No tiene sentido recordar una vez más por qué es importante prestar atención a la seguridad al desarrollar servicios. Hablemos sobre cómo construir sistemas de protección, mantenerlos actualizados y desarrollar con un aumento en el número de amenazas. Se puede obtener bastante conocimiento práctico sobre este tema en Internet. La teoría, a su vez, está bastante bien cubierta en varias universidades rusas. Hay mucha literatura útil. Pero un buen especialista en seguridad se distingue no solo por el conocimiento de las herramientas y la teoría, sino por la capacidad de aplicar la teoría en situaciones reales.
En abril de este año, por primera vez, realizamos una Escuela de Seguridad de la Información gratuita. Las conferencias en la escuela fueron preparadas y entregadas por empleados del servicio de seguridad de Yandex, aquellos especialistas que son directamente responsables de proteger nuestros productos. Recibimos más de 700 solicitudes, 35 personas completaron con éxito la escuela, 9 de ellas recibieron ofertas en Yandex (7 - para el puesto de interno, 2 - para el puesto de tiempo completo).
Hoy publicamos un video curso con todas las conferencias de la escuela. Puede aprender el mismo conocimiento que los estudiantes, excepto que hay menos interactividad y no es necesario hacer la tarea. Para verlo, debe conocer al menos un lenguaje de programación (JS, Python, C ++, Java), en el nivel inicial, comprender los principios de creación y funcionamiento de aplicaciones web, comprender los principios de funcionamiento de los sistemas operativos y la infraestructura de red, así como los principales tipos de ataques y tipos de vulnerabilidades.
Esperamos que este curso lo impulse a desempeñarse como un especialista en seguridad de la información y también lo ayude a proteger sus servicios contra fugas de datos y ataques maliciosos.
001. Seguridad de aplicaciones web - Eldar Zaitov
Hablemos sobre el dispositivo de la web moderna: arquitectura de microservicios, vulnerabilidades tecnológicas, arquitectónicas y cómo prevenirlas. Analizamos las vulnerabilidades en el lado del cliente. Hablemos de los métodos de operación.
Hablemos sobre las vulnerabilidades típicas de las aplicaciones móviles y cómo prevenirlas en iOS y Android.
- El poder de los ataques DDoS excedió 1Tbit / s: ¿quién tiene la culpa y qué hacer?
- Seguridad en IPv6: ¿se puede evitar la suplantación de identidad mediante IPv6?
- ¿Es seguro el WiFi? Venga abierta o retrospectivamente a desarrollar seguridad WiFi desde el primer estándar hasta 2018.
Hablemos sobre el clásico modelo de seguridad UNIX y las extensiones Posix ACL, syslog y los sistemas de registro de journald. Analizaremos los modelos de acceso de credenciales (SELinux, AppArmor), el dispositivo netfilter e iptables, así como los sistemas procfs, sysctl y de endurecimiento. Hablemos sobre el dispositivo del marco de la pila y las vulnerabilidades asociadas con el desbordamiento del búfer en la pila, los mecanismos de protección contra tales ataques: ASLR, NX-Bit, DEP.
Hablemos de la seguridad de las aplicaciones compiladas. En particular, consideramos las vulnerabilidades asociadas con la corrupción de la memoria (fuera de control, uso después de la confusión de tipo libre), así como las medidas técnicas compensatorias que se utilizan en los compiladores modernos para reducir la probabilidad de su explotación.
Hablemos de los enfoques para detectar e investigar incidentes y los principales problemas con los que tenemos que lidiar. También observamos algunas herramientas que ayudan a investigar incidentes y probarlos en la práctica.
Para aumentar la eficiencia de los servidores, utilizamos contenedores en Yandex. En esta conferencia de seguridad, analizaremos las tecnologías principales que proporcionan virtualización y contenedorización. Nos centraremos en la contenedorización, como la forma más popular de implementar aplicaciones. Hablemos de capacidades, espacios de nombres, cgroups y otras tecnologías, veamos cómo funciona en los sistemas Linux modernos usando el ejemplo de Ubuntu.
Los ingenieros de seguridad de la información de Yandex aplican los conocimientos de criptografía todos los días. Hablemos sobre cómo lo hacen, sobre PKI, sus defectos y TLS de diferentes versiones. Considere los ataques TLS y los métodos de aceleración de protocolo. Analizaremos la tecnología de Transparencia de certificados, el protocolo Roughtime, los errores en la implementación de algoritmos y protocolos, así como las deficiencias ocultas de varios marcos.