Николай Клименко - Публичное облако: Как можно потерять данные

•Download as PPTX, PDF•

0 likes•368 views

На примере работы с Google Apps будут показаны самые популярные кейсы утечки и потери информации в публичном облаке, как публичное облако меняет основные сценарии утечки информации и какие появились новые технологии для кражи данных пользователей из облака.

Engineering

Публичное облако:
Как можно потерять данные
Николай Клименко
CTO Spinbackup
7 октября, Харьков

➔ Как публичное облако меняет основные сценарии утечки информации?
➔ Какие появились новые технологии для кражи данных пользователей
из облака?

Кейсы
На примере работы с G Suite/Google Apps будет рассказано о
самых популярных кейсах утечки и потери информации
в публичном облаке.

Можно ли полностью
потерять данные в облаке?
vs
Case #1

Если у пользователя есть доступ к
документу, то он может:
1. Расшарить его с любым человеком.
2. Сделать его доступным всем в
Интернете.
Просто расшарить данныеCase #2

Просто создать, просто опубликовать, просто найти...
Google SitesCase #3

Все новые файлы и
изменения автоматически
попадают на устройство
пользователя
Все удаленные на устройстве
файлы автоматически
удаляются из облака
Синхронизация с персональным
устройством
Case #4

3rd-party apps
3rd-party apps значительно
расширяют функциональность
облака и продуктивность
работы.

Shadow IT
Любой пользователь может
подключить любое приложение.

Trojan horse in the cloudCase #6
Ключевые результаты исследования облачных приложений:
1. Приложение - это черный ящик.
2. Безопасность приложения.
Более 26% приложений используют небезопасное
соединение.
3. Безопасность аккаунта разработчика.
38% приложений зарегистрированы на личные почтовые ящики.

Man-in-the-cloudCase #7
Victim
Quick Double Switcher
Hacker

Man-in-the-cloudCase #7
Ключевые аспекты атаки:
● сложность обнаружения;
● маленькое время активной фазы;
● длительный период действия.
Возможные последствия:
● постоянный доступ к данным;
● внедрения зловредного кода в файлы и заражение компьютера;
● обмен результатами работы зловредного кода и управление им через
облачное хранилище;
● подмена или удаление файлов для вымогательства.

Спасибо!
Never Lose Your Data with Spinbackup
7 октября, Харьков

Ссылки
Cloud Security Spotlight 2016 Report
https://software.dell.com/whitepaper/2016-spotlight-report-cloud-security8112101/
Act of God damaged data on Google cloud disks
http://www.theregister.co.uk/2015/08/19/lightning_strikes_damaged_data_on_google_cloud_disks/
Утечка инсайдерских данных в ПриватБанке через Google Sites
http://softsource.org/articles/sovershenno-sekretno
Man in the Cloud (MITC) Attacks - Imperva
https://www.imperva.com/docs/HII_Man_In_The_Cloud_Attacks.pdf

На конференции Build2016 Microsoft анонсировал выход в GA нового сервиса – Azure Service Fabric, который ориентирован на разработку приложений с использованием подхода микросервисной архитектуры. В рамках доклада мы познакомимся с Azure Service Fabric, а также рассмотрим пример переноса небольшого IoT приложения, построенного с использованием Azure Cloud Service на новую архитектуру на базе Azure Service Fabric.

Cloud migration strategiesSogetiLabs

Cloud Migration: Moving to the Cloud

Dr.-Ing. Michael Menzel

Cloud Computing1Dima

Плюсы и минусы облачных технологий

kakmenyavsezadralo

Преимущества, которые несут в себе облачная и виртуальная инфраструктура очевидны. Также очевидны и дополнительные риски. На семинаре будут обсуждаться следующие вопросы: какие проблемы связаны с обеспечением ИБ инфраструктур виртуализации; что перевешивает, экономика или безопасность; в чем ограничения средств защиты для виртуальных инфраструктур; взлом облака и взлом из облака.

облачные технологииTamYan

Sky-DepAvonton

тельпуховскаяtelpyhovskaya

облакаMou Sk

LinkMeUp-V14 (04.2014)

eucariot

Ключевые риски и лучшие практики информационной безопасности при переходе в о...

Michael Kozloff

Облака снижают затраты на информационные технологии и дают эластичную масштабируемость Утечка данных через администраторов – самый дорогой вид угроз нарушения ИБ Облакам нужны крепкие засовы в виде лучших практик ИБ

Направления применения облачных технологийpendikova

что такое Cloud computingKisel3

ФРИИ интернет предпринимательство - Приложения и сервисы для бизнеса

Экосистемные Проекты Фрии

Чистая архитектура, Артур Бадретдинов АБЦТ

Сбертех | SberTech

Cloud ComputingVinogradova

Cloud Computing

mmm07

Cloud ComputingVinogradova

интернетtata23

Настоящее и будущее СЭД/ECM-решений

Sergey Poltev

Device lock 7 2013 code ib ннExpolink

Надежная защита от утечек информации в условиях современных тенденций ИТ

BAKOTECH

"CyberGuard — проект государственно-частного партнерства по созданию киберцен...

HackIT Ukraine

"В поисках уязвимостей мобильных приложений", Алексей Голубев

HackIT Ukraine

Сейчас практически каждая организация помимо официального веб сайта имеет мобильное приложения для предоставления услуг мобильным пользователям. При этом в отличии от традиционных веб сайтов, которые в большинстве своем использую готовые фреймворки, очищенные от уязвимостей, мобильное API зачастую проектируется отдельно под каждый проект. Такой подход неизбежно ведет за собой разного рода ошибки и отсутствие четкой стандартизации. Тем не менее разработчики от Ebay до мелких компаний совершают одни и те же ошибки, которые ведут к взлому аккаунтов, утечки данных, спаму пользователей и т.д. Недоработки в работе в этой среде процветает даже у огромных компаний.

Similar to Николай Клименко - Публичное облако: Как можно потерять данные

плюсы и минусы облачных технологийkakmenyavsezadralo

cloudPavel Markushov

Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?

Positive Hack Days

облачные технологииTamYan

Sky-DepAvonton

тельпуховскаяtelpyhovskaya

облакаMou Sk

LinkMeUp-V14 (04.2014)

eucariot

Ключевые риски и лучшие практики информационной безопасности при переходе в о...

Michael Kozloff

Направления применения облачных технологийpendikova

что такое Cloud computingKisel3

ФРИИ интернет предпринимательство - Приложения и сервисы для бизнеса

Экосистемные Проекты Фрии

Чистая архитектура, Артур Бадретдинов АБЦТ

Сбертех | SberTech

Cloud ComputingVinogradova

Cloud Computing

mmm07

Cloud ComputingVinogradova

интернетtata23

Настоящее и будущее СЭД/ECM-решений

Sergey Poltev

Device lock 7 2013 code ib ннExpolink

Надежная защита от утечек информации в условиях современных тенденций ИТ

BAKOTECH

Similar to Николай Клименко - Публичное облако: Как можно потерять данные (20)

плюсы и минусы облачных технологий

cloud

Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?

облачные технологии

Sky-Dep

тельпуховская

облака

LinkMeUp-V14 (04.2014)

Ключевые риски и лучшие практики информационной безопасности при переходе в о...

Направления применения облачных технологий

что такое Cloud computing

ФРИИ интернет предпринимательство - Приложения и сервисы для бизнеса

Чистая архитектура, Артур Бадретдинов АБЦТ

Cloud Computing

интернет

Настоящее и будущее СЭД/ECM-решений

Device lock 7 2013 code ib нн

Надежная защита от утечек информации в условиях современных тенденций ИТ

More from HackIT Ukraine

"CyberGuard — проект государственно-частного партнерства по созданию киберцен...

HackIT Ukraine

"В поисках уязвимостей мобильных приложений", Алексей Голубев

HackIT Ukraine

"Безопасность и надежность ПО в техногенном мире", Владимир Обризан

HackIT Ukraine

В докладе на примерах будет рассказано о возрастающей роли безопасности и надежности программного обеспечения в современном мире. Особенность сегодняшнего дня — проникновение компьютерного управления во все сферы деятельности: медицина, финансы, транспорт, логистика и другие. Может ли ненадежное ПО привести к финансовым потерям? Сорвать планы на отпуск? Вывести из строя фабрику? Убить человека?

"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий Кайдалов

HackIT Ukraine

Блокчейн — новая технология, которая лежит в основе децентрализованной платежной системы Биткоин и других криптовалют. К настоящему времени она обрела значительную популярность и сейчас по праву считается прорывной для финансового мира. Однако, с ростом популярности участились случаи успешного осуществления разнообразных атак на блокчейн системы. В докладе рассмотрена технология блокчейн в целом, ее наиболее значимые инновации, детально разобран ряд конкретных атак на популярные системы и проанализированы факторы, которые привели к появлению таких атак.

"Безопасные Биткоин-транзакции без специального оборудования", Алексей Каракулов

HackIT Ukraine

Одна из трудностей в использовании Биткоина — в том, что безопасность плохо сочетается с удобством. Секретные ключи от кошелька можно хранить в офлайне многими способами, однако проблема возникает, когда мы хотим потратить биткоины. Если приложение для кошелька используется на скомпрометированной системе, простого трояна достаточно, чтобы слить секретные ключи. На сегодняшний день популярны два безопасных способа использования Биткоина: аппаратный кошелёк и «холодный кошелёк» на изолированном компьютере. Оба способа непривлекательны для новых пользователей: надёжные аппаратные кошельки достаточно дорогие, а холодные кошельки не слишком портативны и пока неудобны в использовании. Я продемонстрирую процедуру исполнения Биткоин транзакций с переходом в офлайн режим перед вводом секретного ключа на примере ОС Tails и кошелька Electrum. Хотя процедура не даёт таких же гарантий безопасности, как холодный кошелёк, она не требует отдельного устройства для кошелька, и при этом значительно безопаснее, чем использование Биткоина на обычной десктопной ОС

"Growth hack в маркетинге и бизнесе", Максим Мирошниченко

HackIT Ukraine

"Как ловят хакеров в Украине", Дмитрий Гадомский

HackIT Ukraine

Украина стабильно входит в десятку государств, с территории которых чаще всего инициируются кибератаки. А вот украинские правоохранительные органы пока и близко не подобрались к десятке стран мира, которые ловят хакеров наилучшим образом. В Украине есть смешные, грустные, нашумевшие, интересные и скучные уголовные дела по хакингу. В нескольких уголовных делах по хакингу Дима принимал участие в качестве адвоката CitiBank и швейцарского промышленного гиганта, в некоторых — как консультант, а в каких-то случаях помогал советами, о которых его не просили. Дима расскажет, как он с белыми хакерами в течении 48 часов и 4 литров кофе делали работу за киберполицию, как суд в Николаеве вообще не понимал ничего, как обманывает пользователей Forex, и о других обстоятельствах, которые больше не являются адвокатской тайной.

"Security Requirements Engineering", Oleksii Baranovskyi

HackIT Ukraine

The software security depends largely on how the system was designed, developed and deployed, so at this time it is necessary to take into account the security requirements already at the stage of requirements development and software design. There are some different approaches to security requirements engineering, each of them has its advantages and disadvantages. During the speech, methods of security requirements engineering, identifying parties, identifying and assessing the risks of software assets, tracking implementation of requirements, etc. will be considered.

"Наступну атаку можна попередити", Олександр Чубарук

HackIT Ukraine

Багато компаній покладаються на технології ІТ-безпеки, засновані на принципах виявлення атак, а не на їх запобігання. Такий фрагментований підхід фокусується на виправленні наслідків вже реалізованої атаки! На сьогоднішній день є потреба у зміні курсу і впровадженні нової архітектури, що дозволяє запобігати атакам.

"Preventing Loss of Personal Data on a Mobile Network", Oleksii Lukin

HackIT Ukraine

"How to make money with Hacken?", Dmytro Budorin

HackIT Ukraine

"Using cryptolockers as a cyber weapon", Alexander Adamov

HackIT Ukraine

In the wake of one of the most destructive cyber attack in the history of Ukraine, NotPetya / EternalPetya, we will analyze the factors that contributed to the rapid infection growth, and why security solutions, including antiviruses, could not stop the attack. We will consider the cyber attacks of the cryptolockers XData and WannaCry.NET, which preceded the attack on June 27 and were allegedly created by the same group of cybercriminals who were involved in TeleBots and BlackEnergy attacks.

"Cryptography, Data Protection, and Security For Start-Ups In The Post Snowde...

HackIT Ukraine

The revelations of the Snowden Leaks and other events in modern internet times have resulted in a need for developers and security professionals working on start-up companies to rethink not just security policies and procedures but overall architecture more broadly. Cryptographic systems in communications systems have seen the largest architectural changes. However, changes are also required in data storage architecture and even networking architecture. This talk will discuss means and methodologies for building secure, robust, and resilient start-up computing architectures. Common attacks that impact startups, data compromises, and DDoS attacks will be discussed. The impact of the required adaptations in infrastructure and software design on existing common business models, like AdRev, will be touched on.

"Bypassing two factor authentication", Shahmeer Amir

HackIT Ukraine

This research provides an insight to bypassing two factor authentication mechanisms in multiple ways. The goal is to demonstrate theoretically as to how common two factor authentication protected systems can be bypassed using simple techniques. This has been done by examining many systems and a practical approach has been utilized in order to dig out realistic methodologies which can be used to bypass two factor authentication systems in web based systems. By proving that the author aims to provide a basis of research to future researchers for bypassing 2fa in other such techniques.

"Системы уникализации и идентификации пользователей в сети. Методы защиты от ...

HackIT Ukraine

В докладе будет рассказано о современных методиках уникализации и последующей идентификации пользователей, таких как WebRTC Fingerprint, WebGL Fingerprint, Canvas Fingerprint, ClientRect Fingerprint, AudioContext Fingerprint, Ubercookies Fingerprint, отпечаток GPU и многое другое, о применении данных методик для выявления мошенников, предотвращения использования мультиаккаунтов, расследования киберпреступлений и конечно рекламного таргетинга.

"Introduction to Bug Hunting", Yasser Ali

HackIT Ukraine

"Hack it. Found it. Sell it. How hackers can be successful in the business wo...

HackIT Ukraine

"15 Technique to Exploit File Upload Pages", Ebrahim Hegazy

HackIT Ukraine

During the session we will go through different methods of exploiting file upload pages in order to trigger Remote Code Execution, SQL Injection, Directory Traversal, DOS, Cross Site Scripting and else of web application vulnerabilities with demo codes. Also, we will see things from both Developers and Attackers side. What are the protections done by Developers to mitigate file upload issues by validating File Name, File Content-Type, actual File Content and how to bypass it All using 15 Technique!

Alfonso De Gregorio - Vulnerabilities and Their Surrounding Ethical Questions...

HackIT Ukraine

Уязвимость нулевого дня - недостатки программного обеспечения, которые известны некоторым,кто мог бы уменьшить их конкретные негативные последствия - приобретают заметную роль в современной разведке, национальной безопасности и правоохранительных операциях. В то же время, отсутствие прозрачности и подотчетности в их торговле и адаптаци, их возможная чрезмерная эксплуатации или злоупотребление, скрытый конфликт интересов со стороны субъектов обращения с ними, а также их потенциальный двойной эффект могут представлять социальные риски или приводят к нарушению прав человека. Если оставить без внимания эти проблемы связанные с использованием 0-day, то это ставит под сомнение законность уязвимостей нулевого дня в качестве инструментов реализации национальных операций по обеспечению безопасности и правоохранительных органов и приводят к явному уменьшению пользы, чтобы их адекватно применяли для целей судебной системы, обороны и разведки. Эта работа исследует то, что частный сектор участвует в торговле уязвимости нулевого дня может сделать так, чтобы было обеспечено соблюдение прав человека и доброкачественное и полезное использования обществом этих возможностей. После рассмотрения того, что может пойти не так в приобретении уязвимости нулевого дня, статья вносит свой вклад в первый кодекс этики, ориентированный на торговлю информации об уязвимостях, в которой автор излагает шесть принципов и восемь соответствующих этических норм, направленных соответственно на руководство и на регулирование проведения этого бизнеса.

Владимир Махитко - Automotive security. New challenges

HackIT Ukraine

Задача доклада - рассмотреть автомобильною безопасность как новое направление в кибер безопасности. Показать текущее состояние, главные опасения, некоторые примеры, возможные решения и отношение автопроизводителей к вопросам безопасности.

More from HackIT Ukraine (20)

"CyberGuard — проект государственно-частного партнерства по созданию киберцен...

"В поисках уязвимостей мобильных приложений", Алексей Голубев

"Безопасность и надежность ПО в техногенном мире", Владимир Обризан

"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий Кайдалов

"Безопасные Биткоин-транзакции без специального оборудования", Алексей Каракулов

"Growth hack в маркетинге и бизнесе", Максим Мирошниченко

"Как ловят хакеров в Украине", Дмитрий Гадомский

"Security Requirements Engineering", Oleksii Baranovskyi

"Наступну атаку можна попередити", Олександр Чубарук

"Preventing Loss of Personal Data on a Mobile Network", Oleksii Lukin

"How to make money with Hacken?", Dmytro Budorin

"Using cryptolockers as a cyber weapon", Alexander Adamov

"Cryptography, Data Protection, and Security For Start-Ups In The Post Snowde...

"Bypassing two factor authentication", Shahmeer Amir

"Системы уникализации и идентификации пользователей в сети. Методы защиты от ...

"Introduction to Bug Hunting", Yasser Ali

"Hack it. Found it. Sell it. How hackers can be successful in the business wo...

"15 Technique to Exploit File Upload Pages", Ebrahim Hegazy

Alfonso De Gregorio - Vulnerabilities and Their Surrounding Ethical Questions...

Владимир Махитко - Automotive security. New challenges

Николай Клименко - Публичное облако: Как можно потерять данные

1. Публичное облако: Как можно потерять данные Николай Клименко CTO Spinbackup 7 октября, Харьков

2. ➔ Как публичное облако меняет основные сценарии утечки информации? ➔ Какие появились новые технологии для кражи данных пользователей из облака?

3. Мир уходит в облака

4. Benefits

5. Насколько безопасно публичное облако

6. Кейсы На примере работы с G Suite/Google Apps будет рассказано о самых популярных кейсах утечки и потери информации в публичном облаке.

7. Можно ли полностью потерять данные в облаке? vs Case #1

8. Если у пользователя есть доступ к документу, то он может: 1. Расшарить его с любым человеком. 2. Сделать его доступным всем в Интернете. Просто расшарить данныеCase #2

9. Просто создать, просто опубликовать, просто найти... Google SitesCase #3

10. Все новые файлы и изменения автоматически попадают на устройство пользователя Все удаленные на устройстве файлы автоматически удаляются из облака Синхронизация с персональным устройством Case #4

11. 3rd-party apps 3rd-party apps значительно расширяют функциональность облака и продуктивность работы.

12. Shadow IT Любой пользователь может подключить любое приложение.

13. Data migration appsCase #5

14. Trojan horse in the cloudCase #6 Ключевые результаты исследования облачных приложений: 1. Приложение - это черный ящик. 2. Безопасность приложения. Более 26% приложений используют небезопасное соединение. 3. Безопасность аккаунта разработчика. 38% приложений зарегистрированы на личные почтовые ящики.

15. Trojan horse in the cloudCase #6

16. Trojan horse in the cloudCase #6

17. Man-in-the-cloudCase #7

18. Man-in-the-cloudCase #7 Victim Quick Double Switcher Hacker

19. Man-in-the-cloudCase #7 Ключевые аспекты атаки: ● сложность обнаружения; ● маленькое время активной фазы; ● длительный период действия. Возможные последствия: ● постоянный доступ к данным; ● внедрения зловредного кода в файлы и заражение компьютера; ● обмен результатами работы зловредного кода и управление им через облачное хранилище; ● подмена или удаление файлов для вымогательства.

20. Спасибо! Never Lose Your Data with Spinbackup 7 октября, Харьков

21. Ссылки Cloud Security Spotlight 2016 Report https://software.dell.com/whitepaper/2016-spotlight-report-cloud-security8112101/ Act of God damaged data on Google cloud disks http://www.theregister.co.uk/2015/08/19/lightning_strikes_damaged_data_on_google_cloud_disks/ Утечка инсайдерских данных в ПриватБанке через Google Sites http://softsource.org/articles/sovershenno-sekretno Man in the Cloud (MITC) Attacks - Imperva https://www.imperva.com/docs/HII_Man_In_The_Cloud_Attacks.pdf

Николай Клименко - Публичное облако: Как можно потерять данные

Recommended

Recommended

More Related Content

Similar to Николай Клименко - Публичное облако: Как можно потерять данные

Similar to Николай Клименко - Публичное облако: Как можно потерять данные (20)

More from HackIT Ukraine

More from HackIT Ukraine (20)

Николай Клименко - Публичное облако: Как можно потерять данные