Tidak ada gunanya mengingatkan sekali lagi mengapa penting untuk memperhatikan keamanan saat mengembangkan layanan. Mari kita bicara tentang bagaimana membangun sistem perlindungan, memperbaruinya dan berkembang dengan peningkatan jumlah ancaman. Cukup banyak pengetahuan praktis tentang topik ini yang bisa didapat dari internet. Teorinya, pada gilirannya, dibahas dengan cukup baik di beberapa universitas Rusia. Ada banyak literatur yang bermanfaat. Tetapi spesialis keamanan yang baik tidak hanya dibedakan oleh pengetahuan tentang alat dan teori, tetapi oleh kemampuan untuk menerapkan teori dalam situasi nyata.
Pada bulan April tahun ini, untuk pertama kalinya, kami mengadakan Sekolah Keamanan Informasi gratis. Ceramah di sekolah disiapkan dan disampaikan oleh karyawan layanan keamanan Yandex - spesialis yang secara langsung bertanggung jawab untuk melindungi produk kami. Kami menerima lebih dari 700 aplikasi, 35 orang berhasil menyelesaikan sekolah, 9 di antaranya menerima penawaran di Yandex (7 - untuk posisi magang, 2 - untuk posisi penuh waktu).
Hari ini kami menerbitkan kursus video dengan semua kuliah di Sekolah. Anda dapat mempelajari pengetahuan yang sama dengan siswa - kecuali bahwa ada sedikit interaktivitas dan tidak perlu melakukan pekerjaan rumah. Untuk melihatnya, Anda harus tahu setidaknya satu bahasa pemrograman (JS, Python, C ++, Java), pada tingkat awal, memahami prinsip-prinsip membangun dan mengoperasikan aplikasi web, memahami prinsip-prinsip operasi sistem operasi dan infrastruktur jaringan, serta jenis serangan utama dan jenis kerentanan.
Kami berharap kursus ini akan memompa Anda dalam peran spesialis keamanan informasi, dan juga akan membantu melindungi layanan Anda dari kebocoran data dan serangan berbahaya.
001. Keamanan Aplikasi Web - Eldar Zaitov
Mari kita bicara tentang perangkat web modern - arsitektur layanan mikro, kerentanan teknologi, arsitektur, dan cara mencegahnya. Kami menganalisis kerentanan di sisi klien. Mari kita bicara tentang metode operasi.
Mari kita bicara tentang kerentanan khas aplikasi seluler dan cara mencegahnya di iOS dan Android.
- Kekuatan serangan DDoS melebihi 1Tbit / s: siapa yang harus disalahkan dan apa yang harus dilakukan?
- Keamanan di IPv6: dapatkah spoofing arp dicegah menggunakan IPv6?
- Apakah WiFi aman? Datang secara terbuka atau retrospektif mengembangkan keamanan WiFi dari standar pertama hingga 2018.
Mari kita bicara tentang model keamanan UNIX klasik dan ekstensi ACL Posix, syslog dan sistem journald logging. Kami akan membahas model akses kredensial (SELinux, AppArmor), perangkat netfilter dan iptables, serta procfs, sysctl, dan hardening OS. Mari kita bicara tentang perangkat frame stack dan kerentanan yang terkait dengan buffer overflow pada stack, mekanisme perlindungan terhadap serangan seperti itu: ASLR, NX-Bit, DEP.
Mari kita bicara tentang keamanan aplikasi yang dikompilasi. Secara khusus, kami mempertimbangkan kerentanan yang terkait dengan korupsi memori (tidak terikat, digunakan setelah bebas, jenis kebingungan), serta langkah-langkah teknis kompensasi yang digunakan dalam kompiler modern untuk mengurangi kemungkinan eksploitasi mereka.
Mari kita bicara tentang pendekatan untuk mendeteksi dan menyelidiki insiden dan masalah utama yang harus kita tangani. Kami juga melihat beberapa alat yang membantu menyelidiki insiden dan mencobanya dalam praktik.
Untuk meningkatkan efisiensi server, kami menggunakan kontainer di Yandex. Dalam kuliah keamanan ini, kita akan melihat teknologi inti yang menyediakan virtualisasi dan kontainerisasi. Kami akan fokus pada kontainerisasi, sebagai cara paling populer untuk menyebarkan aplikasi. Mari kita bicara tentang kemampuan, ruang nama, kelompok, dan teknologi lainnya, lihat cara kerjanya di sistem Linux modern menggunakan contoh Ubuntu.
Insinyur keamanan informasi di Yandex menerapkan pengetahuan kriptografi setiap hari. Mari kita bicara tentang bagaimana mereka melakukannya, tentang PKI, kekurangannya dan TLS dari berbagai versi. Pertimbangkan serangan TLS dan metode percepatan protokol. Kami akan membahas teknologi Certificate Transparency, protokol Roughtime, bug dalam penerapan algoritma dan protokol, serta kekurangan tersembunyi dari berbagai kerangka kerja.