ІнфоТеКС Академія запускає конкурс «Прозора безпека»

    «ІнфоТеКС Академія» оголошує про запуск конкурсу «Прозора безпека» у рамках формату «Змагання», який спрямований на розробку програмного коду, що здійснює механізм модифікації (repackage) iOS-додатки та статичного контролю коду. Конкурс триватиме до 10 листопада, заявки на участь приймаються вже сьогодні після реєстрації в особистому кабінеті на сайті проекту.
 
 
 За картинку спасибі AdExchanger!
 
Багато хто з нас сьогодні користуються смартфонами і планшетами, адже це так зручно забронювати готель або квиток на літак через додаток, оплатити мобільний, використовувати мобільний онлайн-банкінг або оплачувати каву. До речі про каву! Напевно, багато хто також чули про дослідженні Даніела Вуда (Daniel Wood) вразливостей додатки Starbucks для iOS, згідно з яким імена користувачів клієнтів, адреси електронної пошти, паролі і дані про місцезнаходження стають доступними через спеціальне програмне забезпечення для краш-аналітики в лог-файлах.
 
Скільки ще додатків не очевидним чином зберігає дані та / або обіцяє їх захист, якої фактично не чиниться? Ми пропонуємо розібратися в цьому питанні докладніше в рамках конкурсу.
 
Учасникам конкурсу «Прозора безпека» пропонується як тестових додатків вибирати наступні 5 з магазину додатків Apple:
1) AnywayAnyday
2) RBKMoney
3) ViaProtect
4) AppMe Chat Messenger
5) McAfee Security
 
Далі пропонується розробити програми, що вбудовуються інструкції (hooks), які дозволяють аналізувати параметри функцій і методів від локальних до мережевих, а також перевіряти (підтверджувати / спростовувати) надійність використовуваних механізмів, реалізованих тестовими додатками для захисту даних і сам факт наявності цих механізмів, наприклад, шифрування паролів або зберігання їх у відкритому вигляді.
 
Тестування представлених на конкурс додатків проводиться організатором. За участь у конкурсі передбачається три призових місця, які розподіляються відповідно по найбільшому числу задовольняють умовам задачі критеріїв. Переможці повинні надати вихідні коди, які здатні пройти повторне тестування. Кожне призове місце буде відзначено фінансовою винагородою, максимальний розмір якого становить до 300 000 рублів .
 
 Детальніше з додатковими вимогами, критеріями оцінки та умовами реалізації можна ознайомитися нижче:
 
 Вимоги — додаток повинен реалізовувати функціонал вставки в бінарний виконуваний код ряду «аналізують» інструкцій щодо вибраних методів для кожної програми і покривати найбільшу кількість пристроїв і версій ОС (iOS 4 — iOS 7.0.3), опціонально симулятор. Аналізують інструкції повинні записувати параметри аудируемого методу / функції (див. нижче) в лог-файл, замінювати на тестові (вибираються учасником і описуються в readme), які також зберігаються в лог-файл слідом за оригінальними значеннями; в якості місця розташування лог-файлу рекомендується використовувати каталог документів користувача; також необхідно передбачити можливо експорту лог-файлу з пристрою для аналізу на Desktop. В якості тестових додатків вибираються 5 додатків з магазину додатків Apple (див. нижче).
 
 Умови реалізації — вихідний код, в якому допускається використання сторонніх бібліотек, збирається штатним компілятором IDE (MS Visual Studio, Xcode 4.6 +, GCC 4.8) для кожної ОС. ОС вибирається учасником. Модифіковане додаток запускається на платформі iOS 4 +, Jailbreak. Модифіковане додаток запускається на Jailbreak-пристрої (iPhone / iPad).
 
 Критерії оцінки — учасники надають на конкурс технічний опис і скомпільовані файли. Модифіковане iOS-додаток не повинно використовувати більше 10% ресурсів у порівнянні з оригінальним; утиліта для модифікації iOS-додатки не повинна використовувати більш 500 Мб оперативної пам'яті. Тестування проводиться на стороні Організаторів, результати фіксуються і публікуються в загальному заліку (параметри тестової системи — Win7, Intel Core i7 3Ghz, 8Gb RAM). Оцінка буде проводитися для зазначених версій ОС (iOS 4 +) і для кожного типу пристроїв (iPhone, iPad). В якості результату береться середньозважене значення всіх показників, при цьому мається на увазі найменший використаний об'єм ресурсів, підтримка версій ОС. Оцінка параметрів реалізації кожного з учасників доступна публічно.
 
Методи / функції для аналізу (для кожної програми вибираються застосовувані):
 
1) Методи збереження і завантаження даних / файлів у файли та / або БД (локальні)
2) Методи збереження і завантаження даних в / з бекап-файлів
3) Методи захисту даних (шифрування / розшифрування), наприклад, повідомлень (при відправці і прийомі), взаємодії з захищеної адресною книгою (створення, видалення, зміна запису про контакт), захисту паролів або іншої чутливої ​​інформації
4) Методи передачі повідомлень і отримання інформації про контакт
5) Методи використовувані при виконанні login-активностей (введення логіна, пароля, pin-кодів тощо)
 
Чекаємо Ваших заявок! Сайт — academy.infotecs.ru
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.