Опубликована предварительная программа трека безопасной разработки на PHDays 10 и открыта регистрация для желающих принять в нём участие: https://www.meetup.com/ru-RU/positivedevelopment/events/277831539/
Meetup
Вход в Meetup | Meetup
Not a Meetup member yet? Log in and find groups that host online or in person events and meet people in your local community who share your interests.
Linux Kernel /proc/pid/syscall information disclosure vulnerability
Детальный разбор CVE-2020-28588 (раскрытие информации в Linux Kernel 5.1 и 5.4.66).
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1211
Детальный разбор CVE-2020-28588 (раскрытие информации в Linux Kernel 5.1 и 5.4.66).
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1211
I See Dead µops: Leaking Secrets via Intel/AMD Micro-Op Caches
Modern Intel, AMD, and ARM processors translate
complex instructions into simpler internal micro-ops that are
then cached in a dedicated on-chip structure called the microop cache. This work presents an in-depth characterization study
of the micro-op cache, reverse-engineering many undocumented
features, and further describes attacks that exploit the microop cache as a timing channel to transmit secret information.
In particular, this paper describes three attacks...
https://www.cs.virginia.edu/venkat/papers/isca2021a.pdf
Modern Intel, AMD, and ARM processors translate
complex instructions into simpler internal micro-ops that are
then cached in a dedicated on-chip structure called the microop cache. This work presents an in-depth characterization study
of the micro-op cache, reverse-engineering many undocumented
features, and further describes attacks that exploit the microop cache as a timing channel to transmit secret information.
In particular, this paper describes three attacks...
https://www.cs.virginia.edu/venkat/papers/isca2021a.pdf
EverParse: Hardening critical attack surfaces with formally proven message parsers
EverParse is a framework for generating provably secure parsers and formatters used to improve the security of critical code bases at Microsoft.
https://www.microsoft.com/en-us/research/blog/everparse-hardening-critical-attack-surfaces-with-formally-proven-message-parsers/
EverParse is a framework for generating provably secure parsers and formatters used to improve the security of critical code bases at Microsoft.
https://www.microsoft.com/en-us/research/blog/everparse-hardening-critical-attack-surfaces-with-formally-proven-message-parsers/
Microsoft Research
EverParse: Hardening critical attack surfaces with formally proven message parsers - Microsoft Research
EverParse (opens in new tab) is a framework for generating provably secure parsers and formatters used to improve the security of critical code bases at Microsoft. EverParse is developed as part of Project Everest (opens in new tab), a collaboration between…
Трек безопасной разработки на PHDays 10: описания докладов
На сайте PHDays 10 опубликованы описания всех докладов нашего трека: https://www.phdays.com/ru/program/schedule/ (необходимо включить фильтр "Development"). Не забываем голосовать за понравившиеся доклады :)
На сайте PHDays 10 опубликованы описания всех докладов нашего трека: https://www.phdays.com/ru/program/schedule/ (необходимо включить фильтр "Development"). Не забываем голосовать за понравившиеся доклады :)
phdays.com
Positive Hack Days
Международный фестиваль по кибербезопасности для всех, кто хочет погрузиться в мир кибербеза и круто провести время
Forwarded from Positive Events
До PHDays осталось чуть больше недели. Давайте посмотрим, что вас ждет.
Спойлер: докладов будет много. Очень много. Мы выбрали несколько, которые вам наверняка понравятся.
⏰ 20 мая
10:30 — 11:30 (」°ロ°)」 1, 2, 3, сеточка, гори \(º □ º l|l)/
10:30 — 13:00 Думать — это прикольно. 20 практических приемов OSINT в цифровом мире
11:30 — 13:00 Как перестать заниматься анализом программ-вымогателей и начать предоставлять своей команде полезные киберразведывательные данные
⏰ 21 мая
10:05 — 11:00 Слишком человеческое: социнженерия-2021
12:00 — 13:00 Путешествие в страну внутрячков, или Страшный сон администратора сети
14:40 — 15:20 Есть кто живой? Разработка и валидация ML-пайплайнов для защиты от биометрических подделок
И это даже не половина всех докладов😉 Полную программу форума смотрите на нашем сайте: https://www.phdays.com/ru/program/schedule/
Спойлер: докладов будет много. Очень много. Мы выбрали несколько, которые вам наверняка понравятся.
⏰ 20 мая
10:30 — 11:30 (」°ロ°)」 1, 2, 3, сеточка, гори \(º □ º l|l)/
10:30 — 13:00 Думать — это прикольно. 20 практических приемов OSINT в цифровом мире
11:30 — 13:00 Как перестать заниматься анализом программ-вымогателей и начать предоставлять своей команде полезные киберразведывательные данные
⏰ 21 мая
10:05 — 11:00 Слишком человеческое: социнженерия-2021
12:00 — 13:00 Путешествие в страну внутрячков, или Страшный сон администратора сети
14:40 — 15:20 Есть кто живой? Разработка и валидация ML-пайплайнов для защиты от биометрических подделок
И это даже не половина всех докладов😉 Полную программу форума смотрите на нашем сайте: https://www.phdays.com/ru/program/schedule/
CSEC 507: Applied Cryptology
Historical introduction to cryptography. Block ciphers: Denoscriptions of internationally standardized ciphers. Modes of Operation. Block cipher cryptaanalysis. Cryptographic Hash Functions. Password cracking. Stream Ciphers. Public-key cryptography: Discrete logarithm and factorization problems. Denoscriptions of Diffle-Hellman key exchange, RSA, DSA algorithms. TLS/SSL protocol.
https://www.youtube.com/playlist?list=PLUoixF7agmIu-hC3uYAubtwrQXkRKxKZC
Historical introduction to cryptography. Block ciphers: Denoscriptions of internationally standardized ciphers. Modes of Operation. Block cipher cryptaanalysis. Cryptographic Hash Functions. Password cracking. Stream Ciphers. Public-key cryptography: Discrete logarithm and factorization problems. Denoscriptions of Diffle-Hellman key exchange, RSA, DSA algorithms. TLS/SSL protocol.
https://www.youtube.com/playlist?list=PLUoixF7agmIu-hC3uYAubtwrQXkRKxKZC
YouTube
CSEC 507: Applied Cryptology - YouTube
Forwarded from Positive Technologies
Продолжаем делиться в блоге на Хабр своим опытом в области DevOps. В новой статье Тимур Гильмуллин рассказывает, как развивалась концепция DevSecOps в нашей компании. Читайте и вы узнаете:
• как построена архитектура размещения PT Application Inspector в CI-конвейере,
• что такое Security Gates,
• как мы патчим новые уязвимости и что изменилось в процессе разработки после перехода к сканированию кода в сборке.
• как построена архитектура размещения PT Application Inspector в CI-конвейере,
• что такое Security Gates,
• как мы патчим новые уязвимости и что изменилось в процессе разработки после перехода к сканированию кода в сборке.
Хабр
DevSecOps. PT Application Inspector в разработке ПО: блокировка релиза
Изображение: ptsecurity.comВсем привет! Меня зовут Тимур Гильмуллин, я работаю в отделе технологий и процессов разработки Positive Technologies. Неформально нас...
Hex-Rays is excited to announce that IDA Freeware has been upgraded to the latest IDA version (7.6), and now includes a cloud-based decompiler!
https://www.hex-rays.com/blog/announcing-version-7-6-for-ida-freeware/
https://www.hex-rays.com/blog/announcing-version-7-6-for-ida-freeware/
Forwarded from Positive Events
Рассматриваем видеоигры с точки зрения информационной безопасности, тренируемся бороться с уязвимостями и разбираемся с небезопасной десериализацией. Это трек Development, друг 🤟🏻
Будет 11 докладов. Обсудим вопросы построения универсального абстрактного интерпретатора, который может искать уязвимости в коде на различных языках программирования. Посмотрим, какие ошибки чаще всего совершают разработчики приложений на Android и iOS. Учимся разрабатывать безопасные приложения и делаем еще много-много всего интересного и полезного 🤩
А вот какие доклады секции участники ждут больше всего:
20 мая, 14:00 — 15:00 Positive Technologies: опыт внедрения инструментов DevSecOps
20 мая, 15:00 — 16:00 Security gym: тренируйся бороться с уязвимостями
21 мая, 11:00 — 12:00 Информационная безопасность в видеоиграх
На PHDays нет случайных докладов, так что остальные лекции тоже заслуживают внимания. Смотри их тут: https://www.phdays.com/ru/program/schedule/
Будет 11 докладов. Обсудим вопросы построения универсального абстрактного интерпретатора, который может искать уязвимости в коде на различных языках программирования. Посмотрим, какие ошибки чаще всего совершают разработчики приложений на Android и iOS. Учимся разрабатывать безопасные приложения и делаем еще много-много всего интересного и полезного 🤩
А вот какие доклады секции участники ждут больше всего:
20 мая, 14:00 — 15:00 Positive Technologies: опыт внедрения инструментов DevSecOps
20 мая, 15:00 — 16:00 Security gym: тренируйся бороться с уязвимостями
21 мая, 11:00 — 12:00 Информационная безопасность в видеоиграх
На PHDays нет случайных докладов, так что остальные лекции тоже заслуживают внимания. Смотри их тут: https://www.phdays.com/ru/program/schedule/
From theory to practice: analysis and PoC development for CVE-2020-28018 (Use-After-Free in Exim)
...building a PoC for one of the vulnerabilities published by Qualys in Exim
https://adepts.of0x.cc/exim-cve-2020-28018/
...building a PoC for one of the vulnerabilities published by Qualys in Exim
https://adepts.of0x.cc/exim-cve-2020-28018/
From theory to practice: analysis and PoC development for CVE-2020-28018 (Use-After-Free in Exim) |
From theory to practice: analysis and PoC development for CVE-2020-28018 (Use-After-Free in Exim) | AdeptsOf0xCC
Development of a PoC for one of the vulnerabilities published by Qualys in Exim
Уважаемые участники трека безопасной разработки Positive Hack Days 10!
Всех, кто на данный момент получил на почту билет на оффлайн участие в форуме, ждём на площадке трека завтра, к 10:40. Остальные могут принять участие в режиме онлайн по ссылке: https://standoff365.com/phdays10/schedule/development/ (дополнительная регистрация не требуется).
До встречи на треке!
Всех, кто на данный момент получил на почту билет на оффлайн участие в форуме, ждём на площадке трека завтра, к 10:40. Остальные могут принять участие в режиме онлайн по ссылке: https://standoff365.com/phdays10/schedule/development/ (дополнительная регистрация не требуется).
До встречи на треке!