Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Well-known security failures

Well-known security failures

Sobolev Nikita

August 10, 2017
Tweet

More Decks by Sobolev Nikita

Other Decks in Technology

Transcript

  1. Посмотрим на ситуацию в целом • Расскажу про проблемы на

    всех уровнях от частного к общему • Попробую проанализировать причины • Отвечу на вопросы
  2. • Послать запрос "CONFIG" к Redis, чтобы сохранить данные в

    “/root/.ssh/authorized_keys” • Подключиться к серверу как root
  3. cross-env vs crossenv • Есть популярный пакет "cross-env", он работает

    с переменными окружения • Есть такой же пакет "crossenv", он делает все тоже самое + отправляет ваши переменные злоумышленнику • http://blog.npmjs.org/post/163723642530/ crossenv-malware-on-the-npm-registry
  4. Основные проблемы • Нет уверенности в изначальном качестве продукта •

    Нет четкой политики по работе с уязвимостями • Нет возможности принудительно обновить все версии, подверженные уязвимости • Нет возможности даже достучаться до своих пользователей
  5. Основные проблемы • Высокая скорость изменений влечет за собой низкое

    качество кода • Отсутсвие денег - не дает возможности плотно заняться безопасностью • У бизнеса нет желания возиться с маловероятными рисками
  6. Кто взломал почту дем.партии США? • Русские хакеры • Китайские

    хакеры • Северокорейские хакеры • Республиканцы • Лично Владимир Путин
  7. Уязвимость в OpenSSL (~https) • Позволяла получить root доступ •

    Просуществовала с конца 2011 года • Была обнаружена в апреле 2014 года • Ей было подвержено по разным оценкам до 25% все защищенных соединений • https://habrahabr.ru/post/218661/
  8. • Hackernews: Hackers Stole $32 Million in Ethereum; 3rd Heist

    in 20 Days • Forbes: Hackers Have Stolen Millions Of Dollars In Bitcoin • hype.codes: Bitcoin Cash network under attack • Bitcoin weaknesses: https://en.bitcoin.it/wiki/ Weaknesses#Security_Vulnerabilities_and_bugs
  9. Каковы причины? • Сложность и полнота вопроса • Отсутсвие должной

    квалификации • Невнимательность • Человеческий фактор • "Да кому мы нужны"
  10. Единственное возможное решение Ввести культуру работы с безопасностью на всех

    уровнях: выделять бюджет и время, обучать людей, быть в курсе событий
  11. Простые способы обезопасить себя • Использовать актуальные версии пакетов •

    Проверять свои зависимости и конфигурацию на наличие угроз, например https://snyk.io/vuln • Писать хороший и безопасный код