Семинары Microsoft по безопасности BlueHat: осенние доклады 2009 года

BlueHat v9: Through the Looking Glass: 22—23 октября в штаб-квартире корпорации Microsoft

Основная цель ряда конференций BlueHat заключается в обеспечении связи между разработчиками и руководством корпорации Microsoft, ключевыми партнерами по программам обеспечения безопасности и членами сообщества исследователей безопасности, а также в обучении основной части сотрудников корпорации Microsoft распознаванию угроз безопасности и средствам предотвращения атак.

В этом году на конференции будут разобраны имевшие место события и будет показано, как объединение отдельных стратегий может способствовать получению значительных преимуществ и достижению положительных результатов. Мы собираемся пролить свет на глобальные и региональные угрозы безопасности и создать каналы для эффективного обмена информацией о часто возникающих угрозах, затрагивающих всех участников экосистемы безопасности.

BlueHat v9 снова соберет передовых внешних исследователей систем безопасности для проведения актуальных презентаций, на которых будут рассматриваться проводимые исследования, современные средства и способы несанкционированного доступа и наиболее опасные угрозы безопасности. Основные темы BlueHat v9 будут связаны с атаками киберпреступников, экономическими выкладками по эксплойтам, анализом глобальной распространенности угроз, интернет-службами, безопасностью при облачных вычислениях, безопасностью мобильных устройств и эффективными инструментами и средствами предотвращения атак.

День 1: четверг, 22 октября — основные доклады BlueHat v9

Утренний блок. Гиперреальность: кто красит мои розы в красный?

	Вступительные замечания — Винни Джаллотто (Vinny Gullotto), генеральный директор центра Microsoft по защите от вредоносных программ (MMPC), отдел по созданию защищенных информационных систем Trustworthy Computing корпорации Microsoft
	Связанные с политикой атаки типа "отказ в обслуживании" — Жозе Назарио (Jose Nazario), менеджер по исследованию систем безопасности, компания Arbor Network
	Безопасность функционально насыщенных веб-приложений (RIA): практические уроки из Flash и Silverlight — Пелеус Ухли (Peleus Uhley), старший исследователь систем безопасности из компании Adobe, и Джесси Коллинс (Jesse Collins), инженер по безопасности программного обеспечения из корпорации Microsoft
	Язык доверия: использование отношений доверия в активном содержимом— Райан Смит (Ryan Smith), исследователь систем безопасности из компании Accuvant, Дэвид Дьюи (David Dewey), член группы исследователей систем безопасности X-Force из подразделения IBM Internet Security Systems

 

Дневной блок. Безопасность мобильных устройств: все необычнее и необычнее

	Атаки через SMS — Зейн Лэки (Zane Lackey), старший консультант по вопросам безопасности из компании iSEC Partners, и Луис Мирас (Luis Miras), независимый исследователь систем безопасности
	Безопасность мобильных устройств и программно-определяемая радиосвязь — Джош Лэки (Josh Lackey), старший специалист по разработке систем безопасности, корпорация Microsoft
	Несанкционированный доступ к iPhone посредством SMS и краткий обзор полезных нагрузок — Чарли Миллер (Charlie Miller), ведущий аналитик, компания Independent Security Evaluators
	Безопасность оператора мобильной связи: угрозы безопасности для глобальных сетей карманных устройств — Патрик Макканна (Patrick McCanna), архитектор решений в области безопасности, компания AT&T Mobility

День 2: пятница, 23 октября — основные доклады BlueHat v9

Утренний блок. Службы облачных вычислений и виртуализация: синей ночью с высоты чайной чашкой блещешь ты…

	Вступительные замечания — Эндрю Кашман (Andrew Cushman), старший директор отдела по созданию защищенных информационных систем, корпорация Microsoft
	Внедрение облачных вычислений: сообщение общего характера об инфраструктуре Интернета — Крис Хофф (Chris Hoff), директор подразделения по разработке решений облачных вычислений и виртуализации, компания Cisco
	Спуститесь с облаков: безопасность в концепции "программные продукты и интернет-службы" — Джон Волтон (John Walton), главный руководитель программы обеспечения безопасности, корпорация Microsoft
	Создание облачных вычислений: как избежать неприятностей при переходе от локального размещения к службам — Роберт Флай (Robert Fly), директор по обеспечению безопасности продуктов, salesforce.com
	Вы используете то же облако, что и ваш враг — Билли Риос (Billy Rios), инженер по вопросам безопасности из корпорации Microsoft, и Нэйт Макфетерс (Nate McFeter), старший советник по вопросам безопасности из компании Ernst and Young

 

Дневной блок. Инструменты нечеткого тестирования и средства предотвращения атак: преследование белого кролика

	Повышение автономности программного обеспечения — Тевис Орманди (Tavis Ormandy), инженер по вопросам безопасности из компании Google, и Нил Мехта (Neel Mehta), штатный разработчик программного обеспечения отдела информационной безопасности из компании Google
	Подробности проектирования системы безопасности пакета Office — Том Галахер (Tom Gallagher), старший руководитель тестирования систем безопасности из корпорации Microsoft, и Дейв Когер (Dave Conger), специалист по тестированию программного обеспечения (SDET II) из корпорации Microsoft
	Преобразование символов:  поиск скрытых уязвимостей — Крис Вебер (Chris Weber), соучредитель компании Casaba Security
	Экспресс доклады — различные участники сообщества по безопасности (выступления по 5 или 10 минут)

BlueHat v9. День 1.

Основной докладчик

Описание доклада

Докладчик

После проведения мероприятия видеозапись доклада будет опубликована.

Винни Джаллотто (Vinny Gullotto)
Генеральный директор центра Microsoft по защите от вредоносных программ (MMPC), корпорация Microsoft

Являясь генеральным директором центра Microsoft по защите от вредоносных программ, Винни Джаллотто отвечает за подготовку повседневных и долгосрочных стратегий компании по защите клиентов от вирусов, вредоносных программ и других угроз безопасности.

Джаллотто и его группа несут ответственность за изучение вредоносных угроз и атак, направленных против пользователей компьютеров. В рамках данного исследования они разрабатывают решения и сотрудничают с центром Microsoft Security Response Center для того, чтобы предоставить клиентам инструкции и поддержку, а также защиту от указанных угроз. В соответствии со своим назначением центр Microsoft по защите от вредоносных программ предоставляет основную технологию защиты от вредоносных программ для Windows Live OneCare, Защитника Microsoft Windows, для средства удаления вредоносных программ и для продуктов обеспечения безопасности Forefront. Джаллотто стремится помочь клиентам обрести уверенность в том, что опыт Microsoft по борьбе с угрозами безопасности поможет защитить пользователей компьютеров по всему миру.

Перед началом работы в Microsoft Джаллотто в течение нескольких лет работал в корпорации McAfee, Inc. на должности вице-президента группы исследования антивирусных программ и экстренного реагирования на уязвимости (AVERT). Помимо выступления на посвященных безопасности конференциях по всему миру, Джаллотто выступил перед подкомитетом конгресса по поводу реагирования федерального правительства на угрозы безопасности, которым подвержены компьютеры в США.

Джаллотто вошел в совет директоров американской закрытой компании, которая разработала основанные на компьютерах автоматизированные системы секретарей голосовой почты. Джаллотто защитил степень бакалавра наук по деловому администрированию в университете г. Феникс.

 

К началу страницы

Связанные с политикой атаки типа "отказ в обслуживании"

Описание доклада

Докладчик

Одновременно с быстрым ростом Интернета по всему миру выросло число атак с массовой рассылкой пакетов, осуществляемых по политическим мотивам. За последние несколько лет такие атаки были направлены против Эстонии, Грузии, CNN, Украины и множества других целей, однако начались эти атаки еще около десяти лет назад. В этом докладе рассматриваются атаки DDoS и их возрастающая роль в качестве политического интернет-оружия. В нем также рассматривается, как компания Arbor Networks проводила замеры атак на Эстонию и Грузию, как замерялись другие атаки и какое влияние эти атаки оказывают на Интернет в целом.

Д-р Жозе Назарио (Jose Nazario)
менеджер по исследованию систем безопасности, компания Arbor Networks

Д-р Жозе Назарио работает менеджером по исследованию систем безопасности в компании Arbor Networks. На этой должности он несет ответственность за анализ постоянно возрастающих угроз интернет-безопасности, реконструирование вредоносного кода и разработку механизмов обеспечения безопасности, которые затем переносятся на платформы Peakflow компании Arbor через службу обнаружения угроз Active Threat Feed (ATF). К области исследований д-ра Назарио относятся крупномасштабные интернет-тренды, например измерение доступности и топологии, события в масштабах всего Интернета, например атаки DDoS, бот-сети и вирусы-черви, средства анализа исходного кода и интеллектуальный анализ данных. Он является автором книг Defense and Detection Strategies against Internet Worms и Secure Architectures with OpenBSD. Он получил степень Ph.D. по биохимии в университете Case Western Reserve University в 2002 году. До начала работы в компании Arbor Networks был независимым консультантом по вопросам безопасности. Д-р Назарио регулярно выступает на конференциях по всему миру. Последние презентации были проведены в FIRST, CanSecWest, PacSec, Black Hat и NANOG. Кроме того, он поддерживает в рабочем состоянии сайт WormBlog.com, посвященный изучению обнаружения вирусов-червей и исследованию защиты.

 

К началу страницы

Безопасность функционально насыщенных веб-приложений (RIA): практические уроки из Flash и Silverlight

Описание доклада

Докладчик

Вместе с большими возможностями приходит и большая ответственность. Многофункциональные платформы веб-приложений, например Adobe Flash и Flex и Microsoft Silverlight, позволяют разработчикам создавать уникальные и исключительные веб-приложения, но если эти технологии используются неправильно, то с их помощью разработчики могут создавать уникальные и исключительные уязвимости в веб-приложениях. Кроме того, известно, что некоторые недобросовестные люди преднамеренно создавали вредоносные приложения Flash и Silverlight, чтобы обманным путем заставлять честных людей размещать эти приложения на своих веб-сайтах.

В этом докладе данные проблемы рассматриваются как по отношению к Flash, так и по отношению к Silverlight. Узнайте, как создавать более безопасные функционально насыщенные веб-приложения, как определять потенциально вредоносные функционально насыщенные веб-приложения до их размещения на сайте и что предпринимают группы разработчиков Flash и Silverlight для защиты своих клиентов.

Пелеус Ухли (Peleus Uhley)
старший исследователь систем безопасности, компания Adobe

Пелеус Ухли работает старшим исследователем систем безопасности в группе разработки безопасного программного обеспечения компании Adobe. Его основной задачей является содействие в совершенствовании технологий платформы Adobe, включая Flash Player и AIR. Перед переходом в Adobe Пелеус пришел в отрасль систем безопасности в качестве разработчика в корпорации Anonymizer, Inc., а затем продолжил работу в качестве консультанта по вопросам безопасности для таких компаний, как @stake и Symantec.

Джесси Коллинс (Jesse Collins)
инженер по безопасности программного обеспечения, корпорация Microsoft

Джесси Коллинс работает главным инженером по безопасности в группе Silverlight. Карьеру в сфере систем безопасности он начал в 2005 году, пройдя обучение вместе с Девидом Россом (David Ross) и его исследователями из центра Microsoft Security Response Center, а затем работая над WPF. Сейчас он помогает обеспечивать безопасность платформы Silverlight от нечеткого тестирования, несанкционированного доступа и использования отклонений для запуска OACR. Кроме того, Джесси консультирует клиентов и группы разработки продуктов Microsoft о способах создания безопасных приложений Silverlight.

 

К началу страницы

Язык доверия: использование отношений доверия в активном содержимом

Описание доклада

Докладчик

В течение нескольких последних лет интерактивное содержимое приобретает все более широкие возможности и становится все более гибким, при этом основные функциональные дополнения создаются с использованием нескольких веб-технологий, например Javascript и .NET, а также подключаемых модулей браузера. Эти функциональные изменения и постоянно усложняющиеся слои межуровневого взаимодействия создали между ранее несвязанными компонентами сложный и ненадежный слой доверия.

Данная презентация представляет собой попытку рассмотреть проблему доверия в контексте активного содержимого и обратить внимание на ее незаметную с первого взгляда сложность. Будет продемонстрировано использование этих отношений доверия на разных уровнях приложений: от воздействия на архитектурные элементы управления безопасностью до уязвимостей, связанных с повреждением памяти, которые вызывают выполнение произвольного кода.

Райан Смит (Ryan Smith)
исследователь систем безопасности, компания Accuvant

Райан Смит, который поддерживает работу сайта www.hustlelabs.com, в основном сосредоточен на поиске уязвимостей в программном обеспечении, разработке стратегий определения уязвимостей, проведении общего реконструирования и составлении алгоритмов, облегчающих анализ программ. Множество поставщиков отмечали его работу по обнаружению уязвимостей в серверном программном обеспечении, одноранговых приложениях, технологии веб-браузеров, антивирусных программах и программах сжатия.

Дэвид Дьюи (David Dewey)
_член группы исследователей систем безопасности X-Force, подразделение IBM Internet Security Systems_

Дэвид Дьюи является членом группы исследователей X-Force в подразделении IBM Internet Security Systems. Он обнаружил множество уязвимостей в серверах приложений, антивирусных приложениях и технологии веб-браузеров. За последний год его исследования были главным образом сосредоточены на уязвимостях браузеров. Дэвид выступал на нескольких тематических конференциях, включая Black Hat.

 

К началу страницы

Атаки через SMS

Описание доклада

Докладчик

С учетом роста популярности текстовых сообщений по всему миру служба SMS представляет собой постоянно расширяющуюся область организации атак на мобильные телефоны. Начиная с обновлений посредством беспроводной связи и заканчивая многофункциональными мультимедийными сообщениями, SMS уже представляет собой больше, чем просто службу по доставке небольших текстовых сообщений. В дополнение к обширному набору поддерживаемых функций служба SMS является контактной зоной для атак на мобильные телефоны, которая всегда активна по умолчанию и не требует практически никакого вмешательства пользователя для проведения атаки.

Целью этого доклада является предоставление аудитории сведений об угрозах для современных мобильных телефонов со стороны злонамеренного SMS-трафика. Мы обсудим способы атаки с помощью базовых функций SMS и MMS, а также с помощью сторонних функциональных возможностей, доступ к которым осуществляется посредством SMS. Будут предоставлены результаты проверок в реальных условиях для разных платформ мобильных телефонов.

В дополнение к полученным результатам будут описаны и продемонстрированы несколько средств, помогающих пользователям проверить безопасность своих мобильных устройств. И наконец, будет описано и продемонстрировано приложение для SMS-атак на базе iPhone, которое позволяет осуществлять некоторые из рассмотренных атак.

Луис Мирас (Luis Miras)
независимый исследователь систем безопасности

Луис Мирас является независимым исследователем систем безопасности. Он работал как на поставщиков продуктов для обеспечения безопасности, так и на ведущие консалтинговые компании. В сферу его деятельности входят исследования уязвимостей, анализ двоичного кода и реконструирование аппаратного и программного обеспечения. В прошлом он работал в области цифрового проектирования и разработки программ для встраиваемых систем. Он выступал на CanSecWest, Black Hat, CCC Congress, XCon, REcon, DefCon и других конференциях по всему миру. Недавно Луис стал соавтором книги Reverse Engineering Code with IDA Pro (Syngress, 2008).

Зейн Лэки (Zane Lackey)
старший консультант по вопросам безопасности, компания iSEC Partners, Inc.

Зейн Лэки работает старшим консультантом по вопросам безопасности в компании iSEC Partners, Inc. Его исследования включают в себя безопасность мобильных телефонов, веб-приложений AJAX и протокола VoIP. Зейн выступал на крупнейших конференциях, посвященных безопасности, включая Black Hat, Toorcon, MEITSEC, YSTS и iSEC Open Forum. Кроме того, он является соавтором книги Hacking Exposed: Web 2.0 (McGraw-Hill) и одним из авторов и техническим редактором книги Hacking VoIP (No Starch Press). Он имеет степень бакалавра гуманитарных наук по экономике с непрофильным изучением теории вычислительных машин в университете University of California в городе Дэвис.

 

К началу страницы

Безопасность мобильных устройств и программно-определяемая радиосвязь

Описание доклада

Докладчик

Исследования безопасности мобильных телефонов быстро набирают критическую массу. Исследователи изучают контактную зону атак и распространяют свои знания. Существуют проекты, направленные на взлом шифрования, на поиск уязвимостей, появляющихся на этапе внедрения, а также на атаку самой инфраструктуры. Программно-определяемая радиосвязь, которая позволяет исследователям управлять самыми нижними уровнями используемых протоколов, упрощает проведение атак, а в некоторых случаях даже способствует этому. В данном докладе рассматриваются современные распространенные атаки, направленные на преодоление средств безопасности мобильных телефонов.

Джош Лэки (Josh Lackey)
старший специалист по разработке систем безопасности, корпорация Microsoft

Джош Лэки является руководителем в группе TwC MSEC Penetration Testing. Эта группа отвечает за проведение атак на продукты Microsoft, прежде чем это сделают внешние злоумышленники. Джош имеет степень Ph.D. по математике и занимается исследованием уязвимостей. Ему нравится ломать вещи, особенно когда это удается сделать через программно-определяемую радиосвязь.

 

К началу страницы

Несанкционированный доступ к iPhone посредством SMS и краткий обзор полезных нагрузок

Описание доклада

Докладчик

В этом докладе кратко рассматривается архитектура системы безопасности iPhone. После этого демонстрируется выполнение автоматизированного нечеткого тестирования на устройстве, включая нечеткое тестирование SMS. В нем описывается найденная Чарли Миллером (Charlie Miller) SMS-уязвимость, и приводятся способы ее использования. В завершение рассматривается использование полезных нагрузок, и демонстрируются возможности злоумышленников при получении доступа к этим нагрузкам.

Чарли Миллер (Charlie Miller)
ведущий аналитик, компания Independent Security Evaluators

Чарли Миллер первым публично воспользовался уязвимостями в телефонах Apple iPhone и Google G1. Последние два года он становился победителем соревнований Pwn2Own. В 2008 году журнал Popular Mechanics включил его в десятку лучших специалистов по получению несанкционированного доступа. Он получил степень Ph.D. в университете University of Notre Dame и в настоящее время работает ведущим аналитиком в компании Independent Security Evaluators.

 

К началу страницы

Безопасность оператора мобильной связи: угрозы безопасности для глобальных сетей карманных устройств

Описание доклада

Докладчик

С чем связано внедрение системы безопасности в сеть оператора мобильной связи? Разве в ней нельзя ограничиться установкой брандмауэров и системы предотвращения вторжений (IPS)?

В данной презентации рассматриваются уникальные трудности, с которыми сталкиваются операторы мобильной связи во время внедрения системы безопасности и которые не охватываются очевидными решениями, такими как брандмауэры, фильтрация и предотвращение вторжений. Слушатели получат сведения о функциях мобильной сети и проблемах с безопасностью, с которыми сталкивается оператор во время эксплуатации этой сети, а также при адаптации для нее новых платформ.

Патрик Макканна (Patrick McCanna)
архитектор решений в области безопасности, компания AT&T Mobility

Патрик Макканна работает руководителем технического персонала в основной организации, занимающейся вопросами безопасности, компании AT&T, где он отвечает за безопасность потребительских продуктов и служб AT&T Mobility. Хотя сейчас он не слишком активно участвует в разработке, его портфолио разработанного программного обеспечения включает в себя сетевое программное обеспечение для кабин пилотов самолетов, веб-приложения для электронной коммерции и средства определения показателей для центров обработки данных. Патрик имеет степень бакалавра наук в теории вычислительных машин с непрофильным изучением математики в Linfield College. Он имеет сертификат специалиста по безопасности информационных систем (CISSP).

 

К началу страницы

BlueHat v9. День 2.

Основной докладчик

Описание доклада

Докладчик

После проведения мероприятия видеозапись доклада будет опубликована.

Эндрю Кашман (Andrew Cushman)
старший директор отдела по созданию защищенных информационных систем, корпорация Microsoft

Как старший директор отдела по созданию защищенных информационных систем корпорации Microsoft Кашман сосредоточил усилия на инновационной программе корпорации Microsoft — "End to End Trust", целью которой является более безопасный Интернет и привнесение доверительных отношений из физического мира в виртуальный мир. Кашман отвечает за распространение программы "End to End Trust" и сотрудничает с различными группами Microsoft, занимающихся формулировкой и внедрением идей конфиденциальности, безопасности, надежности и доверия.

Кашман присоединился к MSRC в 2004 году в качестве участника группы проектирования систем безопасности, состоящей из руководителей верхнего звена, которая сделала процедуры обеспечения безопасности неотъемлемой частью культуры разработки продуктов в корпорации Microsoft. С этого момента он стал движущей силой по проведению информационно-разъяснительной деятельности среди исследователей компании и по повышению их мотивации, для чего он сформулировал стратегию ответственного отношения к раскрытию информации и дал старт конференциям BlueHat, посвященным вопросам безопасности.

Ранее Кашман управлял центром Microsoft Security Response Center (MSRC). Центр Microsoft Security Response Center отвечает за своевременное реагирование на угрозы безопасности, определение и внедрение политик реагирования и отслеживание ежемесячно обновляемых показателей эффективности и своевременности. Кашман расширил программы информационно-разъяснительной деятельности центра Microsoft Security Response Center, чтобы охватить как исследователей систем безопасности, так и основные организации и компании, занимающиеся вопросами безопасности, и группы быстрого реагирования в чрезвычайных ситуациях.

После перехода в корпорацию Microsoft в январе 1990 года Кашман занимал должности в группе Microsoft International Product Group, группе Microsoft Money и группе Internet Information Services (IIS). Он возглавлял группу продуктов IIS во время разработки IIS 6.0 для Windows Server® 2003. IIS 6.0 был одним из первых продуктов корпорации Microsoft с полностью адаптированными процессами разработки систем безопасности, которые в настоящее время встраиваются в SDL и остаются воплощением приверженности корпорации Microsoft разработке систем безопасности и деятельности отдела по созданию защищенных информационных систем Trustworthy Computing.

Кашман получил степень бакалавра по международным исследованиям в университете г. Вашингтон и магистра международной торговли в университете г. Сиэтл. В свободное время он с энтузиазмом катается на лыжах.

 

К началу страницы

Внедрение облачных вычислений: сообщение общего характера об инфраструктуре Интернета

Описание доклада

Докладчик

То, что находилось внутри, теперь оказалось снаружи.

Эта метафора не только в точности отражает анализ тенденций адаптации неправильного использования технологий и инноваций на предприятии, но и указывает на поразительную скорость, с которой устанавливаются новые границы возможностей наших центров обработки данных, а сами центры практически выворачиваются наизнанку благодаря облачным вычислениям и виртуализации.

Одним из наиболее опасных последствий массивной интенсификации виртуализации и облачных вычислений является ее влияние на модели безопасности и ту информацию, которую они должны защищать. Где и как наши данные создаются, обрабатываются, предоставляются, хранятся, архивируются и удаляются, что станет службами на основе облачных вычислений с массовыми наложениями, кто это делает и в чьей инфраструктуре — все это вызывает значительную тревогу с точки зрения безопасности, конфиденциальности, соответствия требованиям и обеспечения безотказной работы. 

Кроме того, большую тревогу вызывает проблема вложенности, поскольку идея вложенных облаков становится реальностью: поставщики облака SaaS зависят от поставщиков облака IaaS, которые зависят от поставщиков сети облаков. Это похоже на семейство черепах.

Мы рассмотрим несколько каскадных уровней сбоев, связанных с зависимостью от инфраструктуры и службы на базе вложенных друг в друга облаков, включая разоблачение некорректных предположений и непроверенных теорий, относящихся к безопасности, секретности и конфиденциальности в облаке, с указанием некоторых уникальных направлений атаки.

Крис Хофф (Chris Hoff)
директор подразделения по разработке решений облачных вычислений и виртуализации, отдел Data Center Solutions компании Cisco Systems

Крис Хофф накопил более чем пятнадцатилетний опыт руководства созданием архитектуры, разработкой, эксплуатацией сетей и систем информационной безопасности и управлением ими и восхищается идеями внедрения виртуализации и облачных вычислений. Хофф сейчас занимает должность директора подразделения по разработке решений облачных вычислений и виртуализации в отделе Data Center Solutions компании Cisco Systems. До Cisco он работал главным архитектором систем безопасности в подразделении Systems & Technology Division компании Unisys Corporation. Кроме того, он занимал должность главного специалиста по разработке стратегий безопасности в компании Crossbeam Systems, работал главным специалистом по информационной безопасности в компании с капиталом 25 миллиардов долларов, предоставлявшей финансовые услуги, был основателем консалтинговой компании, занимавшейся вопросами национальной безопасности, и руководителем ее технологического отдела, а также работал в других консалтинговых компаниях и компаниях венчурного капитала. Он ведет блог, расположенный по адресу http://www.rationalsurvivability.com, и участвует в размещении подкаста, посвященного безопасности облачных вычислений.

 

К началу страницы

Спуститесь с облаков: безопасность в концепции "программные продукты и интернет-службы"

Описание доклада

Докладчик

"Программные продукты и интернет-службы" (S+S) — это быстро развивающийся подход, ориентированный на следующее поколение вычислительных систем. Он представляет собой совмещение нескольких явлений в отрасли, включая SaaS, сервисно ориентированную архитектуру (SOA) и Web 2.0. В концепции "программные продукты и интернет-службы" эти подходы совмещаются для получения лучших качеств служб на основе облачных вычислений и программного обеспечения, которое размещается на устройствах. Функциональность локального клиента и/или локального программного обеспечения вместе с охватом и постоянной актуальностью служб в облаке обеспечивают более значительную гибкость, чем предложения, основанные только на программном обеспечении или только на службах. В данной презентации рассматриваются как проблемы, так и преимущества разработки и использования надежных систем из программных продуктов и интернет-служб. Кроме того, в ней сравниваются и противопоставляются системы безопасности, разработанные с использованием традиционных и улучшенных методов. Данный доклад окажется полезным для предприятий и потребителей, склоняющихся к использованию новой модели вычислений, так как закладывает основы оценки рисков и преимуществ безопасности в концепции "программные продукты и интернет-службы".

Джон Волтон (John Walton)
главный руководитель программы обеспечения безопасности, корпорация Microsoft

Online Services Security Leadership Team (OSSLT) представляет собой группу, состоящую из специалистов-экспертов по безопасности из разных отделов корпорации Microsoft и занимающуюся решением проблем безопасности веб-служб. Эта группа разрабатывает и распространяет лучшие решения, средства, процессы, шаблоны по организации системы безопасности, а также информацию о новых направлениях атак и уязвимостях. Группа OSSLT была сформирована для оказания стратегического влияния на реализацию корпорацией Microsoft систем безопасности для концепции "программные продукты и интернет-службы". Джон Волтон занимает должность главного руководителя программы обеспечения безопасности в корпорации Microsoft, где он управляет группой проектирования систем безопасности, ответственной за обеспечение и стимуляцию безопасной разработки защищенных веб-служб корпорации Microsoft. Он и его группа создали группу Online Services Security Leadership Team (OSSLT) для пропаганды и совместного использования лучших решений по организации системы безопасности в обширном сообществе, связанном с веб-службам, в корпорации Microsoft. В обязанности его группы входит исследование систем безопасности, моделирование угроз, аудит кода, разработка средств и тестирование на проникновение программных продуктов и интернет-служб, разрабатываемых и размещаемых корпорацией Microsoft для предприятий.

 

К началу страницы

Создание облачных вычислений: как избежать неприятностей при переходе с локального размещения к службам

Описание доклада

Докладчик

По мере того как все больше и больше традиционных программных проектов переносится на облачные вычисления и предоставляется в качестве служб, компаниям необходимо знать, что использованные ранее механизмы безопасности не достаточны для того, чтобы устранить более широкий спектр атак из Интернета и удовлетворить более высокие требования клиентов в службах, основанных на облачных вычислениях. Мы затронем некоторые необычные аспекты создания корпоративных служб на основе облаков и обеспечения доверия, которое поможет обеспечить безопасность поставщика услуг облачных вычислений и избежать лавины непредвиденных проблем.

Роберт Флай (Robert Fly)
директор по обеспечению безопасности продуктов, salesforce.com

Роберт Флай возглавляет группу обеспечения безопасности продуктов, сайт которой расположен по адресу salesforce.com. Среди прочего его группа занимается совершенствованием жизненного цикла разработки систем безопасности, чем обеспечивается самое пристальное внимание к безопасности данных клиента. Благодаря стандартам, средствам, автоматизации и контрольным точкам безопасности группе salesforce.com удалось создать и поддерживать в активном состоянии программу, сохраняющую отношения доверия с нашими клиентами.

Перед созданием группы salesforce.com Роберт провел восемь лет в корпорации Microsoft и в последнее время руководил группой безопасности программного обеспечения, которая известна как Microsoft Online Services. Перед этим он работал в группе безопасности пакета Office, участвуя в создании систем безопасности Outlook и SharePoint. Он также является соавтором книги Open Source Fuzzing, учредителем альянса Cloud Security Alliance, обладателем сертификата CISSP и подал несколько заявок на получение патентов в области безопасности и тестирования программного обеспечения.

 

К началу страницы

Вы используете то же облако, что и ваш враг

Описание доклада

Докладчик

Благодаря избытку предложений, связанных с "облачными" службами, предоставление всех вычислительных ресурсов практически любому человеку с (украденной) кредитной картой кажется ошеломительным. В данной презентации не рассматриваются юридические и нормативные аспекты применения облачных служб, давайте оставим их аудиторам с их контрольными списками. В этой презентации рассматриваются следующие темы:

• Обзор влияния "стека безопасности" облака на уязвимость системы безопасности.
• Демонстрация того, как хорошо известные направления атаки могут оказывать разрушительное влияние на платформы облачных вычислений и использующих их клиентов.
• Обзор обнаруженных уязвимостей, с которыми столкнулись популярные поставщики услуг облачных вычислений.
• Новые направления атаки, нацеленные на используемые поставщиками услуг облачных вычислений бизнес-модели, которые могут вызывать постоянные непреодолимые нарушения без изменения бизнес моделей поставщиков.

Цель этой презентации заключается в организации дискуссии среди участников технологического сообщества с надеждой, что она приведет к повсеместному осознанию вносимых в системы безопасности изменений, которые могут повлиять на платформы облачных вычислений и их клиентов в самом скором времени.

Билли Риос (Billy Rios)
инженер по вопросам безопасности, корпорация Microsoft

В настоящее время Билли Риос занимает пост инженер по вопросам безопасности в корпорации Microsoft и работает в группе Business Online Services Group. До этого Билли занимался тестированием на проникновение для компаний VeriSign и Ernst and Young. В качестве тестировщика Билли множество раз нанимали организации из списка Fortune 500 для оценки эффективности средств обеспечения безопасности этих организаций. Билли зарабатывал на жизнь тем, что оказывался умнее групп безопасности, обходил меры безопасности и демонстрировал руководителям и сотрудникам организаций, отвечающим за принятие решений, риски для бизнеса от наличия уязвимостей в системе безопасности. До участия в тестировании на проникновение Билли работал в качестве аналитика целостности и безопасности информации в агентстве Defense Information Systems Agency (DISA). Во время работы в DISA Билли помогал организовывать безопасность информационных систем Министерства обороны США, занимаясь обнаружением вторжений в сеть, анализом уязвимостей, обработкой инцидентов и составлением формальных отчетов о связанных с безопасностью событиях, в которые были вовлечены информационные системы Министерства обороны США. До занятий атакой и защитой информационных систем Билли находился на действительной службе в качестве офицера корпуса морской пехоты США. Билли выступал на множестве конференций, посвященных безопасности, включая: Black Hat Briefings, BlueHat, RSA, Hack in the Box и PACSEC. Билли получил степень бакалавра по деловому администрированию, степень магистра наук по информационным системам, а в данный момент готовится к получению степени магистра по деловому администрированию.

Натан Макфетерс (Nathan McFeters)
старший советник по вопросам безопасности, компания Ernst and Young

Натан Макфетерс занимает должность старшего советника по вопросам безопасности в центре Advanced Security Center компании Ernst & Young, расположенном в г. Хьюстон штата Техас. Он участвовал в проектах, связанных с веб-приложениями, созданием обширных пакетов исходного кода, Интернетом, интрасетями, беспроводной связью, подключениями удаленного доступа и социотехникой, для нескольких клиентов из списка Fortune 500 во время сотрудничества с Ernst & Young, работал в качестве менеджера по внедрению решений для крупнейшего клиента компании ASC и только за этот год под его руководством был выполнен обзор сотен веб-приложений.

Перед началом сотрудничества с компанией Ernst & Young Натан получил степень бакалавра и магистра в университете Western Michigan University, проводя консультации для учрежденной вместе с Брайаном Глоденом (из Arxan) компании Solstice Network Securities, ориентированной на предоставление высококачественных консалтинговых услуг клиентам в Западном Мичигане.

В Университете Западного Мичигана Натан получил степень бакалавра по теории вычислительных машин и анализу и степень магистра наук по теории вычислительных машин с углубленным изучением компьютерной безопасности.

 

К началу страницы

Повышение автономности программного обеспечения

Описание доклада

Докладчик

Мы описываем свой опыт по работе с системой, предназначенной для выбора из большого набора образцов оптимальных кандидатов на начальное значение для нечеткого тестирования программного обеспечения с минимальными начальными затратами. Основанная на логическом выводе модель тестирования показала отличные результаты при определении уязвимостей в программном обеспечения, отвечающем за анализ высокоструктурированных входных данных; мы рассказываем, как добиться сравнимых результатов без требуемой грамматики и по гораздо меньшей цене. Наша методика основана на применении к набору образцов минимизации покрытия множества в сочетании с основанной на обратной связи мутации, вызываемой с помощью новой методики, которую мы назвали профилированием по вложенным инструкциям. Мы продемонстрируем использование данной методики для поиска нескольких уязвимостей в операционной системе Windows.

(Название основано на наблюдении, что основная исследовательская работа по такому тестированию заключается в придании ему дополнительной интеллектуальности и в получении дополнительных данных о протоколе и цели, на которые выполняется атака. Мы возражаем, что это неправильно, и демонстрируем, как программное обеспечение можно сделать "автономнее" в общем смысле, что, по существу, делает даже простое тестирование таким же эффективным, как и более дорогие его варианты [в контексте усилий, затрачиваемых на разработку].)

Тевис Орманди (Tavis Ormandy)
инженер по вопросам безопасности, компания Google

Тевис Орманди занимается исследованием систем безопасности UNIX и принимает активное участие в обсуждении безопасности систем с открытым кодом. Как разработчик решений информационной безопасности в группе безопасности компании Google он несет ответственность за обнаружение и анализ уязвимостей и эксплойтов в самом различном программном обеспечении. Его недавние публикации в соавторстве включают книги Exposing Application Internals и Hostile Virtualized Environments.

Нил Мехта (Neel Mehta)
штатный разработчик программного обеспечения, отдел информационной безопасности компании Google

Нил Мехта является исследователем систем безопасности в компании Google и ранее имел опыт в области реконструирования. Большую часть своей карьеры Нил занимался поиском самых различных уязвимостей в сетевом программном обеспечении и оборудовании. Он является соавтором книги The Shellcoder's Handbook, выступал на многих академических и прикладных конференциях по информационной безопасности. Кроме того, Нил много трудился для того, чтобы заработать авторитет в сферах исследования уязвимостей и реконструирования, которые занимают его больше всего. В частности, Нилу нравится проводить аудит программного обеспечения корпорации Microsoft.

 

К началу страницы

Подробности проектирования системы безопасности пакета Office

Описание доклада

Докладчик

Эта презентация состоит из нескольких частей и проводится инженерами из группы безопасности Microsoft Office. В первой части подробно рассматривается распределенная платформа нечеткого тестирования. Во второй части подробно рассматривается разработка средств защиты от атак на базе нечеткого тестирования для готовящегося к выходу выпуска Office (Office 2010).

Исследователи систем безопасности и эксплойты "нулевого дня" продолжают находить ошибки в продуктах корпорации Microsoft. Что мы делаем для защиты продуктов? На прошлогодней конференции Blue Hat было показано, что при увеличении числа итераций тестирования вероятность обнаружения ошибок возрастает. В настоящее время для начала поставки продукта SDL требует отсутствия ошибок при полумиллионе итераций. Это кажется разумным и выполнимым решением, но как быть в случае, когда ваше приложение анализирует более 200 форматов? Пришло время воспользоваться для завершения работы ресурсами бот-сети — выполнить команды нечеткого тестирования и настроить серверы для делегирования работы программам-роботам.

В данной презентации рассматривается платформа, созданная группой Office для эффективного нечеткого тестирования средств синтаксического анализа файлов любых форматов. Эту платформу может использовать любая внутренняя группа, осуществляющая синтаксический анализ входных файлов, и значительно снизить объем ресурсов, затрачиваемых на нечеткое тестирование. Сама по себе платформа не является средством нечеткого тестирования. Поэтому изменять используемые средства нечеткого тестирования не требуется. Вместо этого она обеспечивает подключение и запуск существующих средств нечеткого тестирования в распределенном режиме. Группа Office использует эту систему для выполнения миллионов итераций в день без приобретения дополнительного оборудования. Для выполнения нечеткого тестирования в нерабочее время группа Office соединила настольные и лабораторные компьютеры в бот-сеть. В данной презентации описаны и другие трудности, которые распределенная платформа нечеткого тестирования позволяет устранить, к ним относятся управление централизованным выполнением, повторяющееся планирование заданий, поиск повторяющихся данных на компьютерах и в запущенных экземплярах, автоматизированное прохождение регрессии и автоматизированное заполнение отчетов об ошибках.

Даже при использовании миллионов итераций и рекомендаций Security Development Lifecycle (SDL) некоторые ошибки пропускаются. Группа безопасности Office разработала набор многоуровневых защитных средств в дополнение к самим средствам синтаксического анализа. В данной презентации также рассматриваются два из этих уровней. Первый уровень — привратник — позволяет проверить, должны ли данные загружаться целевым приложением. Архитектура привратника допускает его использование другими приложениями и позволяет задавать дополнительные двоичные форматы. Второй уровень задействует уровни целостности Windows и называется защищенным просмотром. Даже если вредоносный код запустится в защищенном представлении, предполагается, что он не сможет внести изменения на хост-компьютере. В презентации демонстрируется, как недавние случаи MSRC устраняются при помощи привратника и защищенного просмотра.

Том Галахер (Tom Gallagher)
старший руководитель тестирования систем безопасности, корпорация Microsoft

Том Галахер с ранних лет интересовался как физической, так и компьютерной безопасностью. В настоящее время он занимает руководящую должность в группе Microsoft Office Security Test. В издательстве Microsoft Press Том выпустил в соавторстве книгу Hunting Security Bugs, презентацию которой затем провел на конференциях Open Web Application Security Project (OWASP) в Сиэтле, Black Hat и TechEd.

Дейв Когер (Dave Conger)
специалист по тестированию программного обеспечения (SDET II), корпорация Microsoft

Девид Когер поступил на работу в корпорацию Microsoft в 2005 году после окончания университета University of Puget Sound. Он занимает должность инженера по разработке программного обеспечения во второй фазе тестирования в группе Microsoft Access и разработал распределенную платформу нечеткого тестирования для более эффективного использования ресурсов группы при проведении нечеткого тестирования.

 

К началу страницы

Преобразование символов: поиск скрытых уязвимостей

Описание доклада

Докладчик

Веб-приложения подвергаются опасности каждый день, поскольку злоумышленники находят новые направления для проведения атак с использованием межсайтовых сценариев. В этом докладе рассматривается, как скрытая обработка символов и строк может преобразовывать правильные входные данные вo вредоносные выходные данные. Многие платформы приложений, например Microsoft .NET и ICU, допускают выполнение таких операций без ведома разработчика. Будут рассматриваться преобразования строк с помощью оптимально настроенных сопоставлений, операций с регистрами, нормализации, чрезмерного потребления и других средств, также будут рассматриваться подходящие для тестирования входные данные. Кроме того, планируется выпуск средства для тестирования.

Также будет описано текущее состояние атак, основанных на подделке отображаемых сведений. В Интернете наиболее распространены фишинговые атаки, а качественно созданные URL-адреса могут увеличить шанс успешной атаки. Очень полезно ознакомиться с демонстрациями того, насколько уязвимыми остаются современные браузеры к атакам, основанным на подделке отображаемых сведений.

Крис Вебер (Chris Weber)
соучредитель компании Casaba Security

Крис Вебер является соучредителем компании Casaba Security, в которой он возглавляет разработку продуктов для новых средств, которые облегчают обеспечение защиты, связанной с Юникодом и веб-приложениями. В течение нескольких лет он занимался тестированием безопасности программного обеспечения для компаний, являющихся мировыми лидерами в области разработки программного обеспечения, а также для крупнейших интернет-компаний. Крис написал несколько книг и статей о безопасности и провел несколько презентаций, а также регулярно выступает на отраслевых конференциях. Он работал исследователем систем безопасности и давал консультации более десяти лет, за которые обнаружил сотни уязвимостей во многих широко используемых продуктах.

 

К началу страницы