Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"TLS monitoring", David Ordyan and Mikhail Aksenov

OWASP Moscow
December 04, 2017
Technology
0
87

"TLS monitoring", David Ordyan and Mikhail Aksenov

OWASP Russia Meetup #5

OWASP Moscow

December 04, 2017
Tweet

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
owaspmoscow
0
330
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
owaspmoscow
0
520
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
owaspmoscow
0
770
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
owaspmoscow
0
450
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
owaspmoscow
0
400
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
owaspmoscow
0
460
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
owaspmoscow
0
450
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
owaspmoscow
0
390
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
owaspmoscow
1
380

Other Decks in Technology

See All in Technology
非同期推論システムによるコスト削減と信頼性向上
koki_nishihara
0
250
Janus
bkuhlmann
1
490
ServiceNow Knowledge 24の歩き方 EYストラテジー・アンド・コンサルティング
manarobot
0
200
Hands-on Gemini, the Google DeepMind LLM
meteatamel
1
110
一生覚えておきたい「システム開発=コミュニケーション」〜初めての実務案件振り返りLT〜
maimyyym
0
140
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
4
15k
Tellus の衛星データを見てみよう #mf_fukuoka
kongmingstrap
0
190
私が trocco を推す理由
__allllllllez__
1
220
ChatworkのSRE部って実は 半分くらいPlatform Engineering部かもしれない
saramune
0
160
本当のAWS基礎
toru_kubota
0
520
IaCジェネレーターとBedrockで詳細設計書を生成してみた
tsukasa_ishimaru
1
190
いつか使うかも貯金してたらめちゃめちゃ機能が増えてた話
riyaamemiya
0
140

Featured

See All Featured
Documentation Writing (for coders)
carmenintech
60
3.9k
Debugging Ruby Performance
tmm1
70
11k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
Raft: Consensus for Rubyists
vanstee
132
6.3k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
2
3.4k
Large-scale JavaScript Application Architecture
addyosmani
504
110k
Building Your Own Lightsaber
phodgson
99
5.7k
Music & Morning Musume
bryan
41
5.6k
Rebuilding a faster, lazier Slack
samanthasiow
73
8.2k
Statistics for Hackers
jakevdp
789
220k
A Tale of Four Properties
chriscoyier
151
22k
In The Pink: A Labor of Love
frogandcode
138
21k

Transcript

  1. Безопасность TLS в роще доменов OWASP RUSSIA #owasp_ru

  2. Безопасность чего? Безопасность сервера •Известные уязвимости ППО

  3. Безопасность чего? Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде

  4. Безопасность чего? Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде

    Безопасность клиента •Канал связи

  5. Безопасность чего? Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде

    Безопасность клиента •Канал связи •Управление поведением браузера

  6. Проверки - проверочки •OPENSSL VERSION •CIPHER SUITES •PROTOCOL FEATURES •CERTIFICATE

    EXPIRE

  7. Уязвимости TLS по годам 0 5 10 15 20 25

    30 35 40 1998 2000 2002 2004 2006 2008 2010 2012 2014 2016 2018

  8. Уровень угрозы CVE ID Vulnerability Type(s) CVSS Score CVE-2016-0705 DoS

    Mem. Corr. 10.0 CVE-2016-0799 DoS Overflow 10.0 CVE-2016-2108 DoS Exec Code Overflow Mem. Corr. 10.0 CVE-2016-2842 DoS Overflow 10.0 CVE-2016-6309 DoS Exec Code 10.0 CVE-2016-0798 DoS 7.8 CVE-2016-2109 DoS 7.8 CVE-2016-6304 DoS 7.8 CVE-2016-6303 DoS Overflow 7.5 CVE-2016-6308 DoS 7.1

  9. Но мы ведь обновляемся! * По данным SSL Pulse

  10. Насколько хорошо мы обновляемся 0 5000 10000 15000 20000 25000

    30000 35000 40000 45000 RC4 28,5% Protocol Downgrade 23,2% CVE-2016-2107 7,7% DROWN 6,5% CVE-2014-0224 4,7% POODLE 2,1%

  11. Кто виноват ?

  12. Что делать ? • Уметь быстро проверить • Иметь актуальные

    данные • Видеть общую картину • Получать уведомления

  13. Требования к платформе •Расширяемая •Удобный интерфейс доступа к данным •Визуализация

    •Возможность интеграции с сервисам уведомлений

  14. Расскажем про платформу Модульность Единое хранилище данных + интерфейс +

    интеграция нотификации

  15. Как работает ElasticSearch Kibana Web-UI HTTP 9200 TARGET 80,443 80,443

    Qualis API DNS ZoneTransfer TLS SCANER HTTP Headers Scanner Notifications Controller Domains Crawler

  16. ElasticSearch Kibana Web-UI TCP TCP TCP TCP Domains Crawler Notifications

    Controller HTTP Headers Scanner TLS SCANNER

  17. Реализация проверки Elastic Scanner Node2 Scanner Node1

  18. Рассказываем как устроен интерфейс, показываем картинки с Alexa доменами

  19. HTTP-заголовки •X-XSS-Protection •X-Content-Type-Options •X-Frame-Options •Content-Security-Policy •Strict-Transport-Security •Public-Key-Pins

  20. Должно быть включено у всех! •X-XSS-Protection •X-Content-Type-Options •X-Frame-Options

  21. Придется подумоть •Content-Security-Policy •Strict-Transport-Security •Public-Key-Pins

  22. Было Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде Безопасность

    клиента •Канал связи •Управление поведением браузера

  23. Стало Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде Безопасность

    клиента •Канал связи •Управление поведением браузера

  24. Ooops

  25. Планы развития • Мониторинг сетевых портов • Интеграция с Remedy

    • Посылка SMS • Аутентификация

  26. Контакты Михаил Аксёнов [email protected] Ордян Давид [email protected] @Kukumberbatch GitHub проекта:

    https://github.com/dordyan/tls-monitoring