20.09.2017
kochetkov.vladimir
Одна из самых популярных тенденций в области защиты приложений нынешнего десятилетия — технология виртуального патчинга (virtual patching, VP), позволяющая защитить веб-приложение от эксплуатации имеющихся в нем известных уязвимостей на уровне межсетевого экрана уровня веб-приложений (web application firewall; здесь и далее под WAF подразумевается выделенное решение, функционирующее на отдельном узле, между шлюзом во внешнюю сеть и веб-сервером). Технология VP основана на построении правил фильтрации HTTP-запросов на стороне WAF по результатам работы средств статического анализа защищенности приложения (static application security testing, SAST). Однако из-за того, что средства SAST и WAF опираются на различные модели представления приложения и различные методы принятия решений, на рынке до сих пор нет по-настоящему эффективных решений их интеграции. В рамках SAST работа с приложением осуществляется по модели белого ящика и, как правило, используются формальные подходы к поиску уязвимостей в коде.
31.05.2016
kochetkov.vladimir
PHDays VI отгремел без малого две недели назад, но случившийся параллельно с ним очередной публичный релиз Application Inspector нахлобучил так, что силы написать об этом нашлись только сейчас.
04.05.2016
kochetkov.vladimir
Компания Positive Technologies в рамках форума Positive Hack Days VI (17—18 мая) проведет двухдневный семинар для разработчиков по созданию защищенных приложений Positive Development User Group. Цель мероприятия — повысить устойчивость бизнеса к растущим угрозам со стороны злоумышленников.

На семинаре будут рассмотрены все аспекты конструирования защищенных приложений, различные уязвимости веб-сервисов, эксперты Positive Technologies представят опыт анализа защищенности систем, используемых в различных отраслях, и результаты исследовательских работ, лежащих в основе анализатора защищенности исходного кода приложений PT Application Inspector.

Подробности
26.06.2015
kochetkov.vladimir
- слайды моего выступления на июньской встрече SPB .NET Community: http://buff.ly/1TR8cP7
29.05.2015
kochetkov.vladimir
Материалы моего доклада PHDays V "Автоматическая генерация патчей для уязвимого исходного кода" можно почитать и скачать здесь. Видео с демкой встроено в презентацию.

P.S: 25 июня запланирован повтор данного доклада в формате вебинара в рамках программы Positive Technologies "Практическая безопасность".

UPD: Запись самого доклада уже также доступна здесь (нужно выбрать доклад в правой колонке, Амфитеатр/13:05).
28.05.2014
kochetkov.vladimir
В последнее время об анализе защищенности исходного кода не написал только ленивый. Оно и понятно, ведь тот парень из Gartner, как предложил рассматривать анализ исходного кода в качестве нового хайпа несколько лет назад, так до сих пор и не дал отмашку на то, чтобы прекратить это делать. А, учитывая текущее направление моей работы (участие в разработке PT Application Inspector, далее AI), и тот факт, что в последнее время годных статей на тему анализа исходного кода в общем-то не было, как-то даже странно, что до сегодняшнего дня в этом блоге не было ни одной грязной подробности на эту животрепещущую тему. Что ж, исправляюсь

Читать дальше
14.01.2015
kochetkov.vladimir

Производитель интегральной микрочиповой электроники AMD исправил уязвимости в ряде своих процессоров, сообщает портал The Register. Эксплуатация бреши позволяла злоумышленникам внедрить в прошивку вредоносное ПО
Подробнее: http://www.securitylab.ru/news/469779.php

18.02.2014
kochetkov.vladimir
Сначала о главном: поскольку участие в конфе платное, традиционно есть некоторое количество билетов, которые я готов безвозмездно-то-есть-даром раздать постоянным участникам RSDN. Для этого достаточно просто написать сюда или мне на почту (http://rsdn.org/account/email/24665) о своем желании получить билет.

UPD[19.03.2014]: все приглашения отданы, приглашений больше нет.


В этом году, конференция пройдет в Москве, 21-22 мая, в техноцентре Digital October. Получить представление о формате мероприятия можно из, например: https://www.youtube.com/watch?v=Fr_y1_JokqI и https://www.youtube.com/watch?v=RMqCFvCOaYI

Программа еще формируется, поэтому пока могу сказать только то, что выступлю там с докладом об обнаружении и эксплуатации уязвимостей бизнес-логики (уже получил положительное решение от CFP комитета) и что основными темами форума в этот раз станут вопросы технологий слежения и обеспечения анонимности...
13.01.2014
kochetkov.vladimir
Наш доклад с PoC 2013 об анализе защищенности кода и автоматической генерации эксплоитов: слайды http://www.powerofcommunity.net/poc2013/slide/sergey.pdf, демка http://buff.ly/1hO6rAX
04.02.2014
kochetkov.vladimir
Проект довольно известного криптографа Jean-Philippe Aumasson представляющий собой набор правил, позволяющих избежать ошибок при реализации/использовании криптографических функций в своем коде: https://cryptocoding.net/index.php/Cryptography_Coding_Standard

В качестве бонуса, наглядная иллюстрация последствий нескольких подобных ошибок.
1  2  > rss