Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"TLS monitoring", David Ordyan and Mikhail Aksenov

OWASP Moscow
December 04, 2017
Technology
0
95

"TLS monitoring", David Ordyan and Mikhail Aksenov

OWASP Russia Meetup #5

OWASP Moscow

December 04, 2017
Tweet

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
owaspmoscow
0
420
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
owaspmoscow
0
600
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
owaspmoscow
0
850
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
owaspmoscow
0
560
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
owaspmoscow
0
470
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
owaspmoscow
0
540
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
owaspmoscow
0
530
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
owaspmoscow
0
470
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
owaspmoscow
1
460

Other Decks in Technology

See All in Technology
Amazon Personalizeの レコメンドシステム構築、実際何するの? 〜大体10分で具体的なイメージをつかむ〜
kniino
1
100
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
200
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
430
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
670
強いチームと開発生産性
onk
PRO
33
11k
Terraform未経験の御様に対してどの ように導⼊を進めていったか
tkikuchi
2
430
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
170
Incident Response Practices: Waroom's Features and Future Challenges
rrreeeyyy
0
160
これまでの計測・開発・デプロイ方法全部見せます! / Findy ISUCON 2024-11-14
tohutohu
3
360
TypeScriptの次なる大進化なるか!? 条件型を返り値とする関数の型推論
uhyo
2
1.6k
Lexical Analysis
shigashiyama
1
150
DMARC 対応の話 - MIXI CTO オフィスアワー #04
bbqallstars
1
160

Featured

See All Featured
Bash Introduction
62gerente
608
210k
Side Projects
sachag
452
42k
Documentation Writing (for coders)
carmenintech
65
4.4k
Being A Developer After 40
akosma
86
590k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
109
49k
[RailsConf 2023] Rails as a piece of cake
palkan
52
4.9k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
10 Git Anti Patterns You Should be Aware of
lemiorhan
654
59k
Art, The Web, and Tiny UX
lynnandtonic
297
20k
Practical Orchestrator
shlominoach
186
10k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
120

Transcript

  1. Безопасность TLS в роще доменов OWASP RUSSIA #owasp_ru

  2. Безопасность чего? Безопасность сервера •Известные уязвимости ППО

  3. Безопасность чего? Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде

  4. Безопасность чего? Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде

    Безопасность клиента •Канал связи

  5. Безопасность чего? Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде

    Безопасность клиента •Канал связи •Управление поведением браузера

  6. Проверки - проверочки •OPENSSL VERSION •CIPHER SUITES •PROTOCOL FEATURES •CERTIFICATE

    EXPIRE

  7. Уязвимости TLS по годам 0 5 10 15 20 25

    30 35 40 1998 2000 2002 2004 2006 2008 2010 2012 2014 2016 2018

  8. Уровень угрозы CVE ID Vulnerability Type(s) CVSS Score CVE-2016-0705 DoS

    Mem. Corr. 10.0 CVE-2016-0799 DoS Overflow 10.0 CVE-2016-2108 DoS Exec Code Overflow Mem. Corr. 10.0 CVE-2016-2842 DoS Overflow 10.0 CVE-2016-6309 DoS Exec Code 10.0 CVE-2016-0798 DoS 7.8 CVE-2016-2109 DoS 7.8 CVE-2016-6304 DoS 7.8 CVE-2016-6303 DoS Overflow 7.5 CVE-2016-6308 DoS 7.1

  9. Но мы ведь обновляемся! * По данным SSL Pulse

  10. Насколько хорошо мы обновляемся 0 5000 10000 15000 20000 25000

    30000 35000 40000 45000 RC4 28,5% Protocol Downgrade 23,2% CVE-2016-2107 7,7% DROWN 6,5% CVE-2014-0224 4,7% POODLE 2,1%

  11. Кто виноват ?

  12. Что делать ? • Уметь быстро проверить • Иметь актуальные

    данные • Видеть общую картину • Получать уведомления

  13. Требования к платформе •Расширяемая •Удобный интерфейс доступа к данным •Визуализация

    •Возможность интеграции с сервисам уведомлений

  14. Расскажем про платформу Модульность Единое хранилище данных + интерфейс +

    интеграция нотификации

  15. Как работает ElasticSearch Kibana Web-UI HTTP 9200 TARGET 80,443 80,443

    Qualis API DNS ZoneTransfer TLS SCANER HTTP Headers Scanner Notifications Controller Domains Crawler

  16. ElasticSearch Kibana Web-UI TCP TCP TCP TCP Domains Crawler Notifications

    Controller HTTP Headers Scanner TLS SCANNER

  17. Реализация проверки Elastic Scanner Node2 Scanner Node1

  18. Рассказываем как устроен интерфейс, показываем картинки с Alexa доменами

  19. HTTP-заголовки •X-XSS-Protection •X-Content-Type-Options •X-Frame-Options •Content-Security-Policy •Strict-Transport-Security •Public-Key-Pins

  20. Должно быть включено у всех! •X-XSS-Protection •X-Content-Type-Options •X-Frame-Options

  21. Придется подумоть •Content-Security-Policy •Strict-Transport-Security •Public-Key-Pins

  22. Было Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде Безопасность

    клиента •Канал связи •Управление поведением браузера

  23. Стало Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде Безопасность

    клиента •Канал связи •Управление поведением браузера

  24. Ooops

  25. Планы развития • Мониторинг сетевых портов • Интеграция с Remedy

    • Посылка SMS • Аутентификация

  26. Контакты Михаил Аксёнов [email protected] Ордян Давид [email protected] @Kukumberbatch GitHub проекта:

    https://github.com/dordyan/tls-monitoring