декабрь    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

показать все 

29.11.2024

Сайберус создает новую ИБ-компанию на основе технологий и экспертизы F.A.C.C.T.

Читать далее 

29.11.2024

ГК InfoWatch представила новую версию InfoWatch ARMA Стена (NGFW) 4.4.

Читать далее 

29.11.2024

ARinteg про архиватор ARZip: что изменилось в функционале и интерфейсе?

Читать далее 

29.11.2024

Avanpost представляет бесплатную и промышленную версии службы каталогов Avanpost DS

Читать далее 

29.11.2024

Новая версия «Блокхост-Сеть 4»: решение для импортозамещения

Читать далее 

показать все 

22.11.2024

Тандем технологий – драйвер инноваций.

Читать далее 

21.11.2024

ИИ: маршрут не построен, но уже проектируется

Читать далее 

18.11.2024

Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»

Читать далее 

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

Читать далее 

11.10.2024

Технологический ИИ-арсенал

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

показать все 

Главная / Архив номеров / 2017 / Выпуск №06 (69) / Ершовская конференция. Новые инструменты безопасности

Рубрика: Событие

Ершовская конференция
Новые инструменты безопасности

Ершовская конференция PSI-2017, состоявшаяся в конце июня в главном здании Российской академии наук, по праву считается одним из самых авторитетных ИТ-форумов и традиционно собирает участников со всего мира. Это редкая площадка общения представителей прикладной и фундаментальной науки, специально задуманная для поддержания баланса между теорией и практикой в программировании. В этом году «сквозной» темой конференции, так или иначе присутствовавшей во многих докладах, стал вопрос безопасности программного обеспечения

«Безопасность для нас – краеугольный камень, наряду с эффективностью и продуктивностью программного обеспечения, – говорит Арутюн Аветисян, директор Института системного программирования РАН. – Мы рассматриваем этот вопрос прежде всего с точки зрения современных подходов, анализа кода, позволяющего минимизировать появление уязвимостей в процессе создания ПО и возможность их использования в процессе эксплуатации программ».

Это действительно так. Современный программный код состоит из миллионов строк, проверить которые вручную не под силу уже никому. Между тем даже незначительные ошибки и дефекты могут привести к появлению уязвимостей, позволяющих злоумышленникам получить несанкционированный доступ к информации, копировать ее, модифицировать или уничтожать, получать контроль не только над массивами данных, но и над программным обеспечением, в том числе применяемым на потенциально опасных объектах.

В частности, Майкл Хинчи, директор Ирландского исследовательского центра программного обеспечения при университете Лимерика, отметил, что объектами хакерских атак могут стать авиационная отрасль или системы безопасности крупных предприятий. А развитие интернета вещей делает проблему несанкционированного контроля над ПО бытовых приборов, техники, автомобилей, без преувеличения, жизненно важной.

Можно, конечно, усомниться в том, что такая проблема станет для нас актуальной в ближайшее время. Однако, как подчеркнул Арутюн Аветисян, «мы живем в атмосфере постоянной революции, это вообще особенность отрасли. Новые технологические прорывы происходят практически каждый день. Буквально несколько лет – и объем сетевого трафика от бытовых приборов и роботов превысит объем, создаваемый человеком».

В этой ситуации возникает острая необходимость в инструментах, позволяющих своевременно, еще на этапе проектирования, проводить анализ программного кода, обнаруживать вкравшиеся в него ошибки и дефекты. Хотя бы потому, чтосо временем программы будут становиться все сложнее, а цена ошибки – выше.

Новый инструмент для анализа кода представил на конференции Андрей Сабельфельд, профессор факультета компьютерных наук и инженерии Технического университета Чалмерса и Гетеборгского университета. DroidFace, представляющий альтернативу существующим сегодня статическим и динамическим инструментам поиска уязвимостей для систем на основе Android, позволяет эффективно производить поиск уязвимостей без прямого отслеживания полученных извне данных.

Профессор Сабельфельд утверждает, что этот метод может быть использован для обнаружения атак без ложных срабатываний и пропуска ошибок. Впрочем, он сам же отмечает, что достичь некоего предельного состояния безопасности просто невозможно. «Как только какие-то методы становятся действенными для защиты некоторых уязвимостей, – заметил он, – хакеры начинают искать другие уязвимости».

Солидарен с ним и Майкл Хинчи: «Абсолютную безопасность можно обеспечить только в очень узких рамках строго определенных условий. В общем смысле все возможные кризисные ситуации нам просто не охватить».

В этой связи следует упомянуть доклад старшего научного сотрудника ИСП РАН Андрея Белеванцева, посвященный многоуровневому статическому анализу программного кода. Одной из наиболее действенных современных технологий поиска уязвимостей и ошибок сегодня можно назвать использование систем автоматического поиска дефектов с помощью статического анализа исходного кода программ, которые можно применять на самых ранних этапах разработки, чтоделает исправление дефектов максимально дешевым.

Такие системы промышленного качества обрабатывают объемы информации в миллионы строк кода и анализируют все возможные варианты выполнения программы одновременно. Сегодня эта технология реализована в наборе инструментов статического анализа Svace, который внедрен в ряде промышленных компаний. Его использование для анализа больших объемов кода, таких как полномасштабные ОС Android и Tizen, показало масштабируемость подхода иприемлемое соотношение ложных и истинных срабатываний: от 50% до 80% найденных ошибок оказываются истинными.

Обсуждался и вопрос безопасности облачных технологий. Шрирам Раджамэни, управляющий директор Microsoft Research India, посвятил свой доклад проекту Trusted Cloud, опирающемуся на методы, охватывающие аппаратные средства, операционную систему, компиляторы и инструменты верификации. «В современном мире облачные вычисления используются все чаще, поскольку являются выгодными с точки зрения цены и удобства для пользователей, – отметил он. – Однако безопасность и конфиденциальность по-прежнему остаются главными проблемами. Мы хотим защититься от мощного противника, который может поставить под угрозу CloudOS и использовать возможности этой технологии, чтобы поставить под угрозу целостность и конфиденциальность пользовательских приложений».

Вопрос построения полноценного сервиса облачных вычислений с использованием доверенного безопасного аппаратного обеспечения, который одновременно был бы доверенным, высокопроизводительным и гарантировал безопасность вычислений конечного пользователя, пока остается открытым.

Актуальность темы безопасности переоценить, вне сомнения, сложно. Участники PSI-2017 отмечают ее важность и значимость для решения этого вопроса.

«Я был рад поучаствовать в конференции в качестве приглашенного докладчика, обсудить проблемы безопасности с коллегами и познакомиться с интересными участниками из России и других стран», – сказал Андрей Сабельфельд.

«На конференции было озвучено много интересных идей, в том числе оригинальных мыслей относительно решения вопросов с несанкционированным доступом к программному коду через уязвимости, – констатирует Динес Бьорнер, почетный профессор Технического университета Дании, один из основателей Ершовской конференций. – Это была настоящая встреча больших умов».

«PSI занимает особое место среди российских ИТ-конференций, – подвел итог конференции Андрей Воронков, сопредседатель программного комитета, профессор Университета Манчестера. – Это, наверное, самая большая и старейшая международная конференция по информатике, традиционно проводящаяся в России. Она славится своей прекрасной организацией, традициями, хорошей комбинацией теоретических и практических работ и приглашенных докладчиков, чтопозволяет гордиться почти каждой из этих конференций».

Иван Хлебов

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи