SlideShare ist ein Scribd-Unternehmen logo
1 von 19
Bezpečnost ?
Štefan Šafár, bezpečnostní administrátor
Obsah
•
•
•
•
•
•

Bezpečnost v různých fázích vývoje software
Návrh / Analýza
Vývoj / Testování
Provoz / Maintenance
Co jsme za poslední rok řešili
Co v provozu připravujeme

www.seznam.cz
Jak uchopit bezpečnost
•
•
•
•
•

SDLC – Systems development life-cycle
CLASP
Microsoft SDL
BSIMM2
OWASP OpenSAMM

www.seznam.cz
Návrh / Analýza
• Modelování / Analýza rizik
• DEMO

www.seznam.cz
Vývoj / Testování
• Školení programátorů – jazyky?
• Code review – náročné na čas?
• Whitebox testování – Lint (statická analýza)
– http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis

• Whitebox testování – Dynamická analýza
– http://en.wikipedia.org/wiki/Dynamic_program_analysis

• Greybox?
• Blackbox testování – automatické
– Acunetix, Netsparker, IBM Appscan, HP Webinspect, …

• Blackbox testování – manuální
– Distribuce Kali, BlackArch…

www.seznam.cz
www.seznam.cz
www.seznam.cz
Provoz / Maintenance
• Management balíčků / verzí
• Scanner zranitelností
– Nessus, OpenVAS, …

• Dostatečně výkonný firewall
• Web Application Firewall
– Škálování? Udržování? SSL?

• SSL
– Ukončování? Algoritmy? Preference šifer?

www.seznam.cz
DoS – 03/2013

www.seznam.cz
DDoS 03/2013

www.seznam.cz
Salt stack – key generation
•
•
•
•

Systém na hromadnou správu serverů
V pythonu – snadná implementace vlastních skriptů
Rychlejší než puppet hlavně díky 0MQ
0MQ nepodporovalo crypto, napsali si vlastní

www.seznam.cz
Salt stack – key generation
•
•
•
•
•
•

Systém na hromadnou správu serverů
V pythonu – snadná implementace vlastních skriptů
Rychlejší než puppet hlavně díky 0MQ
0MQ nepodporovalo crypto, napsali si vlastní
Implementace RSA, generování klíčů, atd
e=1

www.seznam.cz
Salt stack – key generation
•
•
•
•
•
•
•
•

Systém na hromadnou správu serverů
V pythonu – snadná implementace vlastních skriptů
Rychlejší než puppet hlavně díky 0MQ
0MQ nepodporovalo crypto, napsali si vlastní
Implementace RSA, generování klíčů, atd
e=1
d=1
c = me (mod n), m = cd (mod n)

www.seznam.cz
IPMI – cipher 0
• Součást specifikace IPMI
• ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit
user list
• Různé reakce výrobců HW

www.seznam.cz
IPMI – cipher 0
• Součást specifikace IPMI
• ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit
user list
• Různé reakce výrobců HW
• „Vypněte cipher 0 nainstalováním nejnovějšího firmware“
• „Vypněte IPMI a SNMP, pokud je nepoužíváte“
• „Instalujte Urgentní upgrade hned jak je to možné“
• „Provozujte BMC v oddělené management síti a
nenechávejte je otevřené do internetu“
• http://fish2.com/ipmi/cipherzero.html

www.seznam.cz
iDRAC – root shell
•
•
•
•

Společnost DELL – management rozhraní serveru
Uživatel root defaultně povolen
Možnost přepnout login shell
http://fish2.com/ipmi/dell/secret.html

www.seznam.cz
www.seznam.cz
Co připravujeme / máme
• CSIRT tým
– http://napoveda.seznam.cz/csirt

• Trusted Introducer – accredited status
• SSL + PFS + HSTS pro (snad) všechny služby
• Bezpečná VLAN v NIXu

www.seznam.cz
Děkuji za pozornost
Štefan Šafár, stefan.safar@firma.seznam.cz
www.seznam.cz

Weitere ähnliche Inhalte

Ähnlich wie Odpoledne se Seznamem II - Provozní bezpečnost

vSphere automation workshop python
vSphere automation workshop pythonvSphere automation workshop python
vSphere automation workshop pythonVladan Laxa
 
ORM Designer: Speed up your ORM development
ORM Designer: Speed up your ORM developmentORM Designer: Speed up your ORM development
ORM Designer: Speed up your ORM developmentBrnoPHP
 
Rich Internet Applications 2009 (Czech)
Rich Internet Applications 2009 (Czech)Rich Internet Applications 2009 (Czech)
Rich Internet Applications 2009 (Czech)Pavel Růžička
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Vladimír Smitka
 
Výběr vhodných technologii pro startup v prostředí cloudu
Výběr vhodných technologii pro startup v prostředí clouduVýběr vhodných technologii pro startup v prostředí cloudu
Výběr vhodných technologii pro startup v prostředí clouduJan Kodera
 
Michal Konečný - Systém Archivematica z pohledu uživatele
Michal Konečný - Systém Archivematica z pohledu uživateleMichal Konečný - Systém Archivematica z pohledu uživatele
Michal Konečný - Systém Archivematica z pohledu uživateleLTP-portal-cz
 
20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitněJiří Mareš
 
Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?Radim Klaška
 
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)Michal ZOBEC
 
Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)
Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)
Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)Martin Cerveny
 
Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Kuba Břečka
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
 
Flowmon – chytré řešení pro monitorování a bezpečnost sítí
Flowmon – chytré řešení pro monitorování a bezpečnost sítí Flowmon – chytré řešení pro monitorování a bezpečnost sítí
Flowmon – chytré řešení pro monitorování a bezpečnost sítí Marek Kocan
 
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikBezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikTUESDAY Business Network
 
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)Tomas Moser
 
Mikro­kontrolér s Wi-Fi za $3! nejen pro IOT
Mikro­kontrolér s Wi-Fi za $3! nejen pro IOTMikro­kontrolér s Wi-Fi za $3! nejen pro IOT
Mikro­kontrolér s Wi-Fi za $3! nejen pro IOTAdam Hořčica
 
Optimalizace Symfony na devu
 Optimalizace Symfony na devu Optimalizace Symfony na devu
Optimalizace Symfony na devuVašek Purchart
 
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Péhápkaři
 

Ähnlich wie Odpoledne se Seznamem II - Provozní bezpečnost (20)

vSphere automation workshop python
vSphere automation workshop pythonvSphere automation workshop python
vSphere automation workshop python
 
ORM Designer: Speed up your ORM development
ORM Designer: Speed up your ORM developmentORM Designer: Speed up your ORM development
ORM Designer: Speed up your ORM development
 
Rich Internet Applications 2009 (Czech)
Rich Internet Applications 2009 (Czech)Rich Internet Applications 2009 (Czech)
Rich Internet Applications 2009 (Czech)
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
 
Výběr vhodných technologii pro startup v prostředí cloudu
Výběr vhodných technologii pro startup v prostředí clouduVýběr vhodných technologii pro startup v prostředí cloudu
Výběr vhodných technologii pro startup v prostředí cloudu
 
Asynchronně v PHP
Asynchronně v PHPAsynchronně v PHP
Asynchronně v PHP
 
Michal Konečný - Systém Archivematica z pohledu uživatele
Michal Konečný - Systém Archivematica z pohledu uživateleMichal Konečný - Systém Archivematica z pohledu uživatele
Michal Konečný - Systém Archivematica z pohledu uživatele
 
20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně
 
Výkon WordPress
Výkon WordPressVýkon WordPress
Výkon WordPress
 
Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?
 
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
 
Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)
Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)
Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)
 
Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
 
Flowmon – chytré řešení pro monitorování a bezpečnost sítí
Flowmon – chytré řešení pro monitorování a bezpečnost sítí Flowmon – chytré řešení pro monitorování a bezpečnost sítí
Flowmon – chytré řešení pro monitorování a bezpečnost sítí
 
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikBezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
 
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
 
Mikro­kontrolér s Wi-Fi za $3! nejen pro IOT
Mikro­kontrolér s Wi-Fi za $3! nejen pro IOTMikro­kontrolér s Wi-Fi za $3! nejen pro IOT
Mikro­kontrolér s Wi-Fi za $3! nejen pro IOT
 
Optimalizace Symfony na devu
 Optimalizace Symfony na devu Optimalizace Symfony na devu
Optimalizace Symfony na devu
 
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
 

Odpoledne se Seznamem II - Provozní bezpečnost

  • 1. Bezpečnost ? Štefan Šafár, bezpečnostní administrátor
  • 2. Obsah • • • • • • Bezpečnost v různých fázích vývoje software Návrh / Analýza Vývoj / Testování Provoz / Maintenance Co jsme za poslední rok řešili Co v provozu připravujeme www.seznam.cz
  • 3. Jak uchopit bezpečnost • • • • • SDLC – Systems development life-cycle CLASP Microsoft SDL BSIMM2 OWASP OpenSAMM www.seznam.cz
  • 4. Návrh / Analýza • Modelování / Analýza rizik • DEMO www.seznam.cz
  • 5. Vývoj / Testování • Školení programátorů – jazyky? • Code review – náročné na čas? • Whitebox testování – Lint (statická analýza) – http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis • Whitebox testování – Dynamická analýza – http://en.wikipedia.org/wiki/Dynamic_program_analysis • Greybox? • Blackbox testování – automatické – Acunetix, Netsparker, IBM Appscan, HP Webinspect, … • Blackbox testování – manuální – Distribuce Kali, BlackArch… www.seznam.cz
  • 8. Provoz / Maintenance • Management balíčků / verzí • Scanner zranitelností – Nessus, OpenVAS, … • Dostatečně výkonný firewall • Web Application Firewall – Škálování? Udržování? SSL? • SSL – Ukončování? Algoritmy? Preference šifer? www.seznam.cz
  • 11. Salt stack – key generation • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní www.seznam.cz
  • 12. Salt stack – key generation • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 www.seznam.cz
  • 13. Salt stack – key generation • • • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 d=1 c = me (mod n), m = cd (mod n) www.seznam.cz
  • 14. IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW www.seznam.cz
  • 15. IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW • „Vypněte cipher 0 nainstalováním nejnovějšího firmware“ • „Vypněte IPMI a SNMP, pokud je nepoužíváte“ • „Instalujte Urgentní upgrade hned jak je to možné“ • „Provozujte BMC v oddělené management síti a nenechávejte je otevřené do internetu“ • http://fish2.com/ipmi/cipherzero.html www.seznam.cz
  • 16. iDRAC – root shell • • • • Společnost DELL – management rozhraní serveru Uživatel root defaultně povolen Možnost přepnout login shell http://fish2.com/ipmi/dell/secret.html www.seznam.cz
  • 18. Co připravujeme / máme • CSIRT tým – http://napoveda.seznam.cz/csirt • Trusted Introducer – accredited status • SSL + PFS + HSTS pro (snad) všechny služby • Bezpečná VLAN v NIXu www.seznam.cz
  • 19. Děkuji za pozornost Štefan Šafár, stefan.safar@firma.seznam.cz www.seznam.cz