.ptsecurity.com/ru-ru/about/news/otkrytoe-pismo-issledovatelskomu-soobshchestvu/