14 Мая, 2013

Мой доклад на PHDays 2013

Агиевич Игорь aka Shanker
Выступаю на PHDays на FastTrack с докладом Динамическое детектирование шелл кода в электронных документах. В основу доклада ляжет эта статья , занявшая 3 место по итогам конкурса статей на SecurityLab в 2012 году.

Доклад будет на русском, но слайды я постараюсь сделать на английском.

Конечно, мы не станем толдычить только описанное в статье и расскажем кое-что новое. Предысторией создания метода динамического обнаружения шелл-кода стал опыт Исследования инцидентов собственными силами, о чём мы сделали одноимённый доклад на CC'2011 ( видеозапись нашего выступления ). Активное тестирование описанной технологии началось как раз в начале этого года. За это время мы успели испробовать наш метод (реализованный в виде ПО) на более чем 20 000 файлов разных форматов, открытых разными программами, на разных ОС.

Совсем уж точных данных пока не ведём, но речь идёт о:
  1. Более 20 000 pdf-файлов
  2. Более 10 000 вордовских файлов (doc, docx, rtf)
  3. ПО, которым открывались файлы: MS Word 2003, 2007, Libre Office 4.0, Adobe Reader 9-11, Foxit Reader 3-6, Google Chrome, Yandex.Browser
  4. Работа в ОС WinXP, Windows 7
За это время удалось обнаружить:

  1. Несколько атак на компьютеры фирмы, сотрудники которой принимали участие в тестировании нашего ПО (атаки были через doc-документы, CVE от 2012 года)
  2. Ошибку в Yandex.Browser, приводящую к падению браузера (сообщили разработчикам, в недавно вышедшей новой версии , вроде, пофиксили. Но я ещё не успел проверить)
  3. И ещё много чего. Данных накопилось огромное количество, не всё обработано. Так что ближе к докладу постараемся отрыть что-нибудь вкусненькое и рассказать об этом.
Так что готовьте интересные вопросы по нашему методу, приходите на PHDays и задайте их нам. Будем рады ответить
или введите имя

CAPTCHA
Василий
15 Мая, 2013
Вы клоуны натуральные, фаззинг всем известная методика
0 |
Что-то я не видел Ваших выступлений на конференциях, мистер Всезнайка
0 |
А если серьёзно, фаззинг фаззингу рознь. Попробуйте воспользуйтесь продуктами-фазерами и посмотрите каков результат. Например, beStorm - нагенерит вам 20 000 pdf. И как будете их проверять? Вручную все запускать в надежде упадёт-не упадёт? Да и, вообще, у нас несколько иная задача: своевременно (на сколько возможно) обнаруживать атаки. А обнаружение уязвимостей - это уже как побочный продукт использования нашего ПО
0 |