В прошивке Boeing 787 обнаружена серия уязвимостей

В прошивке Boeing 787 обнаружена серия уязвимостей

Исследователи компании IOActive, специализирующейся на кибербезопасности, нашли серию уязвимостей в прошивке пассажирского самолета Boeing 787 Dreamliner. Напомним, что саму прошивку раскрыли в прошлом году общедоступные серверы Boeing, что позволило экспертам проанализировать ее.

Стоит отметить, что сами бреши были обнаружены после анализа публично доступной информации и обратного инжиниринга прошивки самолета. При этом анализ проводился на несертифицированной платформе, а тестирование эксплуатации уязвимостей в реальных условиях никто не проводил.

Аппаратно-программная платформа Common Core System (CCS), которой оснащен Boeing 787 Dreamliner, разработана для обеспечения связи, вычислений и возможностей ввода-вывода (I/O). С другой стороны, есть виртуальная система, гарантирующая, что функции изолированы друг от друга.

Как объясняют специалисты IOActive, даже если возникнет ошибка функций или ресурсов платформы, процессы не должны мешать друг другу.

В ходе анализа исследователи обнаружили сотни отсылок к небезопасным вызовам функций в кастомной части имплементации ядра CIS VxWorks. Помимо этого, специалисты нашли дополнительные уязвимые паттерны, среди которых было и переполнение буфера, и DoS, и чтение-запись за пределами границ.

В отчете компании утверждается, что исследователи связались с представителями Boeing по поводу уязвимостей, и те подтвердили их наличие.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Positive Technologies открыла платформу для задач по обратной разработке

Ранее задачи по обратной разработке (reverse engineering) решались в рамках PHDays, знаменитой конференции для специалистов в области кибербезопасности. Однако теперь Positive Technologies представляет перерождение данного формата — онлайн-платформу для решения задач по обратному инжинирингу в любое время.

Проект получил имя Reverse Every Day, польза от него будет очевидна как для новичков, делающих первые шаги в реверс-инжиниринге, так и для профессионалов с хорошей базой, которые зарабатывают себе этим на жизнь.

Курировать запуск проекта будет Дмитрий Скляров, возглавляющий отдел анализа приложений в Positive Technologies, а также доцент кафедры информационной безопасности МГТУ. Напомним, что Дмитрий написал книгу «Искусство защиты и взлома информации».

Помимо Дмитрия, к курированию подключится Георгий Кигурадзе, специалист отдела анализа приложений Positive Technologies, уже успевший наполнить платформу десятью интересными задачами.

«Когда у меня дома появился компьютер, и я понял, что reverse engineering меня очень интересует, я стал искать способ прокачаться в этой области. Хорошо учиться, когда есть детально проработанный учебный курс, выверенная годами методика, доступны учебные пособия и рядом преподаватель, который помогает постигать науку. Но у меня не было ничего из этого. Потом появились всевозможные CTF и офлайн-конкурсы на конференции. Теперь у меня возникла идея сделать ресурс с задачами на реверс, который будет активен не пару недель перед PHDays и не полтора месяца в году, как, скажем, flareon.com, а непрерывно», — объясняет Скляров.

Если у вас уже есть идеи по новым задачам, пишите на [email protected]. Также присоединяйтесь к миру обратной разработки на reverseveryday.com.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru