Não faz sentido lembrar mais uma vez por que é importante prestar atenção à segurança ao desenvolver serviços. Vamos falar sobre como criar sistemas de proteção, mantê-los atualizados e desenvolver com um aumento no número de ameaças. Muito conhecimento prático sobre esse tópico pode ser obtido na Internet. A teoria, por sua vez, é abordada razoavelmente bem em várias universidades russas. Há muita literatura útil. Mas um bom especialista em segurança se distingue não apenas pelo conhecimento de ferramentas e teoria, mas pela capacidade de aplicar a teoria em situações reais.
Em abril deste ano, pela primeira vez, realizamos uma Escola de Segurança da Informação gratuita. As palestras na escola foram preparadas e entregues pelos funcionários do serviço de segurança Yandex - aqueles especialistas que são diretamente responsáveis pela proteção de nossos produtos. Recebemos mais de 700 inscrições, 35 pessoas concluíram a escola com sucesso, 9 delas receberam ofertas no Yandex (7 - para o cargo de estagiário, 2 - para o cargo de período integral).
Hoje publicamos um curso em vídeo com todas as palestras da Escola. Você pode aprender o mesmo conhecimento que os alunos - exceto que há menos interatividade e não é necessário fazer a lição de casa. Para visualizá-lo, você deve conhecer pelo menos uma linguagem de programação (JS, Python, C ++, Java), no nível inicial, entender os princípios de construção e operação de aplicativos da Web, entender os princípios de operação de sistemas operacionais e infraestrutura de rede, bem como os principais tipos de ataques e tipos de vulnerabilidades.
Esperamos que este curso o coloque no papel de especialista em segurança da informação e ajude a proteger seus serviços contra vazamentos de dados e ataques maliciosos.
001. Segurança de aplicativos da Web - Eldar Zaitov
Vamos falar sobre o dispositivo da moderna Web - arquitetura de microsserviços, vulnerabilidades tecnológicas e arquitetônicas e como evitá-las. Analisamos as vulnerabilidades no lado do cliente. Vamos falar sobre os métodos de operação.
Vamos falar sobre vulnerabilidades típicas de aplicativos móveis e como evitá-las no iOS e Android.
- O poder dos ataques DDoS excedeu 1Tbit / s: quem é o culpado e o que fazer?
- Segurança no IPv6: a falsificação de arp pode ser evitada usando o IPv6?
- O WiFi é seguro? Venha desenvolver aberta ou retrospectivamente a segurança WiFi desde o primeiro padrão até 2018.
Vamos falar sobre o modelo clássico de segurança UNIX e os sistemas de extensões Posix ACL, syslog e log de registro em diário. Discutiremos os modelos de acesso à credencial (SELinux, AppArmor), o dispositivo netfilter e o iptables, além de procfs, sysctl e sistema operacional de proteção. Vamos falar sobre o dispositivo do quadro da pilha e as vulnerabilidades associadas ao estouro de buffer na pilha, mecanismos de proteção contra esses ataques: ASLR, NX-Bit, DEP.
Vamos falar sobre a segurança dos aplicativos compilados. Em particular, consideramos as vulnerabilidades associadas à corrupção de memória (fora dos limites, uso após liberação, confusão de tipo), bem como medidas técnicas compensatórias usadas nos compiladores modernos para reduzir a probabilidade de sua exploração.
Vamos falar sobre abordagens para detectar e investigar incidentes e os principais problemas com os quais temos de lidar. Também analisamos algumas ferramentas que ajudam a investigar incidentes e testá-los na prática.
Para aumentar a eficiência dos servidores, usamos contêineres no Yandex. Nesta palestra de segurança, examinaremos as principais tecnologias que fornecem virtualização e contêiner. Vamos nos concentrar na conteinerização, como a maneira mais popular de implantar aplicativos. Vamos falar sobre recursos, namespaces, cgroups e outras tecnologias, ver como ele funciona nos modernos sistemas Linux usando o exemplo do Ubuntu.
Os engenheiros de segurança da informação da Yandex aplicam o conhecimento de criptografia todos os dias. Vamos falar sobre como eles fazem isso, sobre PKI, suas deficiências e TLS de versões diferentes. Considere ataques TLS e métodos de aceleração de protocolo. Discutiremos a tecnologia de transparência de certificados, o protocolo Roughtime, erros na implementação de algoritmos e protocolos, bem como deficiências ocultas de várias estruturas.