Разработка с KasperskyOS

На Хабре вышла статья «Путешествие туда и обратно за безопасным ELF-парсером» нашего коллеги Максима Жукова, старшего разработчика группы разработки тулчейнов для KasperskyOS. В ней он поднимает важную и часто недооцененную проблему — надежность и безопасность системных компонентов, которые лежат в основе любой операционной системы, но редко попадают в фокус внимания. Один из таких компонентов — парсер ELF-файлов, то есть программа, которая обрабатывает исполняемые файлы в формате ELF (Executable and Linkable Format), используемые во многих UNIX-подобных системах.

Что делает парсер ELF? Он принимает бинарный файл и распаковывает его, чтобы система могла его исполнять, поняв, какие сегменты кода куда загружать, какие библиотеки подключать, какие права задать процессу и т. д. То есть это точка входа для любых исполняемых компонентов в систему.

Если в этой точке что-то пойдет не так — например, парсер будет некорректно интерпретировать структуру ELF-файла или упустит вредоносную вставку — злоумышленник может получить доступ к системе или обойти защиту. А теперь представьте, что вы используете эту систему в промышленности, транспорте или критической инфраструктуре. Уязвимость в парсере — это не просто ошибка, а дверь в вашу систему.

В KasperskyOS такая потенциальная брешь в безопасности неприемлема. Мы создаем системы, которым должны доверять по определению — в том числе и в ситуациях, когда обновление невозможно или непрактично. Это основа нашего кибериммунного подхода, где безопасность зашита в архитектуру.

Максим Жуков рассказывает в статье, как он искал способы сделать парсер ELF-файлов в KasperskyOS максимально надежным и проверяемым.

Спойлер: его проверки были дополнены новыми этапами:

• фаззингом через libFuzzer;
• статическим анализом с PVS-Studio и Svace;
• динамическим анализом с clang-стеком и санитайзерами;
• пентестами;
• продвинутым фаззингом с Melkor;
• unit-тестами с CBMC.

Хоть существующий парсер и остался без радикальных изменений, в основном был добавлен харденинг, в процессе поиска решения мы изучили и проанализировали множество инструментов и подходов.

Если вам интересна безопасная разработка и системное программирование — обязательно загляните в статью «Путешествие туда и обратно за безопасным ELF-парсером»
➡️ https://kas.pr/h3y9

Заинтересованы в участии в онлайн-хакатоне «Лидеры цифровой трансформации»? Хотите глубже погрузиться в задачи?

Делимся записью прямого эфира «Лидеры цифровой трансформации»: марафон вызовов”, где официальные представители постановщиков задач рассказали о том, что ждет участников соревнований.

Это отличный шанс:

• Узнать о задачах из первых уст. Спикеры детально разберут кейсы, над которыми тебе предстоит работать.
• Получить конкурентное преимущество. Эксклюзивные инсайты от экспертов помогут тебе создать более продуманное решение.
• Вдохновиться и сделать первый шаг. Расскажем, как выжать из хакатона максимум.
• Послушать эксклюзивную лекцию от спецгостя — Илья Летунова, предпринимателя, основателя manaraga.ai, экс-руководителя Mail.ru — честно про AI и внедрение AI-решений.

Готовы принять вызов?
Регистрируйся до 18 сентября на сайте проекта https://clck.ru/3NcAzE

Именно так звучит задача от бизнеса № 1 на онлайн-хакатоне «Лидеры цифровой трансформации».

Автономные устройства уже летают, ездят и убирают рядом с нами. Ваше решение поможет сделать их безопасными, надёжными и устойчивыми — так, чтобы роботы помогали людям и не становились источником опасности.

Призовой фонд задачи

• 1 место — 1 000 000 ₽
• 2 место — 600 000 ₽
• 3 место — 400 000 ₽

Что нужно сделать:

Разработать и протестировать систему автопилота для робота с учётом устойчивости к кибератакам и физическим угрозам. А конкретно:

• интегрировать физическую модель робота
• запустить его по трассе, имитирующей реальный мир
• обеспечить выполнение задачи (например, уборки) без сбоев, даже при попытках злоумышленников нарушить работу

Чувствуете, что эти задачи вам по силам?
Регистрируйтесь для участия по ссылке https://clck.ru/3NcAzE