Well-known security failures

Transcript

1. Никита Соболев

2. None

3. Посмотрим на ситуацию в целом • Расскажу про проблемы на

   всех уровнях от частного к общему • Попробую проанализировать причины • Отвечу на вопросы
4. None

5. Ситуация не становится лучше https://habrahabr.ru/company/pt/blog/268779 Positive Technologies - 2015

6. None
7. None

8. Open-Source

9. None
10. None

11. • Послать запрос "CONFIG" к Redis, чтобы сохранить данные в

    “/root/.ssh/authorized_keys” • Подключиться к серверу как root

12. https://duo.com/blog/over-18000-redis-instances-targeted-by- fake-ransomware

13. cross-env vs crossenv • Есть популярный пакет "cross-env", он работает

    с переменными окружения • Есть такой же пакет "crossenv", он делает все тоже самое + отправляет ваши переменные злоумышленнику • http://blog.npmjs.org/post/163723642530/ crossenv-malware-on-the-npm-registry

14. Основные проблемы • Нет уверенности в изначальном качестве продукта •

    Нет четкой политики по работе с уязвимостями • Нет возможности принудительно обновить все версии, подверженные уязвимости • Нет возможности даже достучаться до своих пользователей

15. Стартапы

16. Основные проблемы • Высокая скорость изменений влечет за собой низкое

    качество кода • Отсутсвие денег - не дает возможности плотно заняться безопасностью • У бизнеса нет желания возиться с маловероятными рисками

17. Корпорации

18. None

19. Лучше, но все равно проблем хватает https://en.wikipedia.org/wiki/ ICloud_leaks_of_celebrity_photos

20. Правительства

21. Почта начальника предвыборного штаба дем.партии Джона Подесты была взломана https://www.theguardian.com/us-news/2016/dec/14/dnc-hillary-

    clinton-emails-hacked-russia-aide-typo-investigation-finds

22. Кто взломал почту дем.партии США? • Русские хакеры • Китайские

    хакеры • Северокорейские хакеры • Республиканцы • Лично Владимир Путин

23. Протоколы

24. None

25. Уязвимость в OpenSSL (~https) • Позволяла получить root доступ •

    Просуществовала с конца 2011 года • Была обнаружена в апреле 2014 года • Ей было подвержено по разным оценкам до 25% все защищенных соединений • https://habrahabr.ru/post/218661/

26. Криптовалюты

27. None

28. • Hackernews: Hackers Stole $32 Million in Ethereum; 3rd Heist

    in 20 Days • Forbes: Hackers Have Stolen Millions Of Dollars In Bitcoin • hype.codes: Bitcoin Cash network under attack • Bitcoin weaknesses: https://en.bitcoin.it/wiki/ Weaknesses#Security_Vulnerabilities_and_bugs

29. Каковы причины? • Сложность и полнота вопроса • Отсутсвие должной

    квалификации • Невнимательность • Человеческий фактор • "Да кому мы нужны"

30. Все время идет массовая проверка наличия уязвимостей со стороны злоумышленников

31. None
32. None

33. Единственное возможное решение Ввести культуру работы с безопасностью на всех

    уровнях: выделять бюджет и время, обучать людей, быть в курсе событий

34. Простые способы обезопасить себя • Использовать актуальные версии пакетов •

    Проверять свои зависимости и конфигурацию на наличие угроз, например https://snyk.io/vuln • Писать хороший и безопасный код

35. Вопросы https://github.com/sobolevn/awesome- cryptography