Bezpečnost ?
Štefan Šafár, bezpečnostní administrátor
Obsah
•
•
•
•
•
•

Bezpečnost v různých fázích vývoje software
Návrh / Analýza
Vývoj / Testování
Provoz / Maintenance
Co j...
Jak uchopit bezpečnost
•
•
•
•
•

SDLC – Systems development life-cycle
CLASP
Microsoft SDL
BSIMM2
OWASP OpenSAMM

www.sez...
Návrh / Analýza
• Modelování / Analýza rizik
• DEMO

www.seznam.cz
Vývoj / Testování
• Školení programátorů – jazyky?
• Code review – náročné na čas?
• Whitebox testování – Lint (statická a...
www.seznam.cz
www.seznam.cz
Provoz / Maintenance
• Management balíčků / verzí
• Scanner zranitelností
– Nessus, OpenVAS, …

• Dostatečně výkonný firew...
DoS – 03/2013

www.seznam.cz
DDoS 03/2013

www.seznam.cz
Salt stack – key generation
•
•
•
•

Systém na hromadnou správu serverů
V pythonu – snadná implementace vlastních skriptů
...
Salt stack – key generation
•
•
•
•
•
•

Systém na hromadnou správu serverů
V pythonu – snadná implementace vlastních skri...
Salt stack – key generation
•
•
•
•
•
•
•
•

Systém na hromadnou správu serverů
V pythonu – snadná implementace vlastních ...
IPMI – cipher 0
• Součást specifikace IPMI
• ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit
user list
• Růz...
IPMI – cipher 0
• Součást specifikace IPMI
• ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit
user list
• Růz...
iDRAC – root shell
•
•
•
•

Společnost DELL – management rozhraní serveru
Uživatel root defaultně povolen
Možnost přepnout...
www.seznam.cz
Co připravujeme / máme
• CSIRT tým
– http://napoveda.seznam.cz/csirt

• Trusted Introducer – accredited status
• SSL + PFS...
Děkuji za pozornost
Štefan Šafár, stefan.safar@firma.seznam.cz
www.seznam.cz
Upcoming SlideShare
Loading in …5
×

Odpoledne se Seznamem II - Provozní bezpečnost

1,880 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,880
On SlideShare
0
From Embeds
0
Number of Embeds
1,598
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Odpoledne se Seznamem II - Provozní bezpečnost

  1. 1. Bezpečnost ? Štefan Šafár, bezpečnostní administrátor
  2. 2. Obsah • • • • • • Bezpečnost v různých fázích vývoje software Návrh / Analýza Vývoj / Testování Provoz / Maintenance Co jsme za poslední rok řešili Co v provozu připravujeme www.seznam.cz
  3. 3. Jak uchopit bezpečnost • • • • • SDLC – Systems development life-cycle CLASP Microsoft SDL BSIMM2 OWASP OpenSAMM www.seznam.cz
  4. 4. Návrh / Analýza • Modelování / Analýza rizik • DEMO www.seznam.cz
  5. 5. Vývoj / Testování • Školení programátorů – jazyky? • Code review – náročné na čas? • Whitebox testování – Lint (statická analýza) – http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis • Whitebox testování – Dynamická analýza – http://en.wikipedia.org/wiki/Dynamic_program_analysis • Greybox? • Blackbox testování – automatické – Acunetix, Netsparker, IBM Appscan, HP Webinspect, … • Blackbox testování – manuální – Distribuce Kali, BlackArch… www.seznam.cz
  6. 6. www.seznam.cz
  7. 7. www.seznam.cz
  8. 8. Provoz / Maintenance • Management balíčků / verzí • Scanner zranitelností – Nessus, OpenVAS, … • Dostatečně výkonný firewall • Web Application Firewall – Škálování? Udržování? SSL? • SSL – Ukončování? Algoritmy? Preference šifer? www.seznam.cz
  9. 9. DoS – 03/2013 www.seznam.cz
  10. 10. DDoS 03/2013 www.seznam.cz
  11. 11. Salt stack – key generation • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní www.seznam.cz
  12. 12. Salt stack – key generation • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 www.seznam.cz
  13. 13. Salt stack – key generation • • • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 d=1 c = me (mod n), m = cd (mod n) www.seznam.cz
  14. 14. IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW www.seznam.cz
  15. 15. IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW • „Vypněte cipher 0 nainstalováním nejnovějšího firmware“ • „Vypněte IPMI a SNMP, pokud je nepoužíváte“ • „Instalujte Urgentní upgrade hned jak je to možné“ • „Provozujte BMC v oddělené management síti a nenechávejte je otevřené do internetu“ • http://fish2.com/ipmi/cipherzero.html www.seznam.cz
  16. 16. iDRAC – root shell • • • • Společnost DELL – management rozhraní serveru Uživatel root defaultně povolen Možnost přepnout login shell http://fish2.com/ipmi/dell/secret.html www.seznam.cz
  17. 17. www.seznam.cz
  18. 18. Co připravujeme / máme • CSIRT tým – http://napoveda.seznam.cz/csirt • Trusted Introducer – accredited status • SSL + PFS + HSTS pro (snad) všechny služby • Bezpečná VLAN v NIXu www.seznam.cz
  19. 19. Děkuji za pozornost Štefan Šafár, stefan.safar@firma.seznam.cz www.seznam.cz

×