Москва, Россия
27.06 - 29.06, 2017

Vinaora Nivo Slider 3.xVinaora Nivo Slider 3.xVinaora Nivo Slider 3.xVinaora Nivo Slider 3.x

Организаторы

ИСП РАН

Высшая школа экономики

Институт систем информатики им. А.П. Ершова СО РАН

Новосибирский государственный университет

При поддержке

Российская академия наук

ФАНО

РФФИ


Контакты

E-mail: psiconf2017@gmail.com

Приглашенные докладчики

Michael Hinchey Майкл Джерард Хинчи - ирландский ученый, директор Ирландского исследовательского центра программного обеспечения (Lero) при университете Лимерика (Ирландия), бывший директор Лаборатории по разработке программного обеспечения в Центре космических полётов Годдарда, НАСА и основатель и главный редактор журнала NASA journal Innovations in Systems and Software Engineering.

Построение отказоустойчивых космических систем


Andrei Sabelfeld Андрей Сабельфельд - профессор факультета компьютерных наук и инженерии Технического университета Чалмерса (Гётеборг, Швеция) и Гётеборгского университета (Гётеборг, Швеция).

Эффективный поиск уязвимостей без прямого отслеживания полученных извне данных

Поиск уязвимостей успешно выполняется различными инструментами по безопасности для отслеживания зависимостей данных в машинном и исходном коде, а так же в аппаратных средствах. Точность отслеживания является основным критерием эффективности инструмента: для того, чтобы быть анализ уязвимостей был практичным, количество ложных срабатываний должно быть не слишком большим. В докладе представлен подход к поиску уязвимостей, который не использует отслеживание данных на протяжении всех вычислений. Вместо этого мы включаем теневые копии переменных в контекст выполнения, так что один прогон программы приводит к вычислениям как на помеченных данных, так и не помеченных. С теоретической точки зрения, мы представляем общую структуру и устанавливаем их обоснованность в отношении явной секретности, политики предотвращения утечки данных и точности, показывая, что прогоны безопасных программ никогда не изменяются. Мы показываем, что метод может быть использован для обнаружения атак без ложных срабатываний. В практическом плане мы представляем инструмент DroidFace, использующий подход преобразований исходного кода, и сравниваем его точность и производительность с современными статическими и динамическими инструментами поиска уязвимостей для Android приложений. Результаты показывают, что снижение производительности оказывается приемлемым, при этом на стандартных тестах не было ложных срабатываний или пропуска ошибок.

Работа выполнена совместно с Daniel Schoepe, Musard Balliu и Frank Piessens.


Sriram RajamaniШрирам Раджамэни - управляющий директор Microsoft Research India.

Trusted Cloud: как сделать облако более безопасным

В современном мире облачные вычисления используются все чаще, поскольку являются выгодными с точки зрения цены и удобства для пользователей. Однако безопасность и конфиденциальность по-прежнему остаются главными проблемами. Мы хотим защититься от мощного противника, который может поставить под угрозу CloudOS и использовать все привилегии CloudOS, чтобы поставить под угрозу целостность и конфиденциальность пользовательских приложений. Безопасное аппаратное обеспечение и/или доверенные гипервизоры являются основным оружием в нашем арсенале защиты. Безопасное аппаратное обеспечение (например, Intel SGX) упаковывает код и данные в виде изолированных регионов, отделяя их от других выполняемых программ. Изолированные регионы могут так же быть реализованы с помощью небольшого доверенного гипервизора. Тем не менее, остается открытым вопрос построения полноценного сервиса облачных вычислений с использованием доверенного безопасного аппаратного обеспечения, который одновременно был бы доверенным, высокопроизводительным, и гарантировал безопасность вычислений конечного пользователя. Проект Trusted Cloud в Microsoft Research занимается исследованиями в этом направлении, и основывается на методах, охватывающих аппаратные средства, операционную систему, компиляторы и инструменты верификации. В докладе будут описаны усилия по проектированию надежных и более безопасных облачных сервисов с использованием этих принципов.