Приглашенные докладчики

Michael Hinchey Майкл Джерард Хинчи - ирландский ученый, директор Ирландского исследовательского центра программного обеспечения (Lero) при университете Лимерика (Ирландия), бывший директор Лаборатории по разработке программного обеспечения в Центре космических полётов Годдарда, НАСА и основатель и главный редактор журнала NASA journal Innovations in Systems and Software Engineering.

Построение отказоустойчивых космических систем (Видеозапись доклада)

Andrei Sabelfeld Андрей Сабельфельд - профессор факультета компьютерных наук и инженерии Технического университета Чалмерса (Гётеборг, Швеция) и Гётеборгского университета (Гётеборг, Швеция).

Эффективный поиск уязвимостей без прямого отслеживания полученных извне данных (Видеозапись доклада)

Поиск уязвимостей успешно выполняется различными инструментами по безопасности для отслеживания зависимостей данных в машинном и исходном коде, а так же в аппаратных средствах. Точность отслеживания является основным критерием эффективности инструмента: для того, чтобы быть анализ уязвимостей был практичным, количество ложных срабатываний должно быть не слишком большим. В докладе представлен подход к поиску уязвимостей, который не использует отслеживание данных на протяжении всех вычислений. Вместо этого мы включаем теневые копии переменных в контекст выполнения, так что один прогон программы приводит к вычислениям как на помеченных данных, так и не помеченных. С теоретической точки зрения, мы представляем общую структуру и устанавливаем их обоснованность в отношении явной секретности, политики предотвращения утечки данных и точности, показывая, что прогоны безопасных программ никогда не изменяются. Мы показываем, что метод может быть использован для обнаружения атак без ложных срабатываний. В практическом плане мы представляем инструмент DroidFace, использующий подход преобразований исходного кода, и сравниваем его точность и производительность с современными статическими и динамическими инструментами поиска уязвимостей для Android приложений. Результаты показывают, что снижение производительности оказывается приемлемым, при этом на стандартных тестах не было ложных срабатываний или пропуска ошибок.

Работа выполнена совместно с Daniel Schoepe, Musard Balliu и Frank Piessens.

Sriram Rajamani Шрирам Раджамэни - управляющий директор Microsoft Research India.

Trusted Cloud: как сделать облако более безопасным (Видеозапись доклада)

В современном мире облачные вычисления используются все чаще, поскольку являются выгодными с точки зрения цены и удобства для пользователей. Однако безопасность и конфиденциальность по-прежнему остаются главными проблемами. Мы хотим защититься от мощного противника, который может поставить под угрозу CloudOS и использовать все привилегии CloudOS, чтобы поставить под угрозу целостность и конфиденциальность пользовательских приложений. Безопасное аппаратное обеспечение и/или доверенные гипервизоры являются основным оружием в нашем арсенале защиты. Безопасное аппаратное обеспечение (например, Intel SGX) упаковывает код и данные в виде изолированных регионов, отделяя их от других выполняемых программ. Изолированные регионы могут так же быть реализованы с помощью небольшого доверенного гипервизора. Тем не менее, остается открытым вопрос построения полноценного сервиса облачных вычислений с использованием доверенного безопасного аппаратного обеспечения, который одновременно был бы доверенным, высокопроизводительным, и гарантировал безопасность вычислений конечного пользователя. Проект Trusted Cloud в Microsoft Research занимается исследованиями в этом направлении, и основывается на методах, охватывающих аппаратные средства, операционную систему, компиляторы и инструменты верификации. В докладе будут описаны усилия по проектированию надежных и более безопасных облачных сервисов с использованием этих принципов.