Одним из методов поиска уязвимостей в программном обеспечении является использование анализаторов исходных текстов. В данной посте хочу рассказать об одном из них, а именно о RATS (Rough Auditing Tool for Security). Начать именно с этой утилиты, решил потому что упоминания о ней встречались не раз в уважаемых мной источниках, а именно тут, тут и еще здесь. Однако реального примера использования нигде не было, поэтому я решил рассказать о RATS подробнее.
Читать полностью »
Рубрика «поиск уязвимостей» - 2
Анализатор исходных кодов RATS
2014-10-27 в 13:52, admin, рубрики: анализ кода, информационная безопасность, поиск уязвимостейСобираем в команду «Project Zero» специалистов по информационной безопасности
2014-07-16 в 9:01, admin, рубрики: Google, Блог компании Google, информационная безопасность, поиск уязвимостейБезопасность продуктов — один из главных приоритетов Google. Мы по умолчанию используем надежное шифрование на базе SSL для таких сервисов, как Поиск, Gmail и Google Диск. Все данные, которыми обмениваются наши дата-центры, также зашифрованы. Но кроме безопасности наших собственных продуктов нас волнует безопасность Интернета в целом. Именно поэтому сотрудники компании уделяют большое внимание поиску уязвимостей в Сети и даже объединяют информацию о них в отчеты. В первую очередь это касается поиска ошибок типа Heartbleed.
Результаты этого небольшого и, в общем-то, стороннего проекта показались нам настолько интересными, что мы решили собрать новую команду специалистов под общим названием «Проект Ноль».
Пользуясь Интернетом, вы должны быть уверены, что никто не смог воспользоваться ошибками в коде, чтобы запустить вирус в ваш компьютер, получить доступ к закрытой информации или отследить ваши контакты. К сожалению, в мире существует немало сложных вредоносных программ, например программы под общим названием «Уязвимость нулевого дня», которые уже были использованы против борцов за права человека или в целях промышленного шпионажа. Мы считаем, что такой практике нужно положить конец, и готовы работать над решением этой проблемы.
«Проект Ноль» – это первый шаг, который станет нашим вкладом в общее дело. Наша цель – значительно сократить количество людей, пострадавших от целевых атак. Мы приглашаем на работу лучших специалистов-практиков в области исследований проблем сетевой безопасности, а они, в свою очередь, посвящают 100% своего рабочего времени повышению уровня безопасности в Интернете.
Читать полностью »
DARPA начинает разработку систем компьютерной безопасности, способных самостоятельно находить и исправлять уязвимости
2013-10-24 в 15:23, admin, рубрики: Darpa, skynet, антивирусы, информационная безопасность, искусственный интеллект, поиск уязвимостей, метки: Darpa, skynet, антивирусы, поиск уязвимостей 
Агентство DARPA объявило о начале новой масштабной программы в формате «Grand Challenge». Цель программы Cyber Grand Challenge — создание систем компьютерной безопасности, способных автоматически анализировать и исправлять уязвимости. Сегодня этой работой занимаются эксперты высокой квалификации, и закрытие «дыр» занимает дни и месяцы. DARPA хочет сократить этот срок до часов и минут.
Системы безопасности нового поколения должны анализировать ПО и компьютерные сети, создавать патчи, тестировать и применять их без участия человека. Это звучит как фантастика, однако стоит вспомнить прошлые конкурсы в этом же формате — в 2004, 2005 и 2007 годах целью DARPA Grand Challenge стало создание полностью автономного автомобиля. В них участвовала в том числе и команда Стэнфордского университета, возглавляемая Себастьяном Труном, который продолжил работу над созданием автономного автомобиля в корпорации Google.
Читать полностью »
Проверь Badoo на прочность! Месяц поиска уязвимостей
2013-03-19 в 9:16, admin, рубрики: badoo, баду, безопасность, Блог компании Badoo, информационная безопасность, конкурс, поиск уязвимостей, метки: badoo, баду, безопасность, информационная безопасность, конкурс, поиск уязвимостей 
Компания Badoo, вслед за своими коллегами ― крупнейшими представителями IT-индустрии, такими как Google, Facebook и Яндекс, начинает платить за найденные уязвимости. Мы объявляем конкурс «Проверь Badoo на прочность!», который стартует 19 марта и продлится ровно месяц.
Участвовать в конкурсе могут все желающие, кроме сотрудников Badoo. Каждый участник может отправить любое количество заявок.
Участники обязуются сохранять найденные уязвимости в тайне до тех пор, пока Badoo не сообщит об их исправлении в таблице заявок, но не дольше чем до 31 мая 2013 года.
Мы платим за все найденные новые уязвимости.
Уязвимости будут ранжированы от 5-й (500 фунтов стерлингов) до 1-й категории (50 фунтов стерлингов) в зависимости от их критичности. Категорию критичности определяет жюри конкурса.
К тому же у нас есть специальный приз! По итогам конкурса 3 самых активных участника получат по 1000 фунтов. Если вы нашли что-то очень серьезное, то мы можем выдать супер-премию выше 500 фунтов.
Читать полностью »
Фаззинг браузера Chrome: 6000 инстансов, 50 млн вариантов в сутки
2012-04-27 в 23:25, admin, рубрики: chrome, Google Chrome, поиск уязвимостей, тестирование, метки: chrome, поиск уязвимостей, тестированиеКомпания Google раскрыла некоторые подробности, как осуществляется тестирование браузера Chrome на уязвимости. Для этого они применяют метод фаззинга (fuzz testing), то есть используют методику тестирования, при которой на вход программы подаются невалидные, непредусмотренные или случайные данные.
Идея заключается в том, чтобы протестировать максимально возможное количество вариантов. Естественно, для этого нужны серьёзные ресурсы. Для тестирования Chrome создан целый кластер серверов ClusterFuzz, состоящий из нескольких сотен виртуальных машин.
Читать полностью »