Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"TLS monitoring", David Ordyan and Mikhail Aksenov

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for OWASP Moscow OWASP Moscow
December 04, 2017
Technology
0
110

"TLS monitoring", David Ordyan and Mikhail Aksenov

OWASP Russia Meetup #5

Avatar for OWASP Moscow

OWASP Moscow

December 04, 2017
Tweet

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
Avatar for OWASP Moscow owaspmoscow
0
600
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
Avatar for OWASP Moscow owaspmoscow
0
720
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
Avatar for OWASP Moscow owaspmoscow
0
980
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
Avatar for OWASP Moscow owaspmoscow
0
720
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
Avatar for OWASP Moscow owaspmoscow
0
580
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
Avatar for OWASP Moscow owaspmoscow
0
640
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
Avatar for OWASP Moscow owaspmoscow
0
640
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
Avatar for OWASP Moscow owaspmoscow
0
580
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
Avatar for OWASP Moscow owaspmoscow
1
570

Other Decks in Technology

See All in Technology
Claude Code のコード品質がばらつくので AI に品質保証させる仕組みを作った話 / A story about building a mechanism to have AI ensure quality, because the code quality from Claude Code was inconsistent
Avatar for nrs nrslib
13
7.1k
JAWS DAYS 2026 ExaWizards_20260307
Avatar for ExaWizards exawizards
0
420
ナレッジワーク IT情報系キャリア研究セッション資料(情報処理学会 第88回全国大会 )
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
0
170
GitLab Duo Agent Platform + Local LLMサービングで幸せになりたい
Avatar for jyoshise jyoshise
0
290
OCHaCafe S11 #2 コンテナ時代の次の一手:Wasm 最前線
Avatar for oracle4engineer oracle4engineer
PRO
1
120
JAWSDAYS2026_A-6_現場SEが語る 回せるセキュリティ運用~設計で可視化、AIで加速する「楽に回る」運用設計のコツ~
Avatar for s-hata shoki_hata
0
3k
楽しく学ぼう!ネットワーク入門
Avatar for Shota Shiratori shotashiratori
4
3.1k
事例に見るスマートファクトリーへの道筋〜工場データをAI Readyにする実践ステップ〜
Avatar for 濱田孝治 hamadakoji
1
300
AI実装による「レビューボトルネック」を解消する仕様駆動開発(SDD)/ ai-sdd-review-bottleneck
Avatar for Rakus_Dev rakus_dev
0
110
us-east-1 に障害が起きた時に、 ap-northeast-1 にどんな影響があるか 説明できるようになろう!
Avatar for Kazuki Miura miu_crescent
PRO
13
4.2k
聲の形にみるアクセシビリティ
Avatar for tomokusaba tomokusaba
0
170
作りっぱなしで終わらせない! 価値を出し続ける AI エージェントのための「信頼性」設計 / Designing Reliability for AI Agents that Deliver Continuous Value
Avatar for Kento Kimura aoto
PRO
2
280

Featured

See All Featured
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
340
58k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
432
66k
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
270
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.8k
Designing for humans not robots
Avatar for Tammie Lister tammielis
254
26k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.7k
Impact Scores and Hybrid Strategies: The future of link building
Avatar for Tamara Novitovic tamaranovitovic
0
230
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.6k
Visualization
Avatar for Eitan Lees eitanlees
150
17k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
Neural Spatial Audio Processing for Sound Field Analysis and Control
Avatar for NII S. Koyama's Lab skoyamalab
0
210
Accessibility Awareness
Avatar for Sarah Abderemane sabderemane
0
79

Transcript

  1. Безопасность TLS в роще доменов OWASP RUSSIA #owasp_ru

  2. Безопасность чего? Безопасность сервера •Известные уязвимости ППО

  3. Безопасность чего? Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде

  4. Безопасность чего? Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде

    Безопасность клиента •Канал связи

  5. Безопасность чего? Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде

    Безопасность клиента •Канал связи •Управление поведением браузера

  6. Проверки - проверочки •OPENSSL VERSION •CIPHER SUITES •PROTOCOL FEATURES •CERTIFICATE

    EXPIRE

  7. Уязвимости TLS по годам 0 5 10 15 20 25

    30 35 40 1998 2000 2002 2004 2006 2008 2010 2012 2014 2016 2018

  8. Уровень угрозы CVE ID Vulnerability Type(s) CVSS Score CVE-2016-0705 DoS

    Mem. Corr. 10.0 CVE-2016-0799 DoS Overflow 10.0 CVE-2016-2108 DoS Exec Code Overflow Mem. Corr. 10.0 CVE-2016-2842 DoS Overflow 10.0 CVE-2016-6309 DoS Exec Code 10.0 CVE-2016-0798 DoS 7.8 CVE-2016-2109 DoS 7.8 CVE-2016-6304 DoS 7.8 CVE-2016-6303 DoS Overflow 7.5 CVE-2016-6308 DoS 7.1

  9. Но мы ведь обновляемся! * По данным SSL Pulse

  10. Насколько хорошо мы обновляемся 0 5000 10000 15000 20000 25000

    30000 35000 40000 45000 RC4 28,5% Protocol Downgrade 23,2% CVE-2016-2107 7,7% DROWN 6,5% CVE-2014-0224 4,7% POODLE 2,1%

  11. Кто виноват ?

  12. Что делать ? • Уметь быстро проверить • Иметь актуальные

    данные • Видеть общую картину • Получать уведомления

  13. Требования к платформе •Расширяемая •Удобный интерфейс доступа к данным •Визуализация

    •Возможность интеграции с сервисам уведомлений

  14. Расскажем про платформу Модульность Единое хранилище данных + интерфейс +

    интеграция нотификации

  15. Как работает ElasticSearch Kibana Web-UI HTTP 9200 TARGET 80,443 80,443

    Qualis API DNS ZoneTransfer TLS SCANER HTTP Headers Scanner Notifications Controller Domains Crawler

  16. ElasticSearch Kibana Web-UI TCP TCP TCP TCP Domains Crawler Notifications

    Controller HTTP Headers Scanner TLS SCANNER

  17. Реализация проверки Elastic Scanner Node2 Scanner Node1

  18. Рассказываем как устроен интерфейс, показываем картинки с Alexa доменами

  19. HTTP-заголовки •X-XSS-Protection •X-Content-Type-Options •X-Frame-Options •Content-Security-Policy •Strict-Transport-Security •Public-Key-Pins

  20. Должно быть включено у всех! •X-XSS-Protection •X-Content-Type-Options •X-Frame-Options

  21. Придется подумоть •Content-Security-Policy •Strict-Transport-Security •Public-Key-Pins

  22. Было Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде Безопасность

    клиента •Канал связи •Управление поведением браузера

  23. Стало Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде Безопасность

    клиента •Канал связи •Управление поведением браузера

  24. Ooops

  25. Планы развития • Мониторинг сетевых портов • Интеграция с Remedy

    • Посылка SMS • Аутентификация

  26. Контакты Михаил Аксёнов [email protected] Ордян Давид [email protected] @Kukumberbatch GitHub проекта:

    https://github.com/dordyan/tls-monitoring