Гиперконвергентность — мягкое введение в веб-масштаб / Андрей Николаенко (IBS)Ontico
Ключевой признак инфраструктуры веб-масштаба — горизонтальная масштабируемость посредством унифицированных строительных блоков — на основе x86-узлов, притом без таких традиционных для «корпоративного» (Enterprse-) сегмента элементов, как выделенные сети хранения данных (SAN), выделенные комплексы резервирования, архивирования. Именно на этой особенности веб-масштаба фокусируются аналитики Gartner, когда говорят о центре обработки данных «в стиле Google» и видят будущее в таком подходе и для корпоративного направления IТ. Привлекательность такой унификации и ухода в «веб-масштаб» по части инфраструктуры очевидна, но ведь реальные приложения корпоративных заказчиков, нажитые и выстраданные за долгие годы выбора, внедрений, развития создавались для иных моделей развёртывания. В данном докладе мы попробуем ответить на вопрос — возможно ли, не разрушив это наследие, перейти к «ЦОДу в стиле Google»?
SECON'2017, LAZADA Effartlrss Shopping, Как мы тестируем?SECON
Тестирование заказов в ecommerce международного масштаба/ Order Lifecycle - Жизненный цикл заказа vs QA / Lazada. Азиатская кухня ecommerce тестирования.
Гиперконвергентность — мягкое введение в веб-масштаб / Андрей Николаенко (IBS)Ontico
Ключевой признак инфраструктуры веб-масштаба — горизонтальная масштабируемость посредством унифицированных строительных блоков — на основе x86-узлов, притом без таких традиционных для «корпоративного» (Enterprse-) сегмента элементов, как выделенные сети хранения данных (SAN), выделенные комплексы резервирования, архивирования. Именно на этой особенности веб-масштаба фокусируются аналитики Gartner, когда говорят о центре обработки данных «в стиле Google» и видят будущее в таком подходе и для корпоративного направления IТ. Привлекательность такой унификации и ухода в «веб-масштаб» по части инфраструктуры очевидна, но ведь реальные приложения корпоративных заказчиков, нажитые и выстраданные за долгие годы выбора, внедрений, развития создавались для иных моделей развёртывания. В данном докладе мы попробуем ответить на вопрос — возможно ли, не разрушив это наследие, перейти к «ЦОДу в стиле Google»?
SECON'2017, LAZADA Effartlrss Shopping, Как мы тестируем?SECON
Тестирование заказов в ecommerce международного масштаба/ Order Lifecycle - Жизненный цикл заказа vs QA / Lazada. Азиатская кухня ecommerce тестирования.
Система управления учетными записями (IDM). Информационная безопасность. Softline
Информационная безопасность. Система управления учетными записями.
IDM – ЕДИНЫЙ ЦЕНТР КОМПЕТЕНЦИЙ В ЧАСТИ
ПРЕДОСТАВЛЕНИЯ ДОСТУПА К РЕСУРСАМ
И СИСТЕМАМ.
Техническая презентация решений McAfee (Intel Security) по шифрованию данных.
Рассматривается процесс развертывания и управления.
Подробно расписаны особенности и возможности актуальных версий продуктов.
Содержимое:
- номенклатура решений шифрования
- основы работы с еРО
- Drive Encryption (Win) детально
- Management of Native Encryption (Win, Mac) детально
- File & Removable Media Protection (Win)
- Источники знаний
- Советы из практики
Целевая аудитория:
Руководители ИТ/ИБ подразделений, специалисты по защите информации.
Доклад с митапа MSK .NET Community (http://mskdotnet.org).
Поговорим о самом мощном отладчике для Windows – WinDbg. Разберем как начать использовать этот отладчик, чем он может быть полезен для .NET разработчиков. Подробней остановимся на практических моментах его применения, зачем он прикладным программистам, web-разработчикам. Посмотрим и на другие инструменты отладки, которые занимают нишу между интуитивно управляемым комбайном Visual Studio и легким, но крайне аскетичным WinDbg.
Опасная сериализация / Иван Юшкевич (Digital Security)Ontico
РИТ++ 2017, секция ML + IoT + ИБ
Зал Белу-Оризонти, 5 июня, 15:00
Тезисы:
http://ritfest.ru/2017/abstracts/2765.html
Современные языки, библиотеки, фреймворки становятся все умнее и умнее, упрощая жизнь разработчика и автоматизируя различные процессы. Но у этого есть и обратная сторона в том, что происходящие внутри процессы не всегда ясны и понятны, и незнание какой-то специфики использования может приводить к различным проблемам в безопасности, вплоть до полной компрометации системы. Как раз такие ситуации и будут отражены в данном докладе, на примере нескольких языков и различных видов сериализации.
Система управления учетными записями (IDM). Информационная безопасность. Softline
Информационная безопасность. Система управления учетными записями.
IDM – ЕДИНЫЙ ЦЕНТР КОМПЕТЕНЦИЙ В ЧАСТИ
ПРЕДОСТАВЛЕНИЯ ДОСТУПА К РЕСУРСАМ
И СИСТЕМАМ.
Техническая презентация решений McAfee (Intel Security) по шифрованию данных.
Рассматривается процесс развертывания и управления.
Подробно расписаны особенности и возможности актуальных версий продуктов.
Содержимое:
- номенклатура решений шифрования
- основы работы с еРО
- Drive Encryption (Win) детально
- Management of Native Encryption (Win, Mac) детально
- File & Removable Media Protection (Win)
- Источники знаний
- Советы из практики
Целевая аудитория:
Руководители ИТ/ИБ подразделений, специалисты по защите информации.
Доклад с митапа MSK .NET Community (http://mskdotnet.org).
Поговорим о самом мощном отладчике для Windows – WinDbg. Разберем как начать использовать этот отладчик, чем он может быть полезен для .NET разработчиков. Подробней остановимся на практических моментах его применения, зачем он прикладным программистам, web-разработчикам. Посмотрим и на другие инструменты отладки, которые занимают нишу между интуитивно управляемым комбайном Visual Studio и легким, но крайне аскетичным WinDbg.
Опасная сериализация / Иван Юшкевич (Digital Security)Ontico
РИТ++ 2017, секция ML + IoT + ИБ
Зал Белу-Оризонти, 5 июня, 15:00
Тезисы:
http://ritfest.ru/2017/abstracts/2765.html
Современные языки, библиотеки, фреймворки становятся все умнее и умнее, упрощая жизнь разработчика и автоматизируя различные процессы. Но у этого есть и обратная сторона в том, что происходящие внутри процессы не всегда ясны и понятны, и незнание какой-то специфики использования может приводить к различным проблемам в безопасности, вплоть до полной компрометации системы. Как раз такие ситуации и будут отражены в данном докладе, на примере нескольких языков и различных видов сериализации.
3. freegoogleslidestemplates.comFGST
Сбор данных
- Как доказать, что это именно данные из источника Х?
- Как доказать, что ни один бит информации не утерян?
3
1
2
3
Извлечение цифровых улик
- Обработка полученных данных
(ловушки, false-positives, шифрование, стеганография)
Отчет эксперта-криминалиста
- Обоснованность с технической точки зрения
- Действия в рамках закона
О чем
это мы? Forensics
4. Stage 1: Memory acquisition
Target: Physical memoryDEFT
Digital Evidence & Forensics Toolkit
CLI:
● dfcldd
● AFFLIB
● Libewf
GUI-based:
● Guymager
● AIR
Commercials:
Encase, X-Ways
Forensics, etc.
О чем
это мы?
6. freegoogleslidestemplates.comFGST
Where to fail? 6
Rootkits Malicious activity
Kernel-level (ctd.)
- подменяем драйверы
- обходим виртуализацию
памяти
- подменяем shared libraries
(не сработает в случае
статической линковки)
Kernel-level
- серьезный урон;
- модификация ОС для
произвольных реакций
системы;
- позволяет прятать
файлы, блоки
физической и
виртуальной памяти;
User-level
- незначительный
урон;
- модификация
системных команд
(ls, ps, du, df);
- изменение
информации о диске,
запущенных
процессах и пр.
Memory losses
О чем
это мы?
7. Stage 2: Extract digital evidence
Hands-on
- долго, рискованно
- кропотливо
- познавательно
- разнообразно
Automate
- быстро
- шаблонно
- не на все случаи жизни
- формализовано
О чем
это мы?
9. === PREPARE VOLATILITY ===
BUILD OWN PROFILE
✓ Module.dwarf
✓ System.map
✓ Load built profile
✓ Ready for stage 2
О чем
это мы? Stage 2: Extract digital evidenceО чем
это мы?
10. О чем
это мы?
О чем
это мы?
calculate()
render_table()
render_text()
render_custom_format()
ask Google for help
volatility
↳ plugins
↳ linux
↳ common
↳ AbstractLinuxCommand
↳ <YOURCLASS>
Startpack
11. Как это
работает?
1
2
3
Знакомимся с графическим стеком
Linux
User-space, kernel, hardware
Анализируем информационные
потоки
Как “рождается” картинка
Делаем выводы
Как эти знания применимы для нашего исследования?
12. Как это
работает? Linux Graphics Stack
Behind the scenes
User-space
Layer
http://phd.mupuf.org/files/fosdem2013_drinext_drm2.pdf
13. Как это
работает? Linux Graphics Stack
Behind the scenes
http://phd.mupuf.org/files/fosdem2013_drinext_drm2.pdf
14. Как это
работает? Linux Graphics Stack
Behind the scenes
http://phd.mupuf.org/files/fosdem2013_drinext_drm2.pdf
15. Как это
работает? Linux Graphics Stack
Behind the scenes
http://phd.mupuf.org/files/fosdem2013_drinext_drm2.pdf
20. Продумываем
нашу идею
!
!!
!!!
Одним выстрелом двух зайцев
✓Познавательно для нас, вклад в коммьюнити
Костыльно-ориентированный подход
⚐ Чтобы не стыдно было показать
Архитектурное решение
Стек технологий, задачи, этапы, эджайл
21.
22. Graphics memory mapped into RAMРаботаем
01:00.0 VGA compatible controller: Advanced Micro Devices, Inc. [AMD/ATI] Caicos XTX
[Radeon HD 8490 / R5 235X OEM] (prog-if 00 [VGA controller])
Subsystem: Hewlett-Packard Company Caicos XTX [Radeon HD 8490 / R5 235X OEM]
Flags: bus master, fast devsel, latency 0, IRQ 27
Memory at e0000000 (64-bit, prefetchable) [size=256M]
lspci
23. PCI devices presentation in Linux Kernel
system.map:
ffffffff81aa8360 D pci_bus_type
Работаем
symbol name
data section initialized
global symbol
address
system.map sample:
000000000000a020 D cpu_llc_id
000000000000a080 D cpu_core_map
000000000000a0c0 D cpu_sibling_map
000000000000a100 D cpu_info
000000000000a1e0 D cpu_number
000000000000a1e8 D this_cpu_off
000000000000a1f0 D x86_cpu_to_apicid
000000000000a240 d pmc_prev_left
000000000000a440 D cpu_hw_events
000000000000b700 d bts_ctx
24. Структура sysbus_private - данные драйвера
struct bus_type {
…
struct subsys_private *p;
…
}
Находим по известному сдвигу (DWARF)
Работаем
PCI devices presentation in Linux Kernel
http://freegoogleslidestemplates.com/general-purpose-free-google-slides-templates/http://freegoogleslidestemplates.com/general-purpose-free-google-slides-templates/http://freegoogleslidestemplates.com/general-purpose-free-google-slides-templates/1. Вводная часть (слайд Agenda с добавлением пункта "введение к криминалистику").
2. Группа слайдов про основные этапы проведения компьютерной экспертизы
- немного организационных моментов;
- перечень этапов (получение данных, обеспечение их подлинности, дальнейшие методики анализа - по 1-2 примера на каждый случай) с используемым ПО.
3. Группа слайдов о том, в чем состояло наше исследование, его актуальность.
4. Группа слайдов о предмете исследования: видеопамять ОС Linux
- как устроена видеопамять / графическая подсистема;
- обзор уже проведенных исследований по нашей тематике. В качестве бонуса планирую еще рассказать о том, как вредоносное ПО может использовать GPU, оставаясь незамеченным для антивирусов и других средств обнаружения вредоносов.
5. Группа слайдов о том, как проводилось исследование:
- как осуществлялся поиск необходимых регионов памяти в имеющихся данных (дампах памяти); с разбором преимуществ и недостатков данного метода;
- как это автоматизировалось;
- как полученные данные анализировались и извлекались уже непосредственно скриншоты.
6. Заключение (1-2 слайда) о том, что можно делать с полученными результатами исследования.
История про то, как парень занимался сбытом детской порнографии, его сдали соседи, полиция с экспертами для задержания прибыли, поймали момент, когда были разблокированы криптоконтейнеры. Но, когда задержанный попросил стакан воды - он вылил его в розетку и это вырубило питание во всем доме.
Другая файловая система: если ее не поддерживает средство автоматического сбора информации
проблемы: 1) чем больше объем устройства, тем больше времени нужно для создания и хранения копий (линейная зависимость)
2) рассказать про то, что нужно использовать новые хеши, дублировать данные, о проблемах копирования данных с блочных устройств (особенно с устройств где битые блоки данных).Важно!! Про то, что необходимо вайпнуть место, куда будете писать. Доверять контроллеру, что там нет малвари, которая может перетереть3) о том, почему важно считать ВСЮ память: партиции, слэк спейс,
2009 год - Исследование принстонского университета Cold Boot attacksИ просто средствами самой системы, или можно упомянуть про лайм (линукс, андроид)
о том, насколько круты решения из коробки, что ничегоо делать не надо
о том, что опенсорс рулит блаблабла
продумать: здесь описать то, что будем обсужать на данном этапе
о том, насколько круты решения из коробки, что ничегоо делать не надо
Это в группе слайдов про “контрибьютим”
http://freegoogleslidestemplates.com/general-purpose-free-google-slides-templates/http://freegoogleslidestemplates.com/general-purpose-free-google-slides-templates/http://freegoogleslidestemplates.com/general-purpose-free-google-slides-templates/1. Вводная часть (слайд Agenda с добавлением пункта "введение к криминалистику").
2. Группа слайдов про основные этапы проведения компьютерной экспертизы
- немного организационных моментов;
- перечень этапов (получение данных, обеспечение их подлинности, дальнейшие методики анализа - по 1-2 примера на каждый случай) с используемым ПО.
3. Группа слайдов о том, в чем состояло наше исследование, его актуальность.
4. Группа слайдов о предмете исследования: видеопамять ОС Linux
- как устроена видеопамять / графическая подсистема;
- обзор уже проведенных исследований по нашей тематике. В качестве бонуса планирую еще рассказать о том, как вредоносное ПО может использовать GPU, оставаясь незамеченным для антивирусов и других средств обнаружения вредоносов.
5. Группа слайдов о том, как проводилось исследование:
- как осуществлялся поиск необходимых регионов памяти в имеющихся данных (дампах памяти); с разбором преимуществ и недостатков данного метода;
- как это автоматизировалось;
- как полученные данные анализировались и извлекались уже непосредственно скриншоты.
6. Заключение (1-2 слайда) о том, что можно делать с полученными результатами исследования.