Il est inutile de rappeler une fois de plus pourquoi il est important de faire attention à la sécurité lors du développement des services. Parlons de la façon de construire des systèmes de protection, de les maintenir à jour et de les développer avec une augmentation du nombre de menaces. De nombreuses connaissances pratiques sur ce sujet peuvent être obtenues sur Internet. La théorie, à son tour, est assez bien couverte dans plusieurs universités russes. Il existe de nombreuses publications utiles. Mais un bon spécialiste de la sécurité se distingue non seulement par sa connaissance des outils et de la théorie, mais aussi par sa capacité à appliquer la théorie dans des situations réelles.
En avril de cette année, pour la première fois, nous avons organisé une école gratuite de sécurité de l'information. Les conférences à l'école ont été préparées et prononcées par les employés des services de sécurité de Yandex - ces spécialistes qui sont directement responsables de la protection de nos produits. Nous avons reçu plus de 700 candidatures, 35 personnes ont terminé leurs études avec succès, 9 d'entre elles ont reçu des offres à Yandex (7 - pour le poste de stagiaire, 2 - pour le poste à temps plein).
Aujourd'hui, nous publions un cours vidéo avec toutes les conférences de l'école. Vous pouvez apprendre les mêmes connaissances que les élèves - sauf qu'il y a moins d'interactivité et pas besoin de faire leurs devoirs. Pour le visualiser, vous devez connaître au moins un langage de programmation (JS, Python, C ++, Java), au niveau initial, comprendre les principes de construction et d'exploitation des applications Web, comprendre les principes de fonctionnement des systèmes d'exploitation et de l'infrastructure réseau, ainsi que les principaux types d'attaques et les types de vulnérabilités.
Nous espérons que ce cours vous fera jouer le rôle de spécialiste de la sécurité de l'information et contribuera également à protéger vos services contre les fuites de données et les attaques malveillantes.
001. Sécurité des applications Web - Eldar Zaitov
Parlons du dispositif du Web moderne - architecture de microservices, vulnérabilités technologiques et architecturales et comment les prévenir. Nous analysons les vulnérabilités côté client. Parlons des méthodes de fonctionnement.
Parlons des vulnérabilités typiques des applications mobiles et de la façon de les prévenir sur iOS et Android.
- La puissance des attaques DDoS dépasse 1Tbit / s: qui est à blâmer et que faire?
- Sécurité dans IPv6: peut-on empêcher l'usurpation d'arp en utilisant IPv6?
- Le WiFi est-il sûr? Venez développer ouvertement ou rétrospectivement la sécurité WiFi de la première norme jusqu'en 2018.
Parlons du modèle de sécurité UNIX classique et des extensions Posix ACL, syslog et journalisation journald. Nous aborderons les modèles d'accès aux informations d'identification (SELinux, AppArmor), le périphérique netfilter et iptables, ainsi que procfs, sysctl et OS renforcé. Parlons du périphérique de la trame de pile et des vulnérabilités associées au débordement de tampon sur la pile, des mécanismes de protection contre de telles attaques: ASLR, NX-Bit, DEP.
Parlons de la sécurité des applications compilées. En particulier, nous considérons les vulnérabilités associées à la corruption de mémoire (hors limite, utilisation après libre, confusion de type), ainsi que les mesures techniques compensatoires qui sont utilisées dans les compilateurs modernes pour réduire la probabilité de leur exploitation.
Parlons des approches pour détecter et enquêter sur les incidents et les principaux problèmes auxquels nous devons faire face. Nous examinons également certains outils qui aident à enquêter sur les incidents et à les essayer dans la pratique.
Pour augmenter l'efficacité des serveurs, nous utilisons des conteneurs chez Yandex. Dans cette conférence sur la sécurité, nous examinerons les technologies de base qui fournissent la virtualisation et la conteneurisation. Nous nous concentrerons sur la conteneurisation, le moyen le plus populaire de déployer des applications. Parlons des capacités, des espaces de noms, des groupes de contrôle et d'autres technologies, voyons comment cela fonctionne dans les systèmes Linux modernes en utilisant l'exemple d'Ubuntu.
Les ingénieurs en sécurité de l'information de Yandex appliquent quotidiennement leurs connaissances en cryptographie. Parlons de la façon dont ils le font, de PKI, de ses lacunes et de TLS de différentes versions. Considérez les attaques TLS et les méthodes d'accélération de protocole. Nous discuterons de la technologie de transparence des certificats, du protocole Roughtime, des bogues dans la mise en œuvre d'algorithmes et de protocoles, ainsi que des lacunes cachées de divers cadres.