Es macht keinen Sinn, noch einmal daran zu erinnern, warum es wichtig ist, bei der Entwicklung von Diensten auf die Sicherheit zu achten. Lassen Sie uns darüber sprechen, wie Schutzsysteme aufgebaut, auf dem neuesten Stand gehalten und mit zunehmender Anzahl von Bedrohungen entwickelt werden können. Sehr viel praktisches Wissen zu diesem Thema kann aus dem Internet bezogen werden. Die Theorie wiederum wird an mehreren russischen Universitäten ziemlich gut behandelt. Es gibt viele nützliche Literatur. Ein guter Sicherheitsspezialist zeichnet sich jedoch nicht nur durch Kenntnisse über Werkzeuge und Theorie aus, sondern auch durch die Fähigkeit, Theorie in realen Situationen anzuwenden.
Im April dieses Jahres veranstalteten wir zum ersten Mal eine kostenlose Schule für Informationssicherheit. Die Vorlesungen in der Schule wurden von Mitarbeitern des Yandex-Sicherheitsdienstes vorbereitet und gehalten - den Spezialisten, die direkt für den Schutz unserer Produkte verantwortlich sind. Wir haben mehr als 700 Bewerbungen erhalten, 35 Personen haben die Schule erfolgreich abgeschlossen, 9 von ihnen haben Angebote in Yandex erhalten (7 - für die Praktikumsstelle, 2 - für die Vollzeitstelle).
Heute veröffentlichen wir einen Videokurs mit allen Vorlesungen der Schule. Sie können das gleiche Wissen wie Schüler lernen - außer dass es weniger Interaktivität gibt und keine Hausaufgaben gemacht werden müssen. Um es anzuzeigen, sollten Sie auf der ersten Ebene mindestens eine Programmiersprache (JS, Python, C ++, Java) kennen, die Prinzipien zum Erstellen und Betreiben von Webanwendungen verstehen, die Prinzipien des Betriebs von Betriebssystemen und der Netzwerkinfrastruktur sowie die Haupttypen von Angriffen und Arten von Schwachstellen verstehen.
Wir hoffen, dass dieser Kurs Sie in die Rolle eines Informationssicherheitsspezialisten versetzt und Ihre Dienste vor Datenlecks und böswilligen Angriffen schützt.
001. Sicherheit von Webanwendungen - Eldar Zaitov
Lassen Sie uns über das Gerät der modernen Web-Microservice-Architektur, technologische und architektonische Schwachstellen und deren Verhinderung sprechen. Wir analysieren die Schwachstellen auf der Client-Seite. Lassen Sie uns über die Funktionsweise sprechen.
Lassen Sie uns über typische Schwachstellen mobiler Anwendungen sprechen und wie Sie diese unter iOS und Android verhindern können.
- Die Leistung von DDoS-Angriffen überschritt 1 TBit / s: Wer ist schuld und was ist zu tun?
- Sicherheit in IPv6: Kann Arp-Spoofing mit IPv6 verhindert werden?
- Ist WiFi sicher? Entwickeln Sie die WiFi-Sicherheit vom ersten Standard bis 2018 offen oder nachträglich.
Lassen Sie uns über das klassische UNIX-Sicherheitsmodell und die Posix ACL-Erweiterungen, Syslog- und Journald-Protokollierungssysteme sprechen. Wir werden Modelle für den Zugriff auf Anmeldeinformationen (SELinux, AppArmor), das Netfilter-Gerät und iptables sowie procfs, sysctl und Hardening OS diskutieren. Lassen Sie uns über das Gerät des Stapelrahmens und die mit dem Pufferüberlauf auf dem Stapel verbundenen Sicherheitslücken sowie über Schutzmechanismen gegen solche Angriffe sprechen: ASLR, NX-Bit, DEP.
Lassen Sie uns über die Sicherheit kompilierter Anwendungen sprechen. Insbesondere berücksichtigen wir die Schwachstellen, die mit Speicherbeschädigungen verbunden sind (nicht gebunden, nach freiem Gebrauch, Typverwirrung), sowie kompensatorische technische Maßnahmen, die in modernen Compilern verwendet werden, um die Wahrscheinlichkeit ihrer Ausnutzung zu verringern.
Lassen Sie uns über Ansätze zur Erkennung und Untersuchung von Vorfällen und die Hauptprobleme sprechen, mit denen wir uns befassen müssen. Wir sehen uns auch einige Tools an, mit denen Sie Vorfälle untersuchen und in der Praxis ausprobieren können.
Um die Effizienz von Servern zu steigern, verwenden wir bei Yandex Container. In diesem Sicherheitsvortrag werden die Kerntechnologien vorgestellt, die Virtualisierung und Containerisierung ermöglichen. Wir werden uns auf die Containerisierung als beliebteste Methode zur Bereitstellung von Anwendungen konzentrieren. Lassen Sie uns am Beispiel von Ubuntu über Funktionen, Namespaces, Gruppen und andere Technologien sprechen und sehen, wie es in modernen Linux-Systemen funktioniert.
Die Informationssicherheitsingenieure von Yandex wenden täglich Kryptografie-Wissen an. Lassen Sie uns darüber sprechen, wie sie es tun, über PKI, seine Mängel und TLS verschiedener Versionen. Berücksichtigen Sie TLS-Angriffe und Methoden zur Protokollbeschleunigung. Wir werden die Zertifikatstransparenztechnologie, das Roughtime-Protokoll, Fehler bei der Implementierung von Algorithmen und Protokollen sowie versteckte Mängel verschiedener Frameworks erörtern.