"I was doing some testing with Web Crypto API, and an error is returned if I try to use PBKDF2 with more than 4294967295 (2^32 - 1) iterations".
https://www.reddit.com/r/cryptography/comments/mx09h4/pbkdf2_max_iterations/
https://www.reddit.com/r/cryptography/comments/mx09h4/pbkdf2_max_iterations/
Тем временем, вакансия разработчика в отдел исследований по анализу защищённости приложений, Positive Technologies по-прежнему актуальна: https://hh.ru/vacancy/43539894
hh.ru
Вакансия Разработчик технологий анализа и защиты приложений в Москве, работа в компании Positive Technologies (вакансия в архиве…
Зарплата: не указана. Москва. Требуемый опыт: 3–6 лет. Полная занятость. Дата публикации: 14.05.2021.
Чем трек безопасной разработки на PHDays отличается от PDUG?
Исторически, PDUG являлась инициативой по обучению и повышению осведомлённости разработчиков (в широком смысле этого слова: пиэмов, тимлидов, архитекторов, программистов, девопсов, тестировщиков и т.п. — всех, кто так или иначе вовлечен в процессы разработки) в предметной области защищённости приложений, т.е. в аппсеке. Группа изначально существовала независимо от PHDays, относительно регулярно проводила собственные митапы и вебинары, а также гастролировала на митапах и конференциях сторонних сообществ, так или иначе связанных с разработкой.
Секция безопасной разработки на PHDays же, являлась весьма автономной от остального форума активностью, и фактически представляла из себя очередной митап PDUG, проводимый на площадке форума. И, хотя это неплохо работало в плане достижения целей группы, с этого года, мы решили немного отойти от устоявшейся концепции.
Одной из главных целей, ради которых создавался PHDays, являлось наведение мостов между "пиджаками" и "футболками", работающими в области информационной безопасности. Для представителей "пиджачной" безопасности ежегодно организовывался бизнес трек, технари же имели возможность выбора между оффенсив и дефенсив треками. И это тоже неплохо работало в плане достижения целей форума, если бы не одно "но". При таком раскладе, во всём этом уравнении отсутствовала третья сторона, благодаря которой (по крайней мере, в рамках аппсека) и появляются на свет те самые уязвимости реализации угроз, рисками которых стремятся управлять "пиджаки", от которых защищаются "дефенсив-футболки" и которые ищут в приложениях "оффенсивы". Разработчики, кроме шуток, являются важнейшей составляющей аппсека и вполне заслуживают своего собственного моста, который нам ещё предстоит навести в рамках форума.
Именно поэтому, в этом году "безопасная разработка" становится четвёртым основным и полноценным треком форума PHDays, проводимым под эгидой PDUG, но с уже куда более амбициозными, нежели просто повышение осведомлённости, целями.
Разумеется, прежняя активность PDUG за пределами форума никуда не денется и на этот год уже запланированы несколько активностей, как онлайн, так и оффлайн, но об этом мы будем подробно рассказывать уже после PHDays. Упомяну лишь, что выйти за пределы целей по обучению и повышению осведомлённости разработчиков мы планируем и в рамках группы с тем, чтобы в итоге сделать из PDUG эдакий трек безопасной разработки PHDays (с учётом всего написанного выше), существующий и вне дат проведения форума, в том числе на базе площадки The Standoff 365.
Программа докладов нашего трека на PHDays 10 уже сформирована и в ближайшее время будет опубликована. Так что, приходите и принимайте участие, а, если не сможете прийти, участвуйте онлайн — там будет что послушать и что обсудить, инфа 100% 🙂
Исторически, PDUG являлась инициативой по обучению и повышению осведомлённости разработчиков (в широком смысле этого слова: пиэмов, тимлидов, архитекторов, программистов, девопсов, тестировщиков и т.п. — всех, кто так или иначе вовлечен в процессы разработки) в предметной области защищённости приложений, т.е. в аппсеке. Группа изначально существовала независимо от PHDays, относительно регулярно проводила собственные митапы и вебинары, а также гастролировала на митапах и конференциях сторонних сообществ, так или иначе связанных с разработкой.
Секция безопасной разработки на PHDays же, являлась весьма автономной от остального форума активностью, и фактически представляла из себя очередной митап PDUG, проводимый на площадке форума. И, хотя это неплохо работало в плане достижения целей группы, с этого года, мы решили немного отойти от устоявшейся концепции.
Одной из главных целей, ради которых создавался PHDays, являлось наведение мостов между "пиджаками" и "футболками", работающими в области информационной безопасности. Для представителей "пиджачной" безопасности ежегодно организовывался бизнес трек, технари же имели возможность выбора между оффенсив и дефенсив треками. И это тоже неплохо работало в плане достижения целей форума, если бы не одно "но". При таком раскладе, во всём этом уравнении отсутствовала третья сторона, благодаря которой (по крайней мере, в рамках аппсека) и появляются на свет те самые уязвимости реализации угроз, рисками которых стремятся управлять "пиджаки", от которых защищаются "дефенсив-футболки" и которые ищут в приложениях "оффенсивы". Разработчики, кроме шуток, являются важнейшей составляющей аппсека и вполне заслуживают своего собственного моста, который нам ещё предстоит навести в рамках форума.
Именно поэтому, в этом году "безопасная разработка" становится четвёртым основным и полноценным треком форума PHDays, проводимым под эгидой PDUG, но с уже куда более амбициозными, нежели просто повышение осведомлённости, целями.
Разумеется, прежняя активность PDUG за пределами форума никуда не денется и на этот год уже запланированы несколько активностей, как онлайн, так и оффлайн, но об этом мы будем подробно рассказывать уже после PHDays. Упомяну лишь, что выйти за пределы целей по обучению и повышению осведомлённости разработчиков мы планируем и в рамках группы с тем, чтобы в итоге сделать из PDUG эдакий трек безопасной разработки PHDays (с учётом всего написанного выше), существующий и вне дат проведения форума, в том числе на базе площадки The Standoff 365.
Программа докладов нашего трека на PHDays 10 уже сформирована и в ближайшее время будет опубликована. Так что, приходите и принимайте участие, а, если не сможете прийти, участвуйте онлайн — там будет что послушать и что обсудить, инфа 100% 🙂
Опубликована предварительная программа трека безопасной разработки на PHDays 10 и открыта регистрация для желающих принять в нём участие: https://www.meetup.com/ru-RU/positivedevelopment/events/277831539/
Meetup
Вход в Meetup | Meetup
Not a Meetup member yet? Log in and find groups that host online or in person events and meet people in your local community who share your interests.
Linux Kernel /proc/pid/syscall information disclosure vulnerability
Детальный разбор CVE-2020-28588 (раскрытие информации в Linux Kernel 5.1 и 5.4.66).
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1211
Детальный разбор CVE-2020-28588 (раскрытие информации в Linux Kernel 5.1 и 5.4.66).
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1211
I See Dead µops: Leaking Secrets via Intel/AMD Micro-Op Caches
Modern Intel, AMD, and ARM processors translate
complex instructions into simpler internal micro-ops that are
then cached in a dedicated on-chip structure called the microop cache. This work presents an in-depth characterization study
of the micro-op cache, reverse-engineering many undocumented
features, and further describes attacks that exploit the microop cache as a timing channel to transmit secret information.
In particular, this paper describes three attacks...
https://www.cs.virginia.edu/venkat/papers/isca2021a.pdf
Modern Intel, AMD, and ARM processors translate
complex instructions into simpler internal micro-ops that are
then cached in a dedicated on-chip structure called the microop cache. This work presents an in-depth characterization study
of the micro-op cache, reverse-engineering many undocumented
features, and further describes attacks that exploit the microop cache as a timing channel to transmit secret information.
In particular, this paper describes three attacks...
https://www.cs.virginia.edu/venkat/papers/isca2021a.pdf
EverParse: Hardening critical attack surfaces with formally proven message parsers
EverParse is a framework for generating provably secure parsers and formatters used to improve the security of critical code bases at Microsoft.
https://www.microsoft.com/en-us/research/blog/everparse-hardening-critical-attack-surfaces-with-formally-proven-message-parsers/
EverParse is a framework for generating provably secure parsers and formatters used to improve the security of critical code bases at Microsoft.
https://www.microsoft.com/en-us/research/blog/everparse-hardening-critical-attack-surfaces-with-formally-proven-message-parsers/
Microsoft Research
EverParse: Hardening critical attack surfaces with formally proven message parsers - Microsoft Research
EverParse (opens in new tab) is a framework for generating provably secure parsers and formatters used to improve the security of critical code bases at Microsoft. EverParse is developed as part of Project Everest (opens in new tab), a collaboration between…
Трек безопасной разработки на PHDays 10: описания докладов
На сайте PHDays 10 опубликованы описания всех докладов нашего трека: https://www.phdays.com/ru/program/schedule/ (необходимо включить фильтр "Development"). Не забываем голосовать за понравившиеся доклады :)
На сайте PHDays 10 опубликованы описания всех докладов нашего трека: https://www.phdays.com/ru/program/schedule/ (необходимо включить фильтр "Development"). Не забываем голосовать за понравившиеся доклады :)
phdays.com
Positive Hack Days
Международный фестиваль по кибербезопасности для всех, кто хочет погрузиться в мир кибербеза и круто провести время
Forwarded from Positive Events
До PHDays осталось чуть больше недели. Давайте посмотрим, что вас ждет.
Спойлер: докладов будет много. Очень много. Мы выбрали несколько, которые вам наверняка понравятся.
⏰ 20 мая
10:30 — 11:30 (」°ロ°)」 1, 2, 3, сеточка, гори \(º □ º l|l)/
10:30 — 13:00 Думать — это прикольно. 20 практических приемов OSINT в цифровом мире
11:30 — 13:00 Как перестать заниматься анализом программ-вымогателей и начать предоставлять своей команде полезные киберразведывательные данные
⏰ 21 мая
10:05 — 11:00 Слишком человеческое: социнженерия-2021
12:00 — 13:00 Путешествие в страну внутрячков, или Страшный сон администратора сети
14:40 — 15:20 Есть кто живой? Разработка и валидация ML-пайплайнов для защиты от биометрических подделок
И это даже не половина всех докладов😉 Полную программу форума смотрите на нашем сайте: https://www.phdays.com/ru/program/schedule/
Спойлер: докладов будет много. Очень много. Мы выбрали несколько, которые вам наверняка понравятся.
⏰ 20 мая
10:30 — 11:30 (」°ロ°)」 1, 2, 3, сеточка, гори \(º □ º l|l)/
10:30 — 13:00 Думать — это прикольно. 20 практических приемов OSINT в цифровом мире
11:30 — 13:00 Как перестать заниматься анализом программ-вымогателей и начать предоставлять своей команде полезные киберразведывательные данные
⏰ 21 мая
10:05 — 11:00 Слишком человеческое: социнженерия-2021
12:00 — 13:00 Путешествие в страну внутрячков, или Страшный сон администратора сети
14:40 — 15:20 Есть кто живой? Разработка и валидация ML-пайплайнов для защиты от биометрических подделок
И это даже не половина всех докладов😉 Полную программу форума смотрите на нашем сайте: https://www.phdays.com/ru/program/schedule/
CSEC 507: Applied Cryptology
Historical introduction to cryptography. Block ciphers: Denoscriptions of internationally standardized ciphers. Modes of Operation. Block cipher cryptaanalysis. Cryptographic Hash Functions. Password cracking. Stream Ciphers. Public-key cryptography: Discrete logarithm and factorization problems. Denoscriptions of Diffle-Hellman key exchange, RSA, DSA algorithms. TLS/SSL protocol.
https://www.youtube.com/playlist?list=PLUoixF7agmIu-hC3uYAubtwrQXkRKxKZC
Historical introduction to cryptography. Block ciphers: Denoscriptions of internationally standardized ciphers. Modes of Operation. Block cipher cryptaanalysis. Cryptographic Hash Functions. Password cracking. Stream Ciphers. Public-key cryptography: Discrete logarithm and factorization problems. Denoscriptions of Diffle-Hellman key exchange, RSA, DSA algorithms. TLS/SSL protocol.
https://www.youtube.com/playlist?list=PLUoixF7agmIu-hC3uYAubtwrQXkRKxKZC
YouTube
CSEC 507: Applied Cryptology - YouTube
Forwarded from Positive Technologies
Продолжаем делиться в блоге на Хабр своим опытом в области DevOps. В новой статье Тимур Гильмуллин рассказывает, как развивалась концепция DevSecOps в нашей компании. Читайте и вы узнаете:
• как построена архитектура размещения PT Application Inspector в CI-конвейере,
• что такое Security Gates,
• как мы патчим новые уязвимости и что изменилось в процессе разработки после перехода к сканированию кода в сборке.
• как построена архитектура размещения PT Application Inspector в CI-конвейере,
• что такое Security Gates,
• как мы патчим новые уязвимости и что изменилось в процессе разработки после перехода к сканированию кода в сборке.
Хабр
DevSecOps. PT Application Inspector в разработке ПО: блокировка релиза
Изображение: ptsecurity.comВсем привет! Меня зовут Тимур Гильмуллин, я работаю в отделе технологий и процессов разработки Positive Technologies. Неформально нас...
Hex-Rays is excited to announce that IDA Freeware has been upgraded to the latest IDA version (7.6), and now includes a cloud-based decompiler!
https://www.hex-rays.com/blog/announcing-version-7-6-for-ida-freeware/
https://www.hex-rays.com/blog/announcing-version-7-6-for-ida-freeware/