InterSystems High Availability and Mirroring solutionsInterSystems
О высокой доступности и зеркалировании с использованием технологий InterSystems.
Доклад на InterSystems Meetup Астана
Автор Трефилов Дмитрий
High Availability and Mirroring
with InterSystems Technology.
InterSystems Meetup Astana report.
Dmitry Trefilov
Доклад с конференции Стачка 2017
Нагрузочное тестирование в Lazada
* Как мы до этого дошли и зачем нам это надо
* Что мы используем готового и что пришлось разработать самим
* Как мы анализируем результаты тестов и какую статистику собираем
* Почему мы доверяем результатам тестирования
* Как мы стреляем по продакшену и ничего не боимся
* Какие ресурсы нужны для построения системы нагрузочного тестирования
* Что мы хотим сделать в будущем
InterSystems High Availability and Mirroring solutionsInterSystems
О высокой доступности и зеркалировании с использованием технологий InterSystems.
Доклад на InterSystems Meetup Астана
Автор Трефилов Дмитрий
High Availability and Mirroring
with InterSystems Technology.
InterSystems Meetup Astana report.
Dmitry Trefilov
Доклад с конференции Стачка 2017
Нагрузочное тестирование в Lazada
* Как мы до этого дошли и зачем нам это надо
* Что мы используем готового и что пришлось разработать самим
* Как мы анализируем результаты тестов и какую статистику собираем
* Почему мы доверяем результатам тестирования
* Как мы стреляем по продакшену и ничего не боимся
* Какие ресурсы нужны для построения системы нагрузочного тестирования
* Что мы хотим сделать в будущем
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОPositive Hack Days
Ведущие: Эмиль Олейников и Юрий Гуркин
Как медицинские, так и SCADA-системы обладают возможностью удаленного управления, настройки и наблюдения. Зачастую их подключают к интернету. В докладе рассказывается об уязвимостях в специализированном ПО, используемом в медицине и промышленности, которые были исследованы с помощью отечественного пентест-фреймворка EAST (exploits and security tools). Аналогично Metasploit, он позволяет автоматизировать и облегчить поиск уязвимостей и иллюстрацию уровня риска.
Нестандартные сценарии при проведении тестов на проникновение.
Пара не слишком-то и нестандартных случаев из практики. Показательно с точки зрения распространённости таких ошибок.
Спасибо Руслану Сабитову за предоставленную презентацию по аналогичной теме. Иначе было бы сложно сделать её в день доклада =)
Олег Миколайченко "Как перестать хранить секреты в git и начать использовать ...Fwdays
Покажу как выпилить пароли/сертификаты/важные данные из репозиториев. Дам всю необходимую информацию для внедрению Hashicorp Vault в вашей компании и команде. Сделаю акцент на использовании в контейнерных инфраструктурах. Рассмотрю продвинутые практики использования и юз-кейсы с вау эффектом, которые работают в реальной жизни. Тут будут звучать такие слова как Ansible, Chef, Puppet, Docker, Swarm, Kubernetes etc.
Доклад, который сможет помочь сделать все хорошо, даже если сейчас все плохо.
В докладе мы рассмотрим наиболее распространенные проблемы реализации микросервисной архитектуры. На примерах разберем почему четкая постановка самой проблемы это уже половина решения. В ходе доклада мы коснемся таких проблем-ловушек:
- выбор неправильного технологического стека
- как запутаться в трех микросервисах при дебагинге
- как легко и просто потерять свои данные
- как выбрать паттерн коммуникации между микросервисами, чтобы разработчики были несчастны
Доклад является языком/технологически независимым, то есть подобные проблемы могут возникать на проекте с любым стеком.
4 года разрабатывает видеостриминговый сервер эрливидео и в этом докладе расскажет о некоторых отличительных возможностях Erlang, которые позволяют быстро развиваться и поддерживать высочайшее качество ПО минимальными усилиями.
Prometheus мониторинг микросервисных приложений / Виталий ЛевченкоOntico
Prometheus, в отличие от классических систем, даёт возможность легко поднять и поддерживать мониторинг быстро меняющихся и сложно организованных систем. Я расскажу об опыте внедрения, подводных камнях и неожиданном поведении, покажу способы быстрой конфигурации всей системы, включая уведомления и дашборды.
В дополнение к классическим проблемам мониторинга монолитного приложения, микросервисы создают массу новой головной боли для мониторинга. Расположение сервисов постоянно меняется, часто появляются новые сервисы, меняются зависимости между ними, временные job'ы запускаются в случайном месте — пропадает понятие стабильной конфигурации. Пропадает понятие продакшна: в одной среде запущено множество версий одного сервиса — при деплое, для разных сегментов аудитории, для тестов и т.п. Разработчики же при виде такого счастья склонны быстро улучшать приложение, создавать много новых метрик, постоянно убивать старые и, несмотря на это, ожидать работающий мониторинг и реакции на новые проблемы.
Prometheus построен по мотивам Google Borgmon и отлично решает эти проблемы, предоставляя инструменты для автоматического и быстрого ручного обновления конфигурации. Запустился новый сервер, новый сервис, новая версия — и они уже подключены в мониторинг. Остановились — их там нет, если не нужны. Пропала неактуальная метрика — алертинг умеет с этим жить.
После этого доклада у вас будет понимание, насколько Prometheus подходит для использования в ваших системах.
Как перестать хранить секреты в git и начать использовать Hashicorp VaultOleg Mykolaichenko
Покажу как выпилить пароли/сертификаты/важные данные из репозиториев. Дам всю необходимую информацию для внедрения Hashicorp Vault в вашей компании и команде. Сделаю акцент на использовании в контейнерных инфраструктурах. Рассмотрю продвинутые практики использования и юз-кейсы с вау эффектом, которые работают в реальной жизни. Тут будут звучать такие слова как Ansible, Chef, Puppet, Docker, Swarm, Kubernetes etc.
Доклад, который сможет помочь сделать все хорошо, даже если сейчас все плохо.
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОPositive Hack Days
Ведущие: Эмиль Олейников и Юрий Гуркин
Как медицинские, так и SCADA-системы обладают возможностью удаленного управления, настройки и наблюдения. Зачастую их подключают к интернету. В докладе рассказывается об уязвимостях в специализированном ПО, используемом в медицине и промышленности, которые были исследованы с помощью отечественного пентест-фреймворка EAST (exploits and security tools). Аналогично Metasploit, он позволяет автоматизировать и облегчить поиск уязвимостей и иллюстрацию уровня риска.
Нестандартные сценарии при проведении тестов на проникновение.
Пара не слишком-то и нестандартных случаев из практики. Показательно с точки зрения распространённости таких ошибок.
Спасибо Руслану Сабитову за предоставленную презентацию по аналогичной теме. Иначе было бы сложно сделать её в день доклада =)
Олег Миколайченко "Как перестать хранить секреты в git и начать использовать ...Fwdays
Покажу как выпилить пароли/сертификаты/важные данные из репозиториев. Дам всю необходимую информацию для внедрению Hashicorp Vault в вашей компании и команде. Сделаю акцент на использовании в контейнерных инфраструктурах. Рассмотрю продвинутые практики использования и юз-кейсы с вау эффектом, которые работают в реальной жизни. Тут будут звучать такие слова как Ansible, Chef, Puppet, Docker, Swarm, Kubernetes etc.
Доклад, который сможет помочь сделать все хорошо, даже если сейчас все плохо.
В докладе мы рассмотрим наиболее распространенные проблемы реализации микросервисной архитектуры. На примерах разберем почему четкая постановка самой проблемы это уже половина решения. В ходе доклада мы коснемся таких проблем-ловушек:
- выбор неправильного технологического стека
- как запутаться в трех микросервисах при дебагинге
- как легко и просто потерять свои данные
- как выбрать паттерн коммуникации между микросервисами, чтобы разработчики были несчастны
Доклад является языком/технологически независимым, то есть подобные проблемы могут возникать на проекте с любым стеком.
4 года разрабатывает видеостриминговый сервер эрливидео и в этом докладе расскажет о некоторых отличительных возможностях Erlang, которые позволяют быстро развиваться и поддерживать высочайшее качество ПО минимальными усилиями.
Prometheus мониторинг микросервисных приложений / Виталий ЛевченкоOntico
Prometheus, в отличие от классических систем, даёт возможность легко поднять и поддерживать мониторинг быстро меняющихся и сложно организованных систем. Я расскажу об опыте внедрения, подводных камнях и неожиданном поведении, покажу способы быстрой конфигурации всей системы, включая уведомления и дашборды.
В дополнение к классическим проблемам мониторинга монолитного приложения, микросервисы создают массу новой головной боли для мониторинга. Расположение сервисов постоянно меняется, часто появляются новые сервисы, меняются зависимости между ними, временные job'ы запускаются в случайном месте — пропадает понятие стабильной конфигурации. Пропадает понятие продакшна: в одной среде запущено множество версий одного сервиса — при деплое, для разных сегментов аудитории, для тестов и т.п. Разработчики же при виде такого счастья склонны быстро улучшать приложение, создавать много новых метрик, постоянно убивать старые и, несмотря на это, ожидать работающий мониторинг и реакции на новые проблемы.
Prometheus построен по мотивам Google Borgmon и отлично решает эти проблемы, предоставляя инструменты для автоматического и быстрого ручного обновления конфигурации. Запустился новый сервер, новый сервис, новая версия — и они уже подключены в мониторинг. Остановились — их там нет, если не нужны. Пропала неактуальная метрика — алертинг умеет с этим жить.
После этого доклада у вас будет понимание, насколько Prometheus подходит для использования в ваших системах.
Как перестать хранить секреты в git и начать использовать Hashicorp VaultOleg Mykolaichenko
Покажу как выпилить пароли/сертификаты/важные данные из репозиториев. Дам всю необходимую информацию для внедрения Hashicorp Vault в вашей компании и команде. Сделаю акцент на использовании в контейнерных инфраструктурах. Рассмотрю продвинутые практики использования и юз-кейсы с вау эффектом, которые работают в реальной жизни. Тут будут звучать такие слова как Ansible, Chef, Puppet, Docker, Swarm, Kubernetes etc.
Доклад, который сможет помочь сделать все хорошо, даже если сейчас все плохо.
Anton Alexanenkov - Tor and Botnet C&C DefconRussia
- пробежимся по структуре Tor
- взглянем на варианты использования Tor при построении ботнета
-рассмотрим существующие атаки на анонимность скрытых сервисов Tor
- порассуждаем как противодействовать таким ботнетам
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Для работы привилегированных пользователей создаются исключения в политиках безопасности и предоставляются преференции в ИТ-процессах. Средства защиты периметра обеспечивают привилегированным пользователям доступ внутрь сети и возможности удаления данных аудита, доступ к данным без уведомления. Получение доступа к контроллеру домена на основании доступного хэша пароля позволяет эскалировать привилегии существующих привилегированных учетных записей и создавать новые. Конечные точки создают плацдарм для атак, доступ к данным и средства эскалации привилегий вглубь инфраструктуры. Хищение привилегированных учетных данных и эскалация привилегий – сегодня являются основными причинами успешности атак.
Информационная безопасность на базе open source: есть ли смысл?Aleksey Lukatskiy
Анализ возможности перехода на open source решения в контексте кибербезопасности, а также рассмотрение возможных рисков этого и способов управления ими.
5. Закон Мёрфи
• Закон Мёрфи: если есть вероятность того,
что какая-нибудь неприятность может
случиться, то она обязательно произойдёт.
6. «Судьба» или риск менеджмент
• Взлом был всегда возможен
• Остаточный риск
• Безопасность на бумаге и безопасность
в дата центре
• Как удостоверится, что все контроли
работают как и ожидается
• Роль комплексной оценки
7. Семантика
• Пентест (испытание на проникновение):
– Главная цель ***проникновение***
– Проверка всех хостов – не цель
– Проверка всех дыр – не цель
• Оценка на уязвимость:
– Главная цель ***оценка***
– Проверка всех хостов и приложений
– Проверка всех дыр
8. Методологии
• OSSTMM – детальная, бесплатная
• NIST SP 800-115 – менее детальный,
бесплатная; для правительственных
организаций
9. Методология
• Исследование цели
• Зондирование цели
• Идентификация цели
• Оценка уязвимостей
• Верификация (Эксплуатация)
уязвимостей
• Восстановление систем
• Внешняя и внутренние фазы
10. Важные бизнес «мелочи»
• Rules of Engagement
• Детальный план тестирования
• Процедура поддержания связи
• Формат и частота отчётов
• Whole Disk Encryption или Truecrypt
контейнеры
• Исключеные сети и системы
14. Проблемы конфигурации
• Огромный супер принтер, который сохранял всё, что
печатал на открытой NFS share. Было найдено много
абсолютно конфиденциальных документов.
15. Классическая Инъекция
• 87 веб серверов: в
пентесте выбирают
low-hanging fruit,
самое слабое звено в
цепи
• Маловажное веб
приложение
позволило
классическую SQL
Injection, но без прав
админа
16. Информация куки в чистом виде
• К счастью, это можно было
исправить изменив значение
переменной UserLevel в куке
• Админ доступ дал доступ к
паролям 40 других
пользователей в чистом, не
зашифрованном виде
• 2 из этих паролей сработали
на Ситрикс сервере и на VPN
сервере
• Они же оказались админами
в Active Directory..... Та-да-а-
а-а!
17. Persistent XSS
• Здесь ещё одна классика:
persistent XSS (чаще
встречаются только reflected
XSS)
• Крадём идентификатор сессии
админа, создаём у себя куки с
этим идентификатором, и
владеем сервером....
18. JBOSS
• Сервер JBOSS, на котором «забыли»
защитить деплойер
• Анонимный пользователь мог внедрить
любое приложение написаное в JAVA; мы
внедрили простую шел
19. JBOSS
• На Интернете не
мало уязвимых
JBOSS серверов
• На ноутбуке мы
быстро сделали
наипростейшее шел
приложение
• Потом установили
это на JBOSS сервер
• Последний шаг...
ревёрс шэл...
(фантазия не
бохатая)
20. В заключение
• Зубы нужно чистить, желательно после каждого
приёма пищи, даже если к вечеру они опять
загрязнятся...
• Нужно постоянно готовиться к защите от ПуПСика,
пока это рентабельно.
• Комплексная оценка безопасности всегда самый
эффективный способ удостовериться, что ваши
средства безопасности «ловят мышей».
• Комерческие инструменты, в большинстве случаев,
экономят деньги и повышают эффективность
• Правильное проектное управление экономит деньги
***всегда***
21. Буду рад вашим бизнес
предложениям!
• Fishing – не Phishing…
• Организую рыбалку в
следующие выходные (на
форель недалеко от Киева)
• Alex.eden@rimacom.com
• Мои профессиональные
сертификаты: CISSP, CISM,
PMP, и несколько других
• 063-149-1776 (Киев)
• 097-441-5414 (Киев)