Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Well Known Cases of Security Breaches

Well Known Cases of Security Breaches

Sobolev Nikita

August 11, 2017
Tweet

More Decks by Sobolev Nikita

Other Decks in Programming

Transcript

  1. Посмотрим на ситуацию в целом • Расскажу про проблемы на

    всех уровнях от частного к общему • Попробую проанализировать причины • Отвечу на вопросы
  2. • Послать запрос "CONFIG" к Redis, чтобы сохранить данные в

    “/root/.ssh/authorized_keys” • Подключиться к серверу как root
  3. cross-env vs crossenv • Есть популярный пакет "cross-env", он работает

    с переменными окружения • Есть такой же пакет "crossenv", он делает все тоже самое + отправляет ваши переменные злоумышленнику • http://blog.npmjs.org/post/163723642530/ crossenv-malware-on-the-npm-registry
  4. Основные проблемы • Нет уверенности в изначальном качестве продукта •

    Нет четкой политики по работе с уязвимостями • Нет возможности принудительно обновить все версии, подверженные уязвимости • Нет возможности даже достучаться до своих пользователей
  5. Основные проблемы • Высокая скорость изменений влечет за собой низкое

    качество кода • Отсутсвие денег - не дает возможности плотно заняться безопасностью • У бизнеса нет желания возиться с маловероятными рисками
  6. Кто взломал почту дем.партии США? • Русские хакеры • Китайские

    хакеры • Северокорейские хакеры • Республиканцы • Лично Владимир Путин
  7. Уязвимость в OpenSSL (~https) • Позволяла получить root доступ •

    Просуществовала с конца 2011 года • Была обнаружена в апреле 2014 года • Ей было подвержено по разным оценкам до 25% все защищенных соединений • https://habrahabr.ru/post/218661/
  8. • Hackernews: Hackers Stole $32 Million in Ethereum; 3rd Heist

    in 20 Days • Forbes: Hackers Have Stolen Millions Of Dollars In Bitcoin • hype.codes: Bitcoin Cash network under attack • Bitcoin weaknesses: https://en.bitcoin.it/wiki/ Weaknesses#Security_Vulnerabilities_and_bugs
  9. Каковы причины? • Сложность и полнота вопроса • Отсутсвие должной

    квалификации • Невнимательность • Человеческий фактор • "Да кому мы нужны"
  10. Единственное возможное решение Ввести культуру работы с безопасностью на всех

    уровнях: выделять бюджет и время, обучать людей, быть в курсе событий
  11. Простые способы обезопасить себя • Использовать актуальные версии пакетов •

    Проверять свои зависимости и конфигурацию на наличие угроз, например https://snyk.io/vuln • Писать хороший и безопасный код