Многие уверены, что децентрализованные финансы (DeFi) могут обеспечить сокращение числа посредников и обладают значительным инновационным потенциалом, однако DeFi также присущ ряд уязвимостей, некоторые из которых характерны для технологии распределенного реестра. Автор настоящей статьи полагает возможным разделить уязвимости и риски, связанные с DeFi, на шесть основных категорий. ...

Изложено общее введение в проблематику и методические основы информационной безопасности и защиты информации, представлен ряд лабораторных работ, направленных на развитие практических навыков применения методов и средств анализа и обеспечения безопасности информации при использовании компьютерных технологий. Предназначено для студентов высших учебных заведений, обучающихся по направлениям и специальностям в области информационных технологий. Отдельные темы могут быть полезны ...

The study is devoted to assessing the effectiveness of measures to reduce cyber risks in 5G networks. The key vulnerabilities and threats arising from the development of artificial intelligence technologies, big data analysis, the Internet of Things and robotics are considered. The architecture of 5G networks is analyzed, the main cybersecurity threats are identified and ...

Security analysis is the one of definitely expedient milestones in the application lifecycle. The process of security analysis should be applied to every program component in the information system, which needs to access sensitive data, particularly to mobile applications. This paper presents a practical step-by-step approach to evaluation of mobile application security and systematization of ...

В процессе исследования защищенности программы по требованиям информационной безопасности представляется целесообразным использование статического анализа бинарного образа программы. Важным этапом статического бинарного анализа является задача разбиения бинарного образа на подпрограммы. Распространенный алгоритм решения данной задачи опирается на определение стартовых адресов подпрограмм, начинающихся с определенной последовательности инструкций машинного кода, и последующего обхода потока управления в глубину от ...

Authentication system is an important component of applications in terms of information security. Certain vulnerabilities in authentication systems can be detected automatically by static or dynamic code analysis. This article considers the problem of automatic authentication security assessment based on code analysis and some application properties. ...

Математический аппарат абстрактной интерпретации предоставляет универсальный способ формализации и изучения алгоритмов анализа программ для самого широкого спектра прикладных задач. Однако его применение для практически значимых задач анализа бинарного кода связано с большим числом вызовов, как научных, так и инженерных. В настоящей работе предложены подходы к преодолению части этих трудностей. Описано промежуточное представление, учитывающее особенности бинарного ...

The paper describes a static analysis for finding defects and computing metrics for programs written in the Kotlin language. The analysis is implemented in the Svace static analyzer developed at ISP RAS. The paper focuses on the problems we met during implementation, the approaches we used to solve them, and the experimental results for the ...

В последние десятилетия переполнение буфера остаётся одним из главных источников программных ошибок и эксплуатируемых уязвимостей. Среди прочих подходов к устранению подобных дефектов активное развитие получили различные методы статического анализа. В работе рассматриваются основные подходы и инструменты, используемые для решения этой задачи, с целью выявить наиболее популярные методы и типы обнаруживаемых ошибок. Также исследованы наборы синтетических ...

В работе описывается внутрипроцедурный анализ отдельных функций, использующийся в инструменте статического поиска ошибок Svace. Отличительные особенности анализа: анализ по графу потока управления, символьное выполнение с объединением состояний анализа в точках слияния путей, анализ только части путей в функциях с циклами, одновременный запуск всех анализаторов, моделирование достижимых ячеек памяти, нумерация значений переменных. ...

В работе рассматриваются полученные недавно результаты на пути к полномасштабной верификации промышленно используемых операционных систем (ОС). Таковыми считаются не системы, разработанные в целях демонстрации определенной исследовательской идеи, а ОС, активно используемые в каких-то областях экономики и управленческой деятельности и развиваемые на протяжении значительного времени. Предлагается декомпозиция заявленной цели верификации промышленной ОС в целом на задачи ...

In this paper, we propose a heuristic approach to static analysis of Android applications based on matching suspicious applications with the predefined malware models. Static models are built from Android capabilities and Android Framework API call chains used by the application. All of the analysis steps and model construction are fully automated. Therefore, the method can ...

Approaches for code execution using program vulnerabilities are considered in this paper. Particularly, ways of code execution using buffer overflow on stack and on heap, using use-after-free vulnerabilities and format string vulnerabilities are examined in section 2. Methods for automatic generation input data, leading to code execution are described in section 3. This methods are ...

В данной работе рассматриваются проблемы верификации и анализа сложных операционных систем с учетом их вариабельности, или наличия большого количества разнообразных конфигураций. Исследуются методы, позволяющие преодолеть эти проблемы, проводится их обзор и классификация. Выделены классы методов, использующих для анализа инструменты, не учитывающие вариабельность, и выборки вариантов системы и методов, использующих специализированные инструменты, учитывающие вариабельность. Как наиболее ...

High complexity of present-day programs makes it nigh impossible to write a program without a defect. Thus it is increasingly necessary to use tools for defects detection. This article presents Svace, a tool for static program analysis developed in ISP RAS. This instrument allows to automatically find defects and potential vulnerabilities in programs written in ...

In this paper the method of the automated analysis of header files intended for support of the standardization process LSB is described. The offered approach is based on use of the high-level representations of the preprocessor cpp and the compiler gcc, their extensions and additional analyzers. The basic stages of tool’s work implementing the offered ...