Видеозаписи с школы информационной безопасности Яндекса, которая прошла в апреле 2018 года.
Для просмотра нужно знать хотя бы один язык программирования (JS, Python, C++, Java) и на начальном уровне разбираться в принципах построения и работы веб-приложений, знать принципы работы операционных систем и сетевой инфраструктуры, а также основные типы атак и виды уязвимостей. Лекции содержат опыт Яндекса по безопасной разработке приложений, форензике, построении безопасной сетевой и серверной инфраструктуры. А также практические задания по инфраструктурной и продуктовой безопасности, которые проводят специалисты Яндекса.
1. Безопасность веб-приложений
Про устройство современного веба — микросервисную архитектуру, технологические, архитектурные уязвимости и их предотвращение. Разбор уязвимостей на стороне клиента. Способы эксплуатации.
2. Безопасность мобильных приложений
Типовые уязвимости мобильных приложений и способы их предотвращения на iOS и Android.
3. Сетевая безопасность
- Мощность DDoS атак превысила 1Tbit/s: кто виноват и что делать?
- Безопасность в IPv6: можно ли предотвратить arp spoofing, используя IPv6?
- Так ли безопасен WiFi? Заходите, открыто или ретроспектива развития безопасности в WiFi с первого стандарта до 2018.
4. Безопасность ОС
Про классическую модель безопасность UNIX и расширения Posix ACL, системы журналирования syslog и journald, мандатные модели доступа (SELinux, AppArmor), устройство netfilter и iptables, а также procfs, sysctl и hardening OS. Про устройство стекового фрейма и уязвимости, связанные с переполнением буфера на стеке, механизмы защиты от подобных атак: ASLR, NX-Bit, DEP.
5. Криптография
PKI и её недостатки, TLS разных версий, атаки на них и методы ускорения протокола. Blockchain и его применение в PKI — в технологии Certificate Transparency. Про зависимость от точного времени и подходы к решению этой проблемы.
6. Безопасность бинарных приложений
О безопасности компилируемых приложений и уязвимостях, связанные с порчей памяти (out of bound, use after free, type confusion), а также компенсационных технических мерах, которые применяются в современных компиляторах для снижения вероятности их эксплуатации.
7. Расследование инцидентов
Про подходы к обнаружению и расследованию инцидентов и основные проблемы, с которыми приходится сталкиваться. Инструменты, которые помогают расследовать инциденты и их работа на практике.
8. Виртуализация и контейнеризация
Для повышения КПД серверов в Яндексе используются контейнеры. В этой лекции по безопасности рассказывается про основные технологии, которые обеспечивают виртуализацию и контейнеризацию. Основной упор на контейнеризацию, как на наиболее популярный способ деплоя приложений. Также, про capabilities, namespaces, cgroups и прочие технологии. И то, как это работает в современных Linux-системах на примере Ubuntu.
Комментариев нет:
Отправить комментарий