Выступление на семинаре "Безопасная разработка и защита приложений", прошедшем 20 апреля в Mail.Ru Group.
Видео доступно по ссылке https://it.mail.ru/video/568/
Презентация по ФГИС ЕСИА. Показана на 21-ой научно-технической конференции "Методы и технические средства обеспечения безопасности информации", Санкт-Петербург, 2012.
Электронная аутентификация в государственных системахMikhail Vanin
Доклад с моего выступления на PKI Forum.
В докладе рассмотрены опыт США и Европы по электронной идентификации пользователей государственных систем. Оценены возможные подходы, применяемые в России.
Презентация по ФГИС ЕСИА. Показана на 21-ой научно-технической конференции "Методы и технические средства обеспечения безопасности информации", Санкт-Петербург, 2012.
Электронная аутентификация в государственных системахMikhail Vanin
Доклад с моего выступления на PKI Forum.
В докладе рассмотрены опыт США и Европы по электронной идентификации пользователей государственных систем. Оценены возможные подходы, применяемые в России.
Возрастанию значения подписания кода способствуют две тенденции: рост популярности пользовательских приложений для мобильных и настольных устройств и распространение вредоносных программ. Для киберпреступников это открывает возможность заставить пользователей обманным путем устанавливать вредоносные программы. Прежде чем принять код для распространения, издатели ПО и операторы мобильных сетей все чаще требуют сертификат подписания кода, выданный надежным центром сертификации. Узнайте о преимуществах подписания кода: загрузите нашу официальную публикацию и презентацию SlideShare.
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Dmitry Tikhovich
Перспективно мыслящие ИТ-специалисты, которым приходится постоянно иметь дело с попытками взлома систем безопасности, целенаправленными устойчивыми угрозами и сотрудниками из поколения 2000-х, которым нужен доступ в Интернет 24 часа в сутки, теперь могут создать единую точку контроля для доступа в Интернет и обеспечения безопасности, используя решение
F5 Secure Web Gateway Services.
Gemalto - SAM (SafeNet Authentication Manager)Daria Kovalenko
Комплексная платформа аутентификации, которая позволяет организациям реализовывать прогрессивную стратегию строгой аутентификации для обеспечения локального и удаленного доступа к различным корпоративным ресурсам с использованием единого сервера аутентификации
Как разработчику обеспечить безопасность пользователей и данных в мобильном м...Andrey Beshkov
Рассказ о новых API безопасности появившихся в Windows 10. Подробное описание как интегрировать в ваши приложениях Microsoft passport, Windows Hello, Virtual smartcard и другие технологии безопасности. Как сделать ваши приложения удобнее и безопаснее.
Мониторинг приложений ASP.NET на основе сервиса Application InsightsMicrosoft
Запуск приложения в Production в большинстве случаев - процесс сложный, во время которого надо (и до него) тщательно отслеживать жизненный цикл приложения. Сервис Application Insights призван решить проблему с мониторингом жизненного цикла, являясь внешним компонентом, который можно подключить к приложению и серверу и постоянно получать полезную информацию и хранить ее в понятном виде.
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...SelectedPresentations
VII Уральский форум
Информационная безопасность банков
День Практической Безопасности
Илья Митричев, руководитель направления по работе с ключевыми клиентами, компания CTI
Источник: http://ural.ib-bank.ru/materials_2015
Мониторинг приложений ASP.NET на основе сервиса Application InsightsGoSharp
После запуска приложения в продакшн в большинстве случаев мы отправляем его в свободное плавание и не знаем о его работе ничего. Сервис Application Insights призван заполнить этот пробел и получить исчерпывающие знания о том, как работает ваше приложение и какие усилия мы должны приложить, чтобы сделать его лучше.
Лекция по безопасной разработке приложений защиты информации в РФ. Читается на 4 курсе ФРТК МФТИ. Рассмотрен процесс создания криптографических и технических средств защиты информации.
Возрастанию значения подписания кода способствуют две тенденции: рост популярности пользовательских приложений для мобильных и настольных устройств и распространение вредоносных программ. Для киберпреступников это открывает возможность заставить пользователей обманным путем устанавливать вредоносные программы. Прежде чем принять код для распространения, издатели ПО и операторы мобильных сетей все чаще требуют сертификат подписания кода, выданный надежным центром сертификации. Узнайте о преимуществах подписания кода: загрузите нашу официальную публикацию и презентацию SlideShare.
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Dmitry Tikhovich
Перспективно мыслящие ИТ-специалисты, которым приходится постоянно иметь дело с попытками взлома систем безопасности, целенаправленными устойчивыми угрозами и сотрудниками из поколения 2000-х, которым нужен доступ в Интернет 24 часа в сутки, теперь могут создать единую точку контроля для доступа в Интернет и обеспечения безопасности, используя решение
F5 Secure Web Gateway Services.
Gemalto - SAM (SafeNet Authentication Manager)Daria Kovalenko
Комплексная платформа аутентификации, которая позволяет организациям реализовывать прогрессивную стратегию строгой аутентификации для обеспечения локального и удаленного доступа к различным корпоративным ресурсам с использованием единого сервера аутентификации
Как разработчику обеспечить безопасность пользователей и данных в мобильном м...Andrey Beshkov
Рассказ о новых API безопасности появившихся в Windows 10. Подробное описание как интегрировать в ваши приложениях Microsoft passport, Windows Hello, Virtual smartcard и другие технологии безопасности. Как сделать ваши приложения удобнее и безопаснее.
Мониторинг приложений ASP.NET на основе сервиса Application InsightsMicrosoft
Запуск приложения в Production в большинстве случаев - процесс сложный, во время которого надо (и до него) тщательно отслеживать жизненный цикл приложения. Сервис Application Insights призван решить проблему с мониторингом жизненного цикла, являясь внешним компонентом, который можно подключить к приложению и серверу и постоянно получать полезную информацию и хранить ее в понятном виде.
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...SelectedPresentations
VII Уральский форум
Информационная безопасность банков
День Практической Безопасности
Илья Митричев, руководитель направления по работе с ключевыми клиентами, компания CTI
Источник: http://ural.ib-bank.ru/materials_2015
Мониторинг приложений ASP.NET на основе сервиса Application InsightsGoSharp
После запуска приложения в продакшн в большинстве случаев мы отправляем его в свободное плавание и не знаем о его работе ничего. Сервис Application Insights призван заполнить этот пробел и получить исчерпывающие знания о том, как работает ваше приложение и какие усилия мы должны приложить, чтобы сделать его лучше.
Лекция по безопасной разработке приложений защиты информации в РФ. Читается на 4 курсе ФРТК МФТИ. Рассмотрен процесс создания криптографических и технических средств защиты информации.
This document discusses tricks to hack popular websites. It begins by introducing bug bounty programs and common defenses on websites. It then describes three cross-site scripting vulnerabilities found on Google APIs. Next, it explains reverse clickjacking and how to exploit it. The document continues detailing vulnerabilities and exploits found on other sites, including using JavaScript to steal cookies and source code. It concludes by discussing content security policies and ways to bypass protections in browsers.
анализ кода: от проверки стиля до автоматического тестированияRuslan Shevchenko
Рассказ о истории и использовании в реальной жизни инструментов анализа кода на основе JavaChecker и TermWare
Сопустствующий текст: http://datacenter.gradsoft.ua/files/articles/OSDN2011/
Непрерывный анализ качества кода с помощью SonarQubeVasilii Chernov
Непрерывный анализ качества кода с помощью SonarQube. В презентации освещены основные принципы статического анализа кода, использование SonarQube, плагина для Jenkins CI SonarQube Github plugin и использование SonarLint для pre-commit проверки
My talk is about DSLs, their kinds and when it’s worth to be using them. I’ll also demonstrate different approaches to developing internal and external DSLs in Python and will try to give the comparative analysis of those.
"Научный хакатон" (англ. hackathon, от hack (см. хакер) и marathon — марафон) — формат, в котором разработчики и специалисты из разных областей вместе работают над решением какой-либо задачи, в результате чего создается концепт или прототип продукта.
Формат Хакатона: http://bit.ly/2lLgjmp
Научные Задачи: http://bit.ly/2mBfLgC
Презентация задач:
#1 https://youtu.be/7EMN0ED1LWw
#2 https://youtu.be/cH8BoWRs5lM
#3 https://youtu.be/i1cPCJiuPYw
Регистрация: http://bit.ly/2mkd4AM
Сайт: http://sciencehit.by/hackathon
Группа в fb: https://www.facebook.com/groups/scihackathon/
Научные митапы: каждый четверг на площадке ПВТ, Купревича 1/5, обсуждаем задачи, презентуем команды
Группа в vk: https://vk.com/event141357156
What one needs to know to work in Natural Language Processing field and the aspects of developing an NLP project using the example of a system to identify text language
O documento parece ser muito curto e não fornece informações claras. Não é possível produzir um resumo significativo com apenas letras e números sem contexto.
Ведущие: Денис Макрушин и Юрий Наместников
Среди прочих мер, направленных на защиту корпоративной инфраструктуры от злоумышленников, специалисты по безопасности полагаются на строгую политику ограничения доступа приложений к интернету. Защита информационных систем предприятия основана главным образом на принципе «запретить все, что не разрешено». Тем временем угрозы безопасности притаились в недрах корпоративных сетей и ждут, когда у сотрудников закончится рабочий день. Мы расскажем вам, как с наступлением темноты киберпреступники используют Notepad, AutoCAD, Tomcat и SQL Server в своих целях.
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...Mail.ru Group
В докладе были рассмотрены возможные подходы к решению задач идентификации, аутентификации и авторизации на уровне инфраструктуры организации.
Защита приложения требует наличия в нем встроенных функций идентификации/аутентификации/авторизации пользователя. Однако полагаться на встроенные функции становится сложно, когда необходимо обеспечить работу пользователей с множеством приложений, развернутых внутри организации и в облаке, и к тому же дать пользователям доступ с разнообразных устройств (ПК, мобильные устройства) и из сети организации, и вне ее периметра. В таких случаях задача обеспечения идентификации/аутентификации/авторизации должна быть решена на уровне инфраструктуры организации.
Аналитика мобильных приложений: как настроить аналитику в приложении, какие инструменты выбрать (Flurry, Google Analytics, Fabric Answers, AppsFlyer), на что обращать внимание
http://light.mdday.ru
Решения для бизнеса: криптографические продукты и онлайн сервисыЦифровые технологии
Презентация Чеснокова Сергея Евгеньевича, руководителя проектов ООО «Цифровые технологии». IV Всероссийская конференция по информационной безопасности в сфере электронной торговли «Электронная Россия: торги, документооборот, электронная подпись» Марий Эл, г. Йошкар-Ола, 01-02 ноября 2012 г.
Как настроить аналитику для мобильных приложенийНетология
Что происходит с вашим продуктом после того, как его скачает пользователь? Вы узнаете, как выбрать систему аналитики и как внедрить ее в свой бизнес.
— для чего нужна мобильная аналитика;
— какие существуют системы мобильной аналитики;
— как внедрить систему аналитики в ваш бизнес.
Презентация доклада с курса в школе интернет-маркетинга от Genius Marketing
Докладчик: Александр Щербина, Senior PPC Specialist at Netpeak
11 октября, Киев
Виды QA: Всё что вы не знали и боялись спроститьGoIT
19.02.2015 состоялось очередное событие, посвященное тематике Тестирования ПО.
Встреча помогла участникам
• разобраться в видах QA;
• получить информацию о «подводных» камнях каждого из направлений;
• узнать о специфике работы тестеровщика;
• перенять опыт тестировщиков с многолетним стажем;
• узнать о нововведениях в мире QA;
• выбрать свой путь развития в тестировании.
Спикерами выступили:
Александр Майданюк – QA Lead, Manager, QA Consultant и Trainer. Занимает позицию Head
of Quality Assurance Solution в Ciklum. Эксперт и судья QA секции чемпионатов UA Web
Challenge. Соучредитель Киевского Клуба тестировщика QA Club.
Николай Ковш – QA Engineer в Ciklum. Является ярким примером свитчера - человека,
который сменил область деятельности. Со-организатор ивентов в QA Club - самом большом
киевском сообществе тестировщиков. Николай расскажет, почему тестировщику важно
научиться программировать.
Марина Шевченко – Mobile QA Engineer в Ciklum. QA з досвідом тестування веб, дестопних
та мобільних додатків. Співорганізатор заходів в QA Club – найбільшій київській спільності
тестувальників.
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014ISSP Russia
Построение безопасной аутентификации к сервисам приватных и публичных облаков на базе решений Gemalto – ключевого компонента безопасной инфраструктуры Microsoft
Similar to Идентификация и аутентификация - встроенные функции безопасности или задачи специализированного сервиса организации? (20)
3. Возможные варианты реализации в приложении
парольной аутентификации
Использование встроенных
возможностей браузеров и
протокола HTTP
Создание в приложении
формы парольной
аутентификации
4. HTTP Basic парольная аутентификация
Клиент Сервер
GET /private HTTP/1.1
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Basic
realm= "Site name"
Пользователь
GET /private HTTP/1.1
Authorization: Basic dXNlcjpwYXNz==
HTTP/1.1 200 OK
* base64encode("user:pass")="dXNlcjpwYXNz"
5. Другие виды HTTP аутентификации
1. Digest
2. NTLM (Windows Authentication)
3. Negotiate
6. Аутентификация с использованием формы
Клиент Сервер
GET /login HTTP/1.1
HTTP/1.1 200 OK
Пользователь
POST /login HTTP/1.1
login=user@mail.ru&password=pass
HTTP/1.1 302 Found
Set-Cookie: token=AwM1ZW…Ni;
Secure; HttpOnly
GET /private HTTP/1.1
Cookie: token=AwM1ZW…Ni
HTTP/1.1 200 OK
7. Пользователи не доверяют паролям
Источник: 2015 Accenture DigitalConsumer Survey
Я нуждаюсь в
альтернативе
логинам/паролям для
своей защиты в
Интернете
Логины и
пароли
громоздки в
использовании
В следующем
году я бы
использовал
уникальный чип в
моем
телефоне/ПК для
своей защиты в
Интернете
В следующем
году я бы
использовал
биометрию для
своей защиты в
Интернете
Я знаю не менее
одной
альтернативы
логину/паролю
для своей
защиты в
Интернете
8. Повышение надежности аутентификации
Строгая аутентификация
(криптографические
средства и электронная
подпись)
Усиленная
аутентификация
(усиление парольной
аутентификацией –
проверка 2 фактора)
9. Строгая аутентификация с использованием
TLS/SSL Handshake
Клиент Сервер
Фаза 1. Определение параметров шифрования
Пользователь
Фаза 3. Отправка серверу сертификата клиента
(в открытом виде и в зашифрованном на
приватном ключе), проверка сертификата клиента
Фаза 4. Выработка предварительного ключа,
отправка серверу в зашифрованном на открытом
ключе сервера виде, взаимная выработка
сессионного ключа
Фаза 5. Завершение handshake, взаимный обмен
данными по шифрованному каналу
Фаза 2. Получение и проверка сертификата
сервера, запрос сертификата клиента
10. Строгая аутентификация с использованием
формы аутентификации
Для возможности взаимодействия веб-браузера с USB-токеном /
смарт-картой необходим браузерный плагин
11. Критерии выбора плагина
1. Поддержка различных ОС и браузеров
- Поддерживается ли Google Chrome? Или работа только через NPAPI?
- Поддерживаются ли Linux и Mac OS X последних версий, и какие их
браузеры?
2. Поддержка средств электронной подписи различных
производителей
- Поддерживаются ли смарт-карты и токены только одного производителя
или разных?
- Обеспечивается ли поддержка только в Windows или и в других ОС?
3. Уровень технической поддержки производителя
плагина
- Имеет ли разработчик плагина обязательства по технической поддержке и
SLA?
4. Безопасность плагина
- Не помещает ли плагин в ОС корневые доверенные сертификаты?
- Не требует ли плагин ввода пользователем ПИН-кода в веб-страницы
браузера?
16. Примеры файлов описаний HOTP-устройств
Существует большое разнообразие формата файлов, описывающих
HOTP-устройства
Пример файла для Aladdin eToken Pass
Пример файла для YubiKey
Пример файла для NagraID
Security Display Card
17. ПримерыTOTP мобильных приложений
Google Authenticator
(наиболее известный)
Authy
(наиболее
функциональный)
Bitrix24 OTP
(сделан компанией
из РФ)
RFC6238 «TOTP: Time-Based One-Time Password Algorithm»
19. FIDO U2F устройство (Universal 2nd Factor)
Регистрация
устройства
Проверка
при входе
20. Еще разработчики беспокоятся о …
Регистрация и
администрирование
учетных записей
Применение парольных
политик
Регистрация событий
входа/выхода
Сервисы самостоятельного
восстановления пароля
Отчеты о событиях
входа
Сервисы смены пароля,
управления
аутентификаторами
Информирование
пользователей о
событиях входа
Сервисы выхода из
приложений
21. А правильно ли разработчики поступают, когда
создают все эти функции безопасности в своем
приложении?
23. Пользователи устали от парольного хаоса
Я не хочу запоминать много паролей от
своих рабочих учетных записей.
И мне не нравится, что при смене пароля
в каждом приложении свои правила его
задания.
Мне не нравится, что когда переключаюсь
между приложениями, то у меня каждый
раз просят вновь ввести логин и пароль.
И что мешает сделать, чтобы экраны
входа выглядели одинаково?
Я редко использовала приложение и
забыла от него пароль.
И как мне его теперь восстановить?
24. Беспорядок с входом в приложения беспокоит и
администраторов ИБ
Я не могу гибко настроить в
приложениях правила
аутентификации.
Придется довольствоваться
парольной аутентификацией
При внедрении нового приложения мне
нужно готовить для него учетные
записи, давать доступы, выдавать
пользователям пароли. На это я
трачу свои время и энергию
Пользователи не могут
быстро усвоить новые
пароли. Внедрение новых
приложений происходит
медленно
Чем больше приложений со
своей системой входа, тем
чаще инциденты «забыл
пароль». Пора что-то с
этим предпринять
25. Беспорядок с входом в приложения беспокоит и
администраторов
У меня нет единой картины,
в какие приложения кто из
пользователей и как часто
ходит
Я не уверен, что все эти механизмы
аутентификации в разных
приложениях безопасны. Сделанное
«плохо» приложение компрометирует
пароли и несет угрозу безопасности
Пользователи выбирают
ненадежные пароли. Вход
не защищен. Парольные
политики не эффективны
26. Организациям нужен единый сервис доступа
Пользователь с использованием любого
устройства единожды проходит
идентификацию и аутентификацию
Получает доступ к разрешенным приложениям
как внутри, так и вне организации
Единый сервис
доступа
организации
27. Преимущества использования единого сервиса
Пользователям:
1) используя всего одну учётную
запись пользователь получает
доступ ко всем приложениям
организации. Пользователи
избавлены от необходимости
помнить много логинов и
паролей
2) используют надежные методы
двухфакторной
аутентификации
3) имеют средства для
самостоятельного контроля
событий безопасности,
связанных с входом/выходом в
приложения
Владельцам/администраторам:
1) централизуют управление
аутентификацией, снижают
эксплуатационные затраты
2) внедрение новых приложений
происходит быстрее – не нужно
раздавать пользователям
логины и пароли
3) увеличивают безопасность
4) снижают зависимость от
поставщиков решений по
аутентификации. Легко можно
заменять поставщиков смарт-
карт/токенов
5) с меньшими затратами
добиваются соответствия
нормативным требованиям по
ИБ
28. Единый сервис доступа – это в тренде
Для пользователей Интернет привычно, когда они используют любимую
учетную запись соц.сети для доступа к множеству сайтов.
29. Эволюция условий, в которых должен
функционировать единый сервис доступа
Пользователи приложений –
исключительно сотрудники компании
Все устройства доступа – это ПК
Все приложения развернуты
исключительно внутри организации
Вчерашний день
Люди
(пользователи)
Устройства
доступа
Приложения
и данные
31. Как можно создать единый сервис доступа?
Традиционный метод Современный метод
«Парольный менеджер»
(Enterprise SSO, PasswordWallet)
Identity Provider и использование
протоколов федеративного доступа
(SAML / WS-Federation / OAuth 2.0 +
OpenID Connect)
32. Парольный менеджер, Enterprise Single Sign On
Клиентская часть
приложения
Серверная часть
приложения
GET /login HTTP/1.1
HTTP/1.1 200 OK
Пользователь
POST /login HTTP/1.1
login=user@mail.ru&password=pass
HTTP/1.1 302 Found
Set-Cookie: token=AwM1ZW…Ni;
Secure; HttpOnly
GET /private HTTP/1.1
Cookie: token=AwM1ZW…Ni
HTTP/1.1 200 OK
ESSO-агент на ПК
пользователя
ESSO-агент перехватывает
окна входа приложений и
подставляет в них логины и
пароли пользователя
33. Идентификация/аутентификация с поставщиком
идентификации SAML
Поставщик услуг
(приложение, SP)
Поставщик идентификации
(SAML IDP)
GET /private HTTP/1.1
Пользователь Браузер
GET /SAML/Redirect/SSO?
SAMLRequest=…&RelayState=01c..a95b9c
HTTP/1.1
HTTP/1.1 200 OK
POST /private HTTP/1.1
RelayState=01c..a95b9c
SAMLResponse=…
Установлено доверие,
произведен обмен
метаданными SP и IDP
37. OAuth-клиент
(бэкэнд приложения)
Поставщик идентификации
(OpenID Connect сервер)Пользователь Браузер
Идентификация/аутентификация с поставщиком
идентификации OpenIDConnect (OAuth 2.0)
Получение данных о пользователе
POST /oauth/userinfo HTTP/1.1
Authorization: Bearer ORSqyIGx…
HTTP/1.1 200 OK
Content-Type: application/json
{
"sub": ”354323222001",
"name": "Ivan Ivanov",
"given_name": “Ivan",
"family_name": "Ivanov",
"preferred_username": "i.ivanov",
"email": "user@mail.ru",
}
38. OAuth-клиент
(бэкэнд приложения)
Поставщик идентификации
(OpenID Connect сервер)Пользователь Браузер
Идентификация/аутентификация с поставщиком
идентификации OpenIDConnect (OAuth 2.0)
Обновление маркера доступа при устаревании
POST /oauth/te HTTP/1.1
Authorization: Basic bG9jYWxo…
grant_type=refresh_token
&refresh_token=FepnjwwA…
HTTP/1.1 200 OK
Content-Type: application/json
{
"access_token": "OVrfAj0B…",
"token_type": "bearer",
"expires_in": 3600,
"refresh_token": "jj2DAYsP…",
"scope": "openid phone email"
}
39. ПО для создания единого сервиса доступа
Решения крупнейших
вендоров
Специализированное ПО
Облачные сервисы
(IDaaS)
Российское ПО
Решения на основе метода
«парольный менеджер»
Решения на основе
протоколов федеративного доступа
RSA Access
Management
Blitz Identity Provider
Open-source
40. Заключение
1. Создание в приложении функций идентификации,
аутентификации, авторизации требует усилий и
компетенции
2. Результат получается лучше при решении задач
идентификации, аутентификации, авторизации сторонними
средствами защиты, а не путем создания встроенных
функций безопасности
3. Есть большой выбор вариантов платформы для создания
единого сервиса доступа. Есть несколько популярных и
устоявшихся стандартов и протоколов для взаимодействия
приложений и единого сервиса доступа
ООО «РЕАК СОФТ» http://identityblitz.ru +7 (499) 322-14-04 info@reaxoft.ru
41. Материалы по теме презентации
1. Дистрибутив ПО Blitz Identity Provider для создания единого
сервиса доступа (Linux/Windows) -
http://identityblitz.ru/products/blitz-identity-provider/download/
2. Обзорная статья на Хабре о способах и протоколах
аутентификации (Дмитрий Выростков, DataArt) -
https://habrahabr.ru/company/dataart/blog/262817/
3. Мои презентации на SlideShare -
http://www.slideshare.net/MikhailVanin
Пожалуйста, задавайте вопросы!
ООО «РЕАК СОФТ» http://identityblitz.ru +7 (499) 322-14-04 info@reaxoft.ru
Мои контакты: Михаил Ванин, mvanin@reaxoft.ru