Digital Security приняла участие в конференциях BlackHat и Defcon

Александр Панасенко 30 Августа 2011 - 23:48

...

С 4 по 9 августа в Лас-Вегасе проходили две крупнейшие в мире конференции по техническим аспектам безопасности BlackHat и Defcon, которые собрали, по некоторым данным, 8500 и 15000 посетителей соответственно. В этом году специалисты Digital Security выступили с презентацией на BlackHat и приняли участие в Defcon CTF, крупнейшем соревновании по захвату флага, где требуются практические навыки по реверс-инжинирингу, эксплуатации, тестам на проникновение и защите от удаленных атак. По результатам соревнования сборная российская команда заняла 4 место, обойдя многих сторожил данного мероприятия, что является достойным результатом для первого раза.

Доклад Александра Полякова о новых угрозах безопасности J2EE движка платформы SAP NetWeaver еще до выступления вызвал большой резонанс в мировой прессе. После самого выступления, которое было высоко оценено слушателями и иностранными коллегами, данная новость была также широко освещена ведущими мировыми изданиями, такими как CIO, PCWORLD, ItProPortal, CbrOnline и многими другими, а также на внутреннем портале компании SAP.

Внимание прессы было уделено новой уязвимости, позволяющей манипулировать HTTP заголовками для обхода аутентификации в WEB-приложениях SAP. Таким образом, например, при посылке запроса HEAD вместо GET на интерфейс одного недокументированного приложения можно было выполнять практически любые действия в системе. Пример, который был продемонстрирован на конференции, показывал, как в системе анонимным запросом создавалась учетная запись с административными привилегиями, что могло быть использовано злоумышленником в дальнейшем для получения любых критичных данных и полного контроля над системой. Другое уязвимое приложение позволяет устроить атаку отказа в обслуживании, перезаписав любой файл в системе.

На данный момент компания SAP закрыла обнаруженную уязвимость только в двух приложениях, но по результатам исследований DSecRG потенциально уязвимы еще более 40 различных приложений SAP, а также приложения, разработанные пользователями. На сегодня не существует патчей, позволяющих защититься от проблемы в целом на уровне архитектуры, таким образом, необходимо анализировать каждый компонент (J2EE application) в отдельности, но Digital Security совместно с SAP работает над этим вопросом.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Мая 2026 - 09:54

macOS iOS Корпорации Средства криптографической защиты информации Постквантовая криптография Apple

Apple выложила код постквантовой криптографии на GitHub

Apple продолжает строить цифровой бункер на случай, если квантовые компьютеры однажды начнут вскрывать современное шифрование. Компания выложила на GitHub исходники corecrypto (своей низкоуровневой криптографической библиотеки) и подробно рассказала, как проверяет защиту iPhone, macOS от будущих квантовых атак.

Вообще вся эта история началась ещё в 2024 году с появления PQ3 в iMessage.

Тогда Apple впервые публично включила постквантовую защиту: мессенджер начал использовать новые алгоритмы не только при старте переписки, но и при регулярном обновлении ключей шифрования.

Корпорация заранее готовится к моменту, когда квантовые машины смогут ломать классическую криптографию быстрее, чем пользователи успеют придумать пароль «12345678».

Теперь Apple пошла дальше и открыла код corecrypto — библиотеки, которая отвечает за шифрование, цифровые подписи, хеширование и генерацию случайных чисел в экосистеме компании. Именно через неё работают Security framework, CryptoKit и CommonCrypto.

В репозитории появились реализации ML-KEM и ML-DSA — двух постквантовых алгоритмов, которые Apple выбрала для своей криптографии. Первый нужен для безопасного обмена ключами шифрования, второй — для цифровых подписей. Оба стандарта утверждены NIST как защита от угроз будущих квантовых компьютеров.

Но самое интересное — не сами алгоритмы, а то, как Apple всё это проверяет.

Компания выдала огромный технический разбор о том, как тестировала код перед публикацией. И судя по описанию, внутри Apple криптографию гоняют так, будто готовят запуск ядерного реактора. Обычных тестов им оказалось мало: пришлось строить собственную систему формальной верификации, потому что существующие инструменты не покрывали все сценарии.

Проблема в том, что corecrypto работает сразу на куче устройств с разными версиями Apple Silicon, а часть кода написана не только на C, но и вручную оптимизирована под ARM64.

В итоге Apple утверждает, что формальная верификация уже помогла найти критические ошибки, которые обычное тестирование не заметило бы. Например, компания обнаружила пропущенный шаг в ранней реализации ML-DSA. В редких случаях это могло приводить к некорректным криптографическим вычислениям без каких-либо предупреждений. Заодно инженеры нашли ошибку даже в стороннем математическом доказательстве и самостоятельно её исправили для своих параметров.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!