Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Bezpečnost ?
Štefan Šafár, bezpečnostní administrátor
Obsah
•
•
•
•
•
•

Bezpečnost v různých fázích vývoje software
Návrh / Analýza
Vývoj / Testování
Provoz / Maintenance
Co j...
Jak uchopit bezpečnost
•
•
•
•
•

SDLC – Systems development life-cycle
CLASP
Microsoft SDL
BSIMM2
OWASP OpenSAMM

www.sez...
Návrh / Analýza
• Modelování / Analýza rizik
• DEMO

www.seznam.cz
Vývoj / Testování
• Školení programátorů – jazyky?
• Code review – náročné na čas?
• Whitebox testování – Lint (statická a...
www.seznam.cz
www.seznam.cz
Provoz / Maintenance
• Management balíčků / verzí
• Scanner zranitelností
– Nessus, OpenVAS, …

• Dostatečně výkonný firew...
DoS – 03/2013

www.seznam.cz
DDoS 03/2013

www.seznam.cz
Salt stack – key generation
•
•
•
•

Systém na hromadnou správu serverů
V pythonu – snadná implementace vlastních skriptů
...
Salt stack – key generation
•
•
•
•
•
•

Systém na hromadnou správu serverů
V pythonu – snadná implementace vlastních skri...
Salt stack – key generation
•
•
•
•
•
•
•
•

Systém na hromadnou správu serverů
V pythonu – snadná implementace vlastních ...
IPMI – cipher 0
• Součást specifikace IPMI
• ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit
user list
• Růz...
IPMI – cipher 0
• Součást specifikace IPMI
• ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit
user list
• Růz...
iDRAC – root shell
•
•
•
•

Společnost DELL – management rozhraní serveru
Uživatel root defaultně povolen
Možnost přepnout...
www.seznam.cz
Co připravujeme / máme
• CSIRT tým
– http://napoveda.seznam.cz/csirt

• Trusted Introducer – accredited status
• SSL + PFS...
Děkuji za pozornost
Štefan Šafár, stefan.safar@firma.seznam.cz
www.seznam.cz
Nächste SlideShare
Wird geladen in …5
×

Odpoledne se Seznamem II - Provozní bezpečnost

1.930 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Odpoledne se Seznamem II - Provozní bezpečnost

  1. 1. Bezpečnost ? Štefan Šafár, bezpečnostní administrátor
  2. 2. Obsah • • • • • • Bezpečnost v různých fázích vývoje software Návrh / Analýza Vývoj / Testování Provoz / Maintenance Co jsme za poslední rok řešili Co v provozu připravujeme www.seznam.cz
  3. 3. Jak uchopit bezpečnost • • • • • SDLC – Systems development life-cycle CLASP Microsoft SDL BSIMM2 OWASP OpenSAMM www.seznam.cz
  4. 4. Návrh / Analýza • Modelování / Analýza rizik • DEMO www.seznam.cz
  5. 5. Vývoj / Testování • Školení programátorů – jazyky? • Code review – náročné na čas? • Whitebox testování – Lint (statická analýza) – http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis • Whitebox testování – Dynamická analýza – http://en.wikipedia.org/wiki/Dynamic_program_analysis • Greybox? • Blackbox testování – automatické – Acunetix, Netsparker, IBM Appscan, HP Webinspect, … • Blackbox testování – manuální – Distribuce Kali, BlackArch… www.seznam.cz
  6. 6. www.seznam.cz
  7. 7. www.seznam.cz
  8. 8. Provoz / Maintenance • Management balíčků / verzí • Scanner zranitelností – Nessus, OpenVAS, … • Dostatečně výkonný firewall • Web Application Firewall – Škálování? Udržování? SSL? • SSL – Ukončování? Algoritmy? Preference šifer? www.seznam.cz
  9. 9. DoS – 03/2013 www.seznam.cz
  10. 10. DDoS 03/2013 www.seznam.cz
  11. 11. Salt stack – key generation • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní www.seznam.cz
  12. 12. Salt stack – key generation • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 www.seznam.cz
  13. 13. Salt stack – key generation • • • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 d=1 c = me (mod n), m = cd (mod n) www.seznam.cz
  14. 14. IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW www.seznam.cz
  15. 15. IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW • „Vypněte cipher 0 nainstalováním nejnovějšího firmware“ • „Vypněte IPMI a SNMP, pokud je nepoužíváte“ • „Instalujte Urgentní upgrade hned jak je to možné“ • „Provozujte BMC v oddělené management síti a nenechávejte je otevřené do internetu“ • http://fish2.com/ipmi/cipherzero.html www.seznam.cz
  16. 16. iDRAC – root shell • • • • Společnost DELL – management rozhraní serveru Uživatel root defaultně povolen Možnost přepnout login shell http://fish2.com/ipmi/dell/secret.html www.seznam.cz
  17. 17. www.seznam.cz
  18. 18. Co připravujeme / máme • CSIRT tým – http://napoveda.seznam.cz/csirt • Trusted Introducer – accredited status • SSL + PFS + HSTS pro (snad) všechny služby • Bezpečná VLAN v NIXu www.seznam.cz
  19. 19. Děkuji za pozornost Štefan Šafár, stefan.safar@firma.seznam.cz www.seznam.cz

×