Использование двунаправленного переопределения символов для нечеткого кода. [Исследовательская суббота]

Приглашенные гости Николас Бушер и Росс Андерсон из Кембриджского университета присоединяются к Дэвиду Биттнеру, чтобы обсудить их исследование под названием "Trojan Source: невидимые уязвимости". Исследователи представляют новый тип атаки, при которой исходный код злонамеренно кодируется так, что он выглядит по-разному для компилятора и для человеческого глаза. Эта атака эксплуатирует тонкости в текстовых стандартах кодирования, таких как Юникод, чтобы создать исходный код, токены которого логически закодированы в другом порядке, чем тот, в котором они отображаются, что приводит к уязвимостям, которые не могут быть непосредственно обнаружены людьми, просматривающими код. "Троянские источники" атаки, как они их называют, представляют собой immediate threat как для первого уровня программного обеспечения, так и для компрометации цепочки поставок по всей отрасли. Они представляют рабочие примеры атак "Троянского источника" в C, C++, C#, JavaScript, Java, Rust, Go и Python. Они предлагают решительные меры защиты на уровне компилятора и описывают другие меры противодействия, которые могут быть развернуты в редакторах, репозиториях и сборочных конвейерах, пока компиляторы не будут обновлены для блокировки этой атаки. Сайт проекта и исследование можно найти по следующим ссылкам: Сайт проекта "Trojan Source: невидимые уязвимости в исходном коде" Исследование "Trojan Source: невидимые уязвимости"