Видео доклада: http://www.youtube.com/watch?v=9ZraBMDqX6Y
В 2014 году было обнаружено несколько масштабных критических уязвимостей в открытых проектах, затрагивающие миллионы компьютеров по всему миру. Например знаменитый Heartbleed, FREAK, POODLE и BEAST в библиотеке OpenSSL, обычный SQL Injection в популярной системе управления контентом Drupal. Возможно ли с этим бороться, есть ли плюсы в открытой модели разработки с точки зрения безопасности?
Доклад на конференции Bitcoin Conference Russia 2015 о новом типе фьючерсного контракта, который оказался очень удачным для биткойн-трейдеров.
Видео доклада, включая самое интересное - вопросы и ответы, смотрите на YouTube: https://youtu.be/2iCljuZWvdE
Слайды к первой лекции курса операционные системы в МГТУ им. Н.Э.Баумана.
Видео можно посмотреть на канале http://www.youtube.com/playlist?list=PLjSDyY6BQPVe2Zhxew5rJy2S-2_9t1vvn
Доклад на конференции Bitcoin Conference Russia 2015 о новом типе фьючерсного контракта, который оказался очень удачным для биткойн-трейдеров.
Видео доклада, включая самое интересное - вопросы и ответы, смотрите на YouTube: https://youtu.be/2iCljuZWvdE
Слайды к первой лекции курса операционные системы в МГТУ им. Н.Э.Баумана.
Видео можно посмотреть на канале http://www.youtube.com/playlist?list=PLjSDyY6BQPVe2Zhxew5rJy2S-2_9t1vvn
Темой этого выпуска стала кибербезопасность. О ней говорится в большей части статей. Другая часть посвящена вопросам внутренних разбирательств, борьбы с утечками, стандартам. http://dlp-expert.ru/bdi/2
- Информационная безопасность домена .RU.
- Опыт реестра .INFO по внедрению Anti-Abuse Policy.
- Тенденции в международных доменах - увеличение обязанностей регистратора по противодействию киберпреступлениям.
- Каким быть правилам регистрации российских доменов .RU и .РФ с точки зрения информационной безопасности?
О том, как в компании разрабатываются некоторые OpenSource проекты, как используются внешние OpenSource-решения и каков опыт Яндекса в этом, особенности и получаемая польза.
Темой этого выпуска стала кибербезопасность. О ней говорится в большей части статей. Другая часть посвящена вопросам внутренних разбирательств, борьбы с утечками, стандартам. http://dlp-expert.ru/bdi/2
- Информационная безопасность домена .RU.
- Опыт реестра .INFO по внедрению Anti-Abuse Policy.
- Тенденции в международных доменах - увеличение обязанностей регистратора по противодействию киберпреступлениям.
- Каким быть правилам регистрации российских доменов .RU и .РФ с точки зрения информационной безопасности?
О том, как в компании разрабатываются некоторые OpenSource проекты, как используются внешние OpenSource-решения и каков опыт Яндекса в этом, особенности и получаемая польза.
Serghei Iakovlev "Chaos engineering in action"Fwdays
Let's talk about what chaos engineering is and how this discipline can be applied in projects where PHP is used as the main language.
Among other things, we will cover the following topics:
What problems does chaos engineering solve?
What are the solutions exist?
How to develop your own solution?
What is a controlled failover?
A little about ZendEngine and what tools are out of the box?
A bit about chaos design.
A bit about the code leading to chaos.
PVS-Studio, решение для разработки современных ресурсоемких приложенийTatyanazaxarova
Инструмент PVS-Studio
набор правил Viva64 для анализа 64-битных приложений;
набор правил VivaMP для анализа параллельных приложений;
набор правил для анализа общего назначения.
Лицензионная и ценовая политика PVS-Studio
Информация о компании ООО «СиПроВер»
(Не)безопасный Frontend / Сергей Белов (Digital Security)Ontico
Чем больше выносится данных и действий на Frontend, тем он становится более привлекательным для злоумышленников.
Данный доклад посвящен различным client-side атакам, в том числе, реализуемым через уязвимости во frontend-части веб-приложений:
- DOM Cross Site Scripting;
- Content Security Policy и его обход;
- "мисконфиги" на серверной стороне, позволяющие провести успешные атаки, направленные на браузер пользователя;
- атаки через js-фреймворки;
- правильная установка cookies;
- HSTS;
- HTML5 и безопасность;
- "сложные" случаи эксплуатации client-side уязвимостей;
- и кое-что еще.
Доклад ранее нигде не был представлен.
OpenStack - Python Project with 12 Million Lines of code (RUS, Moscow Python ...Vadim Ponomarev
The report tells about one of the largest open-source projects written in the python language - OpenStack, what it consists of, how development is carried out. I also tell you how to become a member of the community and start contributing to the project. The report is very useful for novice developers who are just starting their steps in the world of OpenStack.
Abstract: https://conf.python.ru/2019/abstracts/4607
Video: https://www.youtube.com/watch?v=coD5f4ALGug
Александр Сычев "Статика и динамика. Как фреймворки помогут прокачать ваше пр...IT Event
Время сборки swift-приложений стало притчей во языцех в iOS-сообществе. Чуть ли не каждый день появляется новая статья о том, как ускорить компиляцию исходного кода очередным лайфхаком. При этом современные мобильные проекты давно перешагнули стадию быстрой домашней разработки и сейчас включают сотни тысяч строк кода, удобная организация которого также представляет собой нетривиальную задачу. Одним из решений указанных проблем является создание фреймворков, реализующих основополагающий принцип разделения ответственностей модульной архитектуры.
В рамках доклада будут рассмотрены процессы создания и поддержки фреймворков и организация многослойного приложения на их основе. Слушатели узнают о сложностях, с которыми им придется столкнуться при разработке фреймворка, и о том, как их следует решать.
Рассказ будет интересен разработчикам, сталкивающимся в своей практике с задачей развития универсальных приложений со множеством дополнительных возможностей.
Видео: https://www.youtube.com/watch?v=IUtbbN9aevU
Веб-приложения становятся все больше и сложнее, так что многое остается вне нашего поля зрения. Поэтому фреймворки и приложения должны предоставлять дополнительные инструменты, упрощающие разработку и понимание того, что же происходит у них там — «под капотом». В ходе доклада я расскажу о таких инструментах: какими они могут быть, какие задачи решать, что необходимо для их создания.
SPA Meetup, 28 февраля 2015, Москва, Авито
2. О докладчике
• Алексей Брагин, aleksey@reactos.org
• Активный участник СПО с 2000 г.
• 10+ лет разработки и руководства ReactOS
• Разносторонние интересы
• Программирование
• Бизнес
• Финансы
• Управление
• Наука
• Соавтор доклада – Pierre Schweitzer
• Сфера интересов – информационная безопасность, инфраструктура
3. О докладчике
• Координатор проекта ReactOS
• Преподаватель в МГТУ им. Н.Э.Баумана
• Научный руководитель НИРС
• Участник рабочей группы по ОС МинСвязи
• Член комиссии по модернизации Научного
совета РАН по проблемам европейской
интеграции и модернизации
4. ИБ в открытых проектах
1. Безопасность (надёжность) исходного кода
2. Безопасность инфраструктуры
3. Безопасность самого проекта
5. 1. Безопасность кода в открытых проектах
• Критические уязвимости в 2014 году – в открытых проектах
• Heartbleed (OpenSSL, CVE-2014-016)
• Shellshock (Bash, CVE-2014-6271)
6. OpenSSL – открытая библиотека SSL/TLS
• OpenSSL – очень широко используемый проект
• Нет коммерческой поддержки
• Отсутствует аудит кода
• Все только используют, но не помогают
• Только 2 человека работает над ним полное рабочее время
7. Bash – командный процессор, оболочка
• Bash – очень широко используемый проект
• Нет коммерческой поддержки
• Отсутствует аудит кода
• Все только используют, но не помогают
• 1 мейнтейнер
8. Как с этим бороться?
• Аудит исходного кода, в т.ч. независимый
• Рецензирование (review) всех вносимых изменений
• Возможно позволило бы обнаружить heartbleed/shellshock
• Негативное тестирование
• Обычно – тестирование на обнаружение регрессий
• Нужно – тестирование с совершенно некорректными значениями параметров.
Позволило бы обнаружить heartbleed/shellshock
• Статический анализ кода
• Не помогло в случае Heartbleed/shellshock
• Fuzzing – (полу)автоматическое тестирование, подающее на вход
различные неправильные, неожидаемые и случайные значения
• Позволило бы обнаружить heartbleed/shellshock
9. Apple “goto fail” – что могло помочь?
• Правильный стиль
написания кода
• Правильные методы
разработки
• copy/paste вносит ошибки
• Опции компилятора
• Игнорирование
предупреждений
компилятора – верный путь к
ошибкам
hashOut.data = hashes + SSL_MD5_DIGEST_LEN;
hashOut.length = SSL_SHA1_DIGEST_LEN;
if ((err = SSLFreeBuffer(&hashCtx)) != 0)
goto fail;
if ((err = ReadyHash(&SSLHashSHA1, &hashCtx)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &clientRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail; /* err здесь равно 0, т.е. «успех» */
if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
goto fail;
err = sslRawVerify(...);
fail: /* Epic */
10. 1. Безопасность кода в открытых проектах
• Уязвимость в открытом проекта – не значит, что проект
провальный.
• Люди ошибаются
• Разработчики не могут просчитать все сценарии работы кода
• Common Weakness Enumeration – CWE MITRE
• Общие шаблоны ошибок
• Пример того, как была предотвращена уязвимость в ReactOS
• https://www.reactos.org/node/932
11. 2. Безопасность инфраструктуры
• Проект свободный, исходные коды открыты
• Но не стоит игнорировать уязвимости хостинга, на котором он
работает
• Учётные записи пользователей
• Те же принципы системного администрирования как и для любой
серьёзной инфраструктуры
• Политики безопасности
• Системы Intrusion Detection System / Prevention System
• Обновление ОС/ПО
• Firewall
• Аудит безопасности
12. Инфраструктура СПО
• Утечка данных – всегда имеет огромные последствия
• Не важно – из компании или из открытого проекта
• Всего-лишь один из векторов атаки
• А что, если злоумышленники похитят данные для внесения изменений в
код (коммитов) от имени разработчика этого проекта?
• Не волнуйтесь, вас тоже рано или поздно взломают
• ReactOS – не исключение, ситуация подробно описана
• https://www.reactos.org/node/928
13. 3. Безопасность самого проекта
• Надёжность хранения данных – это тоже безопасность!
• Резервное копирование – залог успеха
• В этом ошибаются очень и очень многие
• Управление правами доступа в команде
• Где размещать код?
• Что делать, если хостинг закрывается
(Например, Google Code)
14. Сила открытого кода
• Открытый код должен больше дублироваться
• во многих местах по всему миру
• децентрализация
• В реальности всё не так…
• Например, TrueCrypt (из-за плохой лицензии)