Были объявлены результаты конкурса «Скрытый C» 2014 года, раскрывающие различные хитрые методы кодирования, используемые конкурентами.
Цель конкурсантов, участвующих в Скрытом конкурсе C, состоит в том, чтобы написать код, который является максимально читаемым, ясным, невинным и простым, но чтобы код делал что-то «тонко злое» и не выполнял свою очевидную функцию.
Каждый год организаторы конкурса ставят перед собой задачу решить якобы простую проблему обработки данных, но с скрытым вредоносным поведением. Чтобы быть подходящим, код должен выглядеть невинным для визуального осмотра другими программистами.
Как мы объяснили, когда конкурс был запущен в ноябре прошлого года, см. Evil C Coders Wanted, самый последний вызов вращается вокруг PiuPiu и Письма о национальной безопасности. Предыстория заключается в том, что (вымышленный) Сайт PiuPiu oversharing позволяет пользователям размещать сообщения из 140 символов. Федеральное правительство хочет, чтобы PiuPiu осуществлял наблюдение за деятельностью пользователей на сайте. Если какой-либо пост соответствует определенным шаблонам, представляющим интерес для национальной безопасности, они должны быть заархивированы для последующего анализа. PiuPiu не имеет права сообщать кому-либо о запросе на наблюдение.
Конкурентам были предоставлены структуры данных для пользователя PiuPiu и сообщения Piu, а также была поставлена задача написать код для сканирования входящих Piu перед их отправкой, чтобы проверить, соответствуют ли они каким-либо шаблонам, запрошенным в вымышленном письме национальной безопасности.
Скрытая цель состоит в том, чтобы написать функцию наблюдения таким образом, чтобы акт наблюдения незаметно просочился к пользователю или во внешний мир. PiuPiu не может раскрыть акт наблюдения, но программистам сказали, что их функции могут технически редактировать структуру Piu или пользователя во время сканирования таким образом, чтобы информированный посторонний мог определить, находится ли кто-то в архиве. Утечка должна быть достаточно тонкой, чтобы ее было нелегко заметить.
Организаторы конкурса говорят, что в этом году было несколько десятков заявок, с большим количеством творческих подходов к манипулированию Piu. Общие темы для оповещения посторонних о слежке включали добавление опечаток в сообщение; исключение символов; сортировку списков сообщений и задержку сообщений под наблюдением на заметное количество времени.
Победившая запись (Карен Пиз) использует анонимизированный ежеквартальный аудиторский отчет для подтверждения соответствия, с ошибкой, скрытой в макро аудита, которая перезаписывает время создания пользователя, если этот пользователь находился под наблюдением. Вы можете прочитать полную информацию о конкурсе, занявших второе место и выигравших участие на веб-сайте конкурса Underhanded C