Это какая-то странная карьера и странные требования.
Про криптографию ни слова. Везде сплошной web и системная, прости господи, администрация. Английский в требованиях — только и seniors (а должен быть у выпускника средней школы).Про самостоятельный поиск уязвимостей без сканеров написанных кем-то другим — ни единого слова.
Ни IDA, ни отладчиков, ни систем анализа исходного кода нет (даже про клокворк ни слова).
Про ассемблер — ни слова. Про embedded и прочий IOT — опять ни слова. SDL нет.
Разработка собственных методик/утилит — только на уровне senior(а должен быть junior).
Судя по презентации — очень слабая обзорная лекция, не представляющая ни собственного исследования ни собственной работы.
Не проанализирована «attack surface», часть известных, но концпептуальных взломов не упомянута. Удаленный перехват управления через uconnect был не первый.
Короче, стандартная ИБшная презентация в стиле «давайте напугаем глупого юзверя». Подход разделения сетей, межсетевых экранов для CAN и анализа CAN-траффика не упомянут вовсе — проще самому рассказать чем выискивать что пропустили.
Там (во всех этих исследованиях обфускации) фантастическая дыра в подходе. Обфускация работает против обратной инженерии человеком (теорему Райса еще никто не отменял, и несмотря на то, что современные компьютеры — ни разу не машины Тюринга других средств оценки качества анализа программ с точки зрения сложности у нас все равно нет). Человек из исследуемой картины выкинут, причем исключительно потому, что для реверсера нельзя составить качественную модель.
Там много кто не платит.
Плюс ко всему этих деятелей можно понять — согласно текущим поправкам к DMCA (которые затребовала EFF, спасибо им за это) реверсинг автомобильного ПО все еще нелегален (будет легален ближе к концу этого года) — соответственно засудить они могут легко. Ближе к концу года они все запрыгают и начнут предлагать деньги, потому что легальных возможностей засудить будет существенно меньше.
crackme (от английского crack me) — это маленькая программа, защищенная с помощью вашего пакета, как правило в виде «введите правильный пароль» с проверкой.
Очень полезная штука для тех, кто хочет проверить насколько хорошо ваш пакет на самом деле защищает и сравнить с другими решениями.
Предоставление такой программы позволяет избежать ошибок в использовании в процессе эвалуации.
Конечно надо, только у метода столько недостатков, что его практическое использование практически невозможно вообразить, что собственно и имелось в виду.
А искать конечно будут. Только без ордера у них будет на порядок меньше возможностей.
1 — Большая часть используемой информации недоступна в стрипнутом бинарнике
2 — Даже оптимизация (обычный -О3) снижает точность аттрибуции на 20%
3 — Хорошая обфускация не исследована вовсе
4 — Все исследования производились на коде, который явно писал только один программист (а не группа)
5 — Слабая точность не позволяет использовать результаты в суде
Короче говоря, много шума из ничего, обычное современное «давайте засунем в рандом форест че найдем и посмотрим на результаты которые хоть чуть чуть лучше случайных», что и дает, как и любой матметод, результат по принципу garbage in — garbage out.
Да никто строго говоря не мешает.
Значит надо производить свои хард диски или их аналоги и сертифицировать их, только и всего.
Ну или не кидать понты про сертификацию, что тоже вариант, но менее интересный.
На самом деле лиха беда начало, авось что путное из этого и вырастет.
Извините, я не подвергаю сомнению качество этого изделия.
Мне просто хотелось бы знать как оно было сертифицировано.
И какой именно жесткий диск там стоит.
В свете вышеуказанной презентации (они там еще Сноудена цитируют) — самое то место для закладок, причем, если верить Сноудену, точно известно что они начали появлятся с 2008 года.
Это из за того, что здесь рекламный хаб или вам английские слова перевести?
Про криптографию ни слова. Везде сплошной web и системная, прости господи, администрация. Английский в требованиях — только и seniors (а должен быть у выпускника средней школы).Про самостоятельный поиск уязвимостей без сканеров написанных кем-то другим — ни единого слова.
Ни IDA, ни отладчиков, ни систем анализа исходного кода нет (даже про клокворк ни слова).
Про ассемблер — ни слова. Про embedded и прочий IOT — опять ни слова. SDL нет.
Разработка собственных методик/утилит — только на уровне senior(а должен быть junior).
Короче, эти вряд ли научат чему то полезному.
Не проанализирована «attack surface», часть известных, но концпептуальных взломов не упомянута. Удаленный перехват управления через uconnect был не первый.
Короче, стандартная ИБшная презентация в стиле «давайте напугаем глупого юзверя». Подход разделения сетей, межсетевых экранов для CAN и анализа CAN-траффика не упомянут вовсе — проще самому рассказать чем выискивать что пропустили.
Плюс ко всему этих деятелей можно понять — согласно текущим поправкам к DMCA (которые затребовала EFF, спасибо им за это) реверсинг автомобильного ПО все еще нелегален (будет легален ближе к концу этого года) — соответственно засудить они могут легко. Ближе к концу года они все запрыгают и начнут предлагать деньги, потому что легальных возможностей засудить будет существенно меньше.
Очень полезная штука для тех, кто хочет проверить насколько хорошо ваш пакет на самом деле защищает и сравнить с другими решениями.
Предоставление такой программы позволяет избежать ошибок в использовании в процессе эвалуации.
Просто так, на посмотреть?
А то захочет кто нибудь вас сравнить например, с Arxan или OLLVM…
А искать конечно будут. Только без ордера у них будет на порядок меньше возможностей.
1 — Большая часть используемой информации недоступна в стрипнутом бинарнике
2 — Даже оптимизация (обычный -О3) снижает точность аттрибуции на 20%
3 — Хорошая обфускация не исследована вовсе
4 — Все исследования производились на коде, который явно писал только один программист (а не группа)
5 — Слабая точность не позволяет использовать результаты в суде
Короче говоря, много шума из ничего, обычное современное «давайте засунем в рандом форест че найдем и посмотрим на результаты которые хоть чуть чуть лучше случайных», что и дает, как и любой матметод, результат по принципу garbage in — garbage out.
Разобраться какая ОС оредставлена в файловой системе и какая партиция там загрузочная очень просто.
Значит надо производить свои хард диски или их аналоги и сертифицировать их, только и всего.
Ну или не кидать понты про сертификацию, что тоже вариант, но менее интересный.
На самом деле лиха беда начало, авось что путное из этого и вырастет.
Мне просто хотелось бы знать как оно было сертифицировано.
И какой именно жесткий диск там стоит.
В свете вышеуказанной презентации (они там еще Сноудена цитируют) — самое то место для закладок, причем, если верить Сноудену, точно известно что они начали появлятся с 2008 года.
гляньте вот сюда например, s3.eurecom.fr/~zaddach/docs/Recon14_HDD.pdf
с видеокартой и жестким диском нет.
Если вы дадите ссылку буду вам очень признателен.