SlideShare a Scribd company logo

Безопасные связи, Дмитрий Евдокимов

Yandex
Yandex

При работе с мобильным приложением любой пользователь рассчитывает на то, что его данные передаются на сервер безопасно и никто, кроме него, не получит к ним доступ. Поэтому одна из главных задач мобильной разработки — обеспечить безопасное взаимодействие приложения с сервером. Безопасное клиент-серверное взаимодействие предотвращает сразу множество возможных атак. Как же избежать самых распространенных ошибок? Как сделать так, чтобы никто не мог вмешаться в канал передачи данных? Об этом вы узнаете из моего доклада.

Technology
1 of 31
Download to read offline
Безопасные связи Дмитрий Евдокимов Директор исследовательского центра Digital Security
#whoami © 2002—2014, Digital Security Безопасные связи • Исследователь информационной безопасности в Digital Security Research Group • Редактор рубрик в журнале Xakep • Один из организаторов конференций DEFCON Russia и ZeroNights • Специализируюсь на поиске уязвимостей в бинарных приложениях без исходного кода • Анализ мобильных приложений для Android, iOS, WindowsPhone • Докладчик на конференциях в Польше, Франции, Германии, ОАЭ 2
Исследования © 2002—2014, Digital Security 3 Безопасные связи
Безопасные связи
M3 – Insufficient Transport Layer Protecqon © 2002—2014, Digital Security 5 Безопасные связи
Атака “MitM” • Подключение пользователя к поддельной Wi-­‐Fi-­‐точке доступа • Подключение к поддельной базовой станции оператора • Использование зараженного сетевого оборудования • … При контролировании канала передачи данных между приложением и сервером злоумышленник может © 2002—2014, Digital Security производить любые манипуляции 6 Безопасные связи
Вредоносные SOHO-­‐роутеры! Исследование Team Cymru: h~p://www.team-­‐cymru.com/ReadingRoom/Whitepapers/SOHOPharming.html © 2002—2014, Digital Security 7 Безопасные связи
Последствия MiiM • Модификация © 2002—2014, Digital Security данных • Кража сессии • Раскрытие данных • Выполнение произвольного кода • Отказ в обслуживании клиента • … 8 Безопасные связи
Специфика работы мобильных устройств с Wi-­‐Fi-­‐сетями Подробнее: Raúl Siles – “Wi-­‐Fi: Why iOS (Android and others) Fail Inexplicably?” www.slideshare.net/rootedcon/ral-­‐siles-­‐wifi-­‐why-­‐ios-­‐android-­‐and-­‐others-­‐fail-­‐inexplicably-­‐rooted-­‐con-­‐2013 © 2002—2014, Digital Security 9 Безопасные связи
Виды каналов связи • Открытые • Защищенные © 2002—2014, Digital Security нестандартными методами ‒ ~= открытые • Защищенные стандартными методами ‒ SSL/TLS Ø Все взаимодействие основывается на паре «открытый и закрытый ключ» сертификата сервера Ø Сертификат должен быть действительным 10 Безопасные связи
SSL и Android • В ОС Android до версии 4.0 все сертификаты хранились в едином файле – Bouncy Castle Keystore File. • Файл: © 2002—2014, Digital Security /system/etc/security/cacerts.bks • C Android 4.0, подход к работе с сертификатами изменился. Теперь все сертификаты хранятся отдельными файлами, и при необходимости можно удалять их из доверенных. • Системные хранятся в: /system/etc/security/cacerts • Пользовательские хранятся в: /data/misc/keychain/cacerts-­‐added 11 Безопасные связи
SSL и iOS • В ОС iOS посмотреть встроенные сертификаты нельзя, и получить информацию о них можно только с сайта компании Apple. • h~p://support.apple.com/kb/HT5012?viewlocale=en_US • Системные © 2002—2014, Digital Security хранятся в: /System/Library/Frameworks/ Security.framework/certsTable.data • Для просмотра пользовательских сертификатов необходимо зайти в меню Настройки -­‐> Основные -­‐> Профиль(и). • Пользовательские хранятся в: /private/var/Keychains/TrustStore.sqlite3 12 Безопасные связи
Некорректное использование SSL • Использование © 2002—2014, Digital Security уязвимых фреймворков • Отключение проверок (отладочное API) • Некорректное переопределение стандартных обработчиков на собственные • Неправильная конфигурация API-­‐вызовов • Слабые параметры шифрования • Использование уязвимой версии библиотеки • Неправильная обработка результатов вызовов • Отсутствие проверки на имя хоста или использование неправильных регулярных выражений для проверки 13 Безопасные связи
НЕ делайте так (Android) © 2002—2014, Digital Security 14 Безопасные связи
НЕ делайте так (Android) © 2002—2014, Digital Security 15 Безопасные связи
НЕ делайте так (iOS) © 2002—2014, Digital Security 16 Безопасные связи • NSURLRequest class • setAllowsAnyHTTPSCerqficate • NSURLConnecqon class • allowsAnyHTTPSCerqficateForHost • setAllowsAnyHTTPSCerqficate • conqnueWithoutCredenqalForAuthenqcaqonChallenge • CFStreams sockets • kCFStreamPropertySSLSe¢ngs • kCFStreamSSLAllowsExpiredCerqficates • kCFStreamSSLAllowsExpiredRoots • kCFStreamSSLAllowsAnyRoot
Проблемы frameworks • Очень-­‐очень © 2002—2014, Digital Security модно • А что там под капотом? Что там с безопасностью? • RCE Apache Cordova • Cross-­‐Applicaqon Scripqng – выполнение вредоносного JS в контексте Cordova-­‐based приложения • h~p://cordova.apache.org/announcements/2014/08/04/ android-­‐351.html • Titanium • RCE + отсутствие проверки сертификата • h~p://www.appcelerator.com/blog/2012/11/the-­‐qtanium-­‐sdk-­‐and-­‐ cerqficate-­‐validaqon/ • … 17 Безопасные связи
Проверка SSL-­‐сертификата на устройстве © 2002—2014, Digital Security 18 Безопасные связи
Установка сертификата и соц. инженерия 1) Пользователь делает все сам из-­‐за неосведомленности. 2) Приобретается подержанный телефон со встроенным вредоносным сертификатом 3) Сертификат устанавливается на телефон с iOS за несколько секунд, если оказывается случайно в руках злоумышленника (например, он попросил позвонить) 4) Сетевое оборудование с «хорошим» сертификатом – тут NSA и все дела 5) … © 2002—2014, Digital Security 19 Безопасные связи
Компрометация SSL • Компрометация © 2002—2014, Digital Security корневого сертификата • Установка вредоносного сертификата с помощью соц. инженерии • Инциденты с Bit9, DigiNator и Comodo • Сертификаты иностранных государств ;) 20 Безопасные связи
Если CA-­‐сертификат скомпрометирован • Пользователь © 2002—2014, Digital Security может удалить сертификат из доверенных • В ОС Android пользователь может это сделать как со встроенными сертификатами, так и с пользовательскими • В iOS пользователь может удалить только пользовательские сертификаты • Разработчик ОС может выпустить обновление • Издатель сертификата может отозвать свой сертификат. Механизм проверки сертификата может динамически проверить это • Android не поддерживает ни CRL, ни OCSP • iOS использует OCSP 21 Безопасные связи
SSL pinning В качестве защиты от компрометации корневых системных сертификатов и специально встроенных пользовательских можно использовать подход SSL Pinning. Pinning – это процесс ассоциации хоста с его ожидаемым X509-­‐ сертификатом или публичным ключом. © 2002—2014, Digital Security 22 Безопасные связи
SSL Pinning • app1 использует SSL Pinning Ø Проверяет «вшитый» примитив • app2 не использует SSL Pinning Ø Обращается к системному хранилищу © 2002—2014, Digital Security 23 Безопасные связи
Подход к SSL pinning SSL Pinning бывает двух основных типов: • Cerqficate © 2002—2014, Digital Security Pinning: • Простота реализации • Низкая гибкость подхода • Public Key Pinning: • Проблемы с реализацией на некоторых платформах • Хорошая гибкость подхода Преимуществом также является возможность использовать: • Self-­‐Signed сертификаты • Private CA-­‐Issued сертификаты 24 Безопасные связи
Обход SSL Pinning • SSL Pinning можно обойти/отключить, если на мобильном устройстве присутствует jailbreak или root-­‐доступ • Как правило, это нужно только исследователям для анализа сетевого трафика • Android: • Android © 2002—2014, Digital Security SSL Bypass • iOS: • iOS SSL Kill Switch • TrustMe • По идее, эти же подходы могут использовать и вредоносные программы • Как и любой код, проверки при SSL Pinning могут быть реализованы некорректно, и на это стоит обращать внимание! 25 Безопасные связи
Реализация SSL pinning • Код для реализации SSL Pinning уже сейчас можно найти на сайте OWASP для Android, iOS и .NET. • h~ps://www.owasp.org/index.php/Cerqficate_and_Public_Key_Pinning • Проект © 2002—2014, Digital Security AndroidPinning от Moxie • h~ps://github.com/moxie0/AndroidPinning • Начиная с Android 4.2, SSL Pinning поддерживается на системном уровне. • Не получится реализовать в случае использования WebView в Android и UIWebView в iOS в связи с их спецификой 26 Безопасные связи
Дополнительный фактор © 2002—2014, Digital Security 27 Безопасные связи Как правило, передается по тому же каналу, что и контролирует злоумышленник!
Рекомендую к прочтению • «The Most Dangerous Code in the World: Validaqng SSL Cerqficates in Non-­‐Browser So®ware» • h~p://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf • «Rethinking © 2002—2014, Digital Security SSL Development in an Appified World» • h~p://android-­‐ssl.org/files/p49.pdf 28 Безопасные связи
Безопасная разработка • iOS • Secure © 2002—2014, Digital Security Coding Guide from Apple • h~ps://developer.apple.com/library/ios/documentaqon/Security/ Conceptual/SecureCodingGuide/SecureCodingGuide.pdf • IOS Developer Cheat Sheet • h~ps://www.owasp.org/index.php/IOS_Developer_Cheat_Sheet • Android • The CERT Oracle Secure Coding Standard for Java • h~ps://www.securecoding.cert.org/confluence/pages/viewpage.acqon? pageId=111509535 • Analysis of Android Applicability: CERT's Java Coding Guidelines • h~ps://www.securecoding.cert.org/confluence/display/java/Analysis+of +Android+Applicability%3A+CERT%27s+Java+Coding+Guidelines • Security Tips from Android • h~p://developer.android.com/training/arqcles/security-­‐qps.html 29 Безопасные связи
Рекомендации • Не доверяйте клиентской стороне! • Критичная © 2002—2014, Digital Security информация не должна передаваться в открытом виде! • Не изобретайте собственное шифрование! • Используйте SSL/TLS • Используйте безопасное шифрование (128 бит и больше) • Проверяйте сертификаты • Используйте SSL pinning 30 Безопасные связи
Безопасные связи Спасибо за внимание! Вопросы? Digital Security в Москве: (495) 223-­‐07-­‐86 Digital Security в Санкт-­‐Петербурге: (812) 703-­‐15-­‐47 d.evdokimov@dsec.ru @evdokimovds © 2002—2014, Digital Security 31

Recommended

Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...Kaspersky
 
уцсб ябл V10.5
уцсб ябл V10.5уцсб ябл V10.5
уцсб ябл V10.5Expolink
 
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Expolink
 
Подход к обеспечению безопасности IoT в Enterprise
Подход к обеспечению безопасности IoT в EnterpriseПодход к обеспечению безопасности IoT в Enterprise
Подход к обеспечению безопасности IoT в EnterprisePositive Hack Days
 
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Cisco Russia
 
Илья Яблонко (УЦСБ) - Решение актуальных задач по обеспечению ИБ с использова...
Илья Яблонко (УЦСБ) - Решение актуальных задач по обеспечению ИБ с использова...Илья Яблонко (УЦСБ) - Решение актуальных задач по обеспечению ИБ с использова...
Илья Яблонко (УЦСБ) - Решение актуальных задач по обеспечению ИБ с использова...Expolink
 
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Umbrella как облачная платформа защиты от угрозCisco Umbrella как облачная платформа защиты от угроз
Cisco Umbrella как облачная платформа защиты от угрозCisco Russia
 
S-terra, держи марку!
S-terra, держи марку!S-terra, держи марку!
S-terra, держи марку!Компания УЦСБ
 

Recommended

Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...Kaspersky
 
уцсб ябл V10.5
уцсб ябл V10.5уцсб ябл V10.5
уцсб ябл V10.5Expolink
 
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Expolink
 
Подход к обеспечению безопасности IoT в Enterprise
Подход к обеспечению безопасности IoT в EnterpriseПодход к обеспечению безопасности IoT в Enterprise
Подход к обеспечению безопасности IoT в EnterprisePositive Hack Days
 
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Cisco Russia
 
Илья Яблонко (УЦСБ) - Решение актуальных задач по обеспечению ИБ с использова...
Илья Яблонко (УЦСБ) - Решение актуальных задач по обеспечению ИБ с использова...Илья Яблонко (УЦСБ) - Решение актуальных задач по обеспечению ИБ с использова...
Илья Яблонко (УЦСБ) - Решение актуальных задач по обеспечению ИБ с использова...Expolink
 
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Umbrella как облачная платформа защиты от угрозCisco Umbrella как облачная платформа защиты от угроз
Cisco Umbrella как облачная платформа защиты от угрозCisco Russia
 
S-terra, держи марку!
S-terra, держи марку!S-terra, держи марку!
S-terra, держи марку!Компания УЦСБ
 
Сертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. ОбзорСертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. ОбзорCisco Russia
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in RussiaAleksey Lukatskiy
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "Expolink
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco UmbrellaCisco Russia
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Cisco Russia
 
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДТенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДCisco Russia
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложенийCisco Russia
 
FireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атакFireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атакArtem Tarashkevych
 
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Expolink
 
Perimetr
PerimetrPerimetr
PerimetrЭЛВИС-ПЛЮС
 
Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга ЭЛВИС-ПЛЮС
 
Next Generation Campus Architecture
Next Generation Campus ArchitectureNext Generation Campus Architecture
Next Generation Campus ArchitectureCisco Russia
 
Конфидент. Евгений Мардыко. "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко. "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко. "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко. "Опыт построения защищенной инфраструктуры. Новые...Expolink
 
УЦСБ, Яблонко
УЦСБ, ЯблонкоУЦСБ, Яблонко
УЦСБ, ЯблонкоExpolink
 
Безопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегииБезопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегииCisco Russia
 
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Kaspersky
 
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Expolink
 
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"Expolink
 
Check point, держи марку! Серия №7
Check point, держи марку! Серия №7Check point, держи марку! Серия №7
Check point, держи марку! Серия №7Компания УЦСБ
 
конфидент
конфидентконфидент
конфидентExpolink
 
THE PAYMENT PLAN
THE PAYMENT PLANTHE PAYMENT PLAN
THE PAYMENT PLANRagh Singh
 
вв эцп
вв эцпвв эцп
вв эцпMike Gorohov
 

More Related Content

What's hot

Сертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. ОбзорСертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. ОбзорCisco Russia
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in RussiaAleksey Lukatskiy
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "Expolink
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Cisco Russia
 
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДТенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДCisco Russia
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложенийCisco Russia
 
FireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атакFireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атакArtem Tarashkevych
 
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Expolink
 
Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга ЭЛВИС-ПЛЮС
 
Next Generation Campus Architecture
Next Generation Campus ArchitectureNext Generation Campus Architecture
Next Generation Campus ArchitectureCisco Russia
 
Конфидент. Евгений Мардыко. "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко. "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко. "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко. "Опыт построения защищенной инфраструктуры. Новые...Expolink
 
УЦСБ, Яблонко
УЦСБ, ЯблонкоУЦСБ, Яблонко
УЦСБ, ЯблонкоExpolink
 
Безопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегииБезопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегииCisco Russia
 
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Kaspersky
 
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Expolink
 
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"Expolink
 
Check point, держи марку! Серия №7
Check point, держи марку! Серия №7Check point, держи марку! Серия №7
Check point, держи марку! Серия №7Компания УЦСБ
 
конфидент
конфидентконфидент
конфидентExpolink
 

What's hot (20)

Сертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. ОбзорСертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. Обзор
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in Russia
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно "
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
 
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДТенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОД
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложений
 
FireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атакFireEye - защита от APT и Zero Day атак
FireEye - защита от APT и Zero Day атак
 
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
 
Perimetr
PerimetrPerimetr
Perimetr
 
Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга
 
Next Generation Campus Architecture
Next Generation Campus ArchitectureNext Generation Campus Architecture
Next Generation Campus Architecture
 
Конфидент. Евгений Мардыко. "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко. "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко. "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко. "Опыт построения защищенной инфраструктуры. Новые...
 
УЦСБ, Яблонко
УЦСБ, ЯблонкоУЦСБ, Яблонко
УЦСБ, Яблонко
 
Безопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегииБезопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегии
 
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
 
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
 
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
 
Check point, держи марку! Серия №7
Check point, держи марку! Серия №7Check point, держи марку! Серия №7
Check point, держи марку! Серия №7
 
конфидент
конфидентконфидент
конфидент
 

Viewers also liked

THE PAYMENT PLAN
THE PAYMENT PLANTHE PAYMENT PLAN
THE PAYMENT PLANRagh Singh
 
вебинар 18102016 архитектура подсистемы обеспечения юр. эдо
вебинар 18102016 архитектура подсистемы обеспечения юр. эдовебинар 18102016 архитектура подсистемы обеспечения юр. эдо
вебинар 18102016 архитектура подсистемы обеспечения юр. эдоAlexander Kolybelnikov
 
Настройка средств эцп для работы на портале госзакупок
Настройка средств эцп для работы на портале госзакупокНастройка средств эцп для работы на портале госзакупок
Настройка средств эцп для работы на портале госзакупокГражданские Инициативы
 
Taxnet - Облачная электронная подпись
Taxnet - Облачная электронная подписьTaxnet - Облачная электронная подпись
Taxnet - Облачная электронная подписьExpolink
 
Virt2real - есть ли жизнь в железе?
Virt2real - есть ли жизнь в железе?Virt2real - есть ли жизнь в железе?
Virt2real - есть ли жизнь в железе?Maxim Krentovskiy
 
Электронная цифровая подпись в Украине и в мире | Владимир Фльонц | LawHack C...
Электронная цифровая подпись в Украине и в мире | Владимир Фльонц | LawHack C...Электронная цифровая подпись в Украине и в мире | Владимир Фльонц | LawHack C...
Электронная цифровая подпись в Украине и в мире | Владимир Фльонц | LawHack C...LawHack
 
электронный документ
электронный документэлектронный документ
электронный документpsemitkin
 
Электронно-цифровая подпись в Docsvision 5
Электронно-цифровая подпись в Docsvision 5Электронно-цифровая подпись в Docsvision 5
Электронно-цифровая подпись в Docsvision 5Docsvision
 
Презентация Дашкова С.Б.
Презентация Дашкова С.Б.Презентация Дашкова С.Б.
Презентация Дашкова С.Б.infocenterpro
 
Презентация: Регистрация на сайте GosZakup.gov.kz
Презентация: Регистрация на сайте GosZakup.gov.kzПрезентация: Регистрация на сайте GosZakup.gov.kz
Презентация: Регистрация на сайте GosZakup.gov.kzDogovor24
 
Владимир Иванов - Криптография и шифрование
Владимир Иванов - Криптография и шифрованиеВладимир Иванов - Криптография и шифрование
Владимир Иванов - Криптография и шифрованиеYandex
 
Using QString effectively
Using QString effectivelyUsing QString effectively
Using QString effectivelyRoman Okolovich
 
Использование электронной подписи Технологические возможности и практика
Использование электронной подписи Технологические возможности и практикаИспользование электронной подписи Технологические возможности и практика
Использование электронной подписи Технологические возможности и практикаSergey Poltev
 
виды крипторафических алгоритмов
виды крипторафических алгоритмоввиды крипторафических алгоритмов
виды крипторафических алгоритмовAFedyaev
 
Криптография.
Криптография.Криптография.
Криптография.SvetlanaFIT
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложенияMaxim Krentovskiy
 

Viewers also liked (20)

THE PAYMENT PLAN
THE PAYMENT PLANTHE PAYMENT PLAN
THE PAYMENT PLAN
 
вв эцп
вв эцпвв эцп
вв эцп
 
улгу крипто
улгу криптоулгу крипто
улгу крипто
 
вебинар 18102016 архитектура подсистемы обеспечения юр. эдо
вебинар 18102016 архитектура подсистемы обеспечения юр. эдовебинар 18102016 архитектура подсистемы обеспечения юр. эдо
вебинар 18102016 архитектура подсистемы обеспечения юр. эдо
 
Настройка средств эцп для работы на портале госзакупок
Настройка средств эцп для работы на портале госзакупокНастройка средств эцп для работы на портале госзакупок
Настройка средств эцп для работы на портале госзакупок
 
Taxnet - Облачная электронная подпись
Taxnet - Облачная электронная подписьTaxnet - Облачная электронная подпись
Taxnet - Облачная электронная подпись
 
Virt2real - есть ли жизнь в железе?
Virt2real - есть ли жизнь в железе?Virt2real - есть ли жизнь в железе?
Virt2real - есть ли жизнь в железе?
 
Электронная цифровая подпись в Украине и в мире | Владимир Фльонц | LawHack C...
Электронная цифровая подпись в Украине и в мире | Владимир Фльонц | LawHack C...Электронная цифровая подпись в Украине и в мире | Владимир Фльонц | LawHack C...
Электронная цифровая подпись в Украине и в мире | Владимир Фльонц | LawHack C...
 
электронный документ
электронный документэлектронный документ
электронный документ
 
CMS digital signature
CMS digital signatureCMS digital signature
CMS digital signature
 
Электронно-цифровая подпись в Docsvision 5
Электронно-цифровая подпись в Docsvision 5Электронно-цифровая подпись в Docsvision 5
Электронно-цифровая подпись в Docsvision 5
 
Презентация Дашкова С.Б.
Презентация Дашкова С.Б.Презентация Дашкова С.Б.
Презентация Дашкова С.Б.
 
Презентация: Регистрация на сайте GosZakup.gov.kz
Презентация: Регистрация на сайте GosZakup.gov.kzПрезентация: Регистрация на сайте GosZakup.gov.kz
Презентация: Регистрация на сайте GosZakup.gov.kz
 
Владимир Иванов - Криптография и шифрование
Владимир Иванов - Криптография и шифрованиеВладимир Иванов - Криптография и шифрование
Владимир Иванов - Криптография и шифрование
 
Using QString effectively
Using QString effectivelyUsing QString effectively
Using QString effectively
 
Использование электронной подписи Технологические возможности и практика
Использование электронной подписи Технологические возможности и практикаИспользование электронной подписи Технологические возможности и практика
Использование электронной подписи Технологические возможности и практика
 
виды крипторафических алгоритмов
виды крипторафических алгоритмоввиды крипторафических алгоритмов
виды крипторафических алгоритмов
 
Криптография.
Криптография.Криптография.
Криптография.
 
Криптография
КриптографияКриптография
Криптография
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложения
 

Similar to Безопасные связи, Дмитрий Евдокимов

Дмитрий Евдокимов
Дмитрий ЕвдокимовДмитрий Евдокимов
Дмитрий ЕвдокимовCodeFest
 
Применение концепций информационной безопасности в продуктах Cisco Unified Co...
Применение концепций информационной безопасности в продуктах Cisco Unified Co...Применение концепций информационной безопасности в продуктах Cisco Unified Co...
Применение концепций информационной безопасности в продуктах Cisco Unified Co...Cisco Russia
 
Инфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодняИнфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодняЕвгений Царев
 
SafeNet Authentication Manager - Двухфакторная аутентификация
SafeNet Authentication Manager - Двухфакторная аутентификацияSafeNet Authentication Manager - Двухфакторная аутентификация
SafeNet Authentication Manager - Двухфакторная аутентификацияDaria Kovalenko
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииКРОК
 
защита Web приложений f5 cti
защита Web приложений f5 ctiзащита Web приложений f5 cti
защита Web приложений f5 ctiCTI_analytics
 
Услуги информационной безопасности
Услуги информационной безопасностиУслуги информационной безопасности
Услуги информационной безопасностиCTI2014
 
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средЭЛВИС-ПЛЮС
 
Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...
Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...
Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...Vadim Drobinin
 
#MBLTdev: Безопасность iOS-устройств (viaForensics)
#MBLTdev: Безопасность iOS-устройств (viaForensics)#MBLTdev: Безопасность iOS-устройств (viaForensics)
#MBLTdev: Безопасность iOS-устройств (viaForensics)e-Legion
 
Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасности
Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасностиВадим Дробинин. Защищаем себя и пользователей: руководство по безопасности
Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасностиAvitoTech
 
Taxnet: облачная электронная подпись
Taxnet: облачная электронная подписьTaxnet: облачная электронная подпись
Taxnet: облачная электронная подписьExpolink
 
Защита мобильных пользователей
Защита мобильных пользователейЗащита мобильных пользователей
Защита мобильных пользователейCisco Russia
 
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Ontico
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметраCisco Russia
 
Сергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetСергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetExpolink
 
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...Expolink
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)Expolink
 

Similar to Безопасные связи, Дмитрий Евдокимов (20)

Дмитрий Евдокимов
Дмитрий ЕвдокимовДмитрий Евдокимов
Дмитрий Евдокимов
 
Listovka cyren2-web
Listovka cyren2-webListovka cyren2-web
Listovka cyren2-web
 
Применение концепций информационной безопасности в продуктах Cisco Unified Co...
Применение концепций информационной безопасности в продуктах Cisco Unified Co...Применение концепций информационной безопасности в продуктах Cisco Unified Co...
Применение концепций информационной безопасности в продуктах Cisco Unified Co...
 
Инфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодняИнфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодня
 
SafeNet Authentication Manager - Двухфакторная аутентификация
SafeNet Authentication Manager - Двухфакторная аутентификацияSafeNet Authentication Manager - Двухфакторная аутентификация
SafeNet Authentication Manager - Двухфакторная аутентификация
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
 
иб Cti 2014
иб Cti 2014иб Cti 2014
иб Cti 2014
 
защита Web приложений f5 cti
защита Web приложений f5 ctiзащита Web приложений f5 cti
защита Web приложений f5 cti
 
Услуги информационной безопасности
Услуги информационной безопасностиУслуги информационной безопасности
Услуги информационной безопасности
 
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
 
Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...
Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...
Защищаем себя и пользователей — Вадим Дробинин (iOS Security Guide by Vadim D...
 
#MBLTdev: Безопасность iOS-устройств (viaForensics)
#MBLTdev: Безопасность iOS-устройств (viaForensics)#MBLTdev: Безопасность iOS-устройств (viaForensics)
#MBLTdev: Безопасность iOS-устройств (viaForensics)
 
Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасности
Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасностиВадим Дробинин. Защищаем себя и пользователей: руководство по безопасности
Вадим Дробинин. Защищаем себя и пользователей: руководство по безопасности
 
Taxnet: облачная электронная подпись
Taxnet: облачная электронная подписьTaxnet: облачная электронная подпись
Taxnet: облачная электронная подпись
 
Защита мобильных пользователей
Защита мобильных пользователейЗащита мобильных пользователей
Защита мобильных пользователей
 
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Сергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetСергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от Eset
 
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)
 

More from Yandex

Предсказание оттока игроков из World of Tanks
Предсказание оттока игроков из World of TanksПредсказание оттока игроков из World of Tanks
Предсказание оттока игроков из World of TanksYandex
 
Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...
Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...
Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...Yandex
 
Структурированные данные, Юлия Тихоход, лекция в Школе вебмастеров Яндекса
Структурированные данные, Юлия Тихоход, лекция в Школе вебмастеров ЯндексаСтруктурированные данные, Юлия Тихоход, лекция в Школе вебмастеров Яндекса
Структурированные данные, Юлия Тихоход, лекция в Школе вебмастеров ЯндексаYandex
 
Представление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров Яндекса
Представление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров ЯндексаПредставление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров Яндекса
Представление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров ЯндексаYandex
 
Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...
Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...
Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...Yandex
 
Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...
Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...
Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...Yandex
 
Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...
Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...
Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...Yandex
 
Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...
Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...
Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...Yandex
 
Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...
Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...
Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...Yandex
 
Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...
Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...
Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...Yandex
 
Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...
Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...
Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...Yandex
 
Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...
Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...
Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...Yandex
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
 
Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...
Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...
Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...Yandex
 
Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...
Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...
Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...Yandex
 
Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...
Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...
Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...Yandex
 
Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...
Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...
Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...Yandex
 
Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...
Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...
Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...Yandex
 
Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...
Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...
Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...Yandex
 
Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...
Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...
Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...Yandex
 

More from Yandex (20)

Предсказание оттока игроков из World of Tanks
Предсказание оттока игроков из World of TanksПредсказание оттока игроков из World of Tanks
Предсказание оттока игроков из World of Tanks
 
Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...
Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...
Как принять/организовать работу по поисковой оптимизации сайта, Сергей Царик,...
 
Структурированные данные, Юлия Тихоход, лекция в Школе вебмастеров Яндекса
Структурированные данные, Юлия Тихоход, лекция в Школе вебмастеров ЯндексаСтруктурированные данные, Юлия Тихоход, лекция в Школе вебмастеров Яндекса
Структурированные данные, Юлия Тихоход, лекция в Школе вебмастеров Яндекса
 
Представление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров Яндекса
Представление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров ЯндексаПредставление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров Яндекса
Представление сайта в поиске, Сергей Лысенко, лекция в Школе вебмастеров Яндекса
 
Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...
Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...
Плохие методы продвижения сайта, Екатерины Гладких, лекция в Школе вебмастеро...
 
Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...
Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...
Основные принципы ранжирования, Сергей Царик и Антон Роменский, лекция в Школ...
 
Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...
Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...
Основные принципы индексирования сайта, Александр Смирнов, лекция в Школе веб...
 
Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...
Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...
Мобильное приложение: как и зачем, Александр Лукин, лекция в Школе вебмастеро...
 
Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...
Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...
Сайты на мобильных устройствах, Олег Ножичкин, лекция в Школе вебмастеров Янд...
 
Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...
Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...
Качественная аналитика сайта, Юрий Батиевский, лекция в Школе вебмастеров Янд...
 
Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...
Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...
Что можно и что нужно измерять на сайте, Петр Аброськин, лекция в Школе вебма...
 
Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...
Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...
Как правильно поставить ТЗ на создание сайта, Алексей Бородкин, лекция в Школ...
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
 
Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...
Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...
Как правильно составить структуру сайта, Дмитрий Сатин, лекция в Школе вебмас...
 
Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...
Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...
Технические особенности создания сайта, Дмитрий Васильева, лекция в Школе веб...
 
Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...
Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...
Конструкторы для отдельных элементов сайта, Елена Першина, лекция в Школе веб...
 
Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...
Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...
Контент для интернет-магазинов, Катерина Ерошина, лекция в Школе вебмастеров ...
 
Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...
Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...
Как написать хороший текст для сайта, Катерина Ерошина, лекция в Школе вебмас...
 
Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...
Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...
Usability и дизайн - как не помешать пользователю, Алексей Иванов, лекция в Ш...
 
Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...
Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...
Cайт. Зачем он и каким должен быть, Алексей Иванов, лекция в Школе вебмастеро...
 

Безопасные связи, Дмитрий Евдокимов

  • 1. Безопасные связи Дмитрий Евдокимов Директор исследовательского центра Digital Security
  • 2. #whoami © 2002—2014, Digital Security Безопасные связи • Исследователь информационной безопасности в Digital Security Research Group • Редактор рубрик в журнале Xakep • Один из организаторов конференций DEFCON Russia и ZeroNights • Специализируюсь на поиске уязвимостей в бинарных приложениях без исходного кода • Анализ мобильных приложений для Android, iOS, WindowsPhone • Докладчик на конференциях в Польше, Франции, Германии, ОАЭ 2
  • 3. Исследования © 2002—2014, Digital Security 3 Безопасные связи
  • 5. M3 – Insufficient Transport Layer Protecqon © 2002—2014, Digital Security 5 Безопасные связи
  • 6. Атака “MitM” • Подключение пользователя к поддельной Wi-­‐Fi-­‐точке доступа • Подключение к поддельной базовой станции оператора • Использование зараженного сетевого оборудования • … При контролировании канала передачи данных между приложением и сервером злоумышленник может © 2002—2014, Digital Security производить любые манипуляции 6 Безопасные связи
  • 7. Вредоносные SOHO-­‐роутеры! Исследование Team Cymru: h~p://www.team-­‐cymru.com/ReadingRoom/Whitepapers/SOHOPharming.html © 2002—2014, Digital Security 7 Безопасные связи
  • 8. Последствия MiiM • Модификация © 2002—2014, Digital Security данных • Кража сессии • Раскрытие данных • Выполнение произвольного кода • Отказ в обслуживании клиента • … 8 Безопасные связи
  • 9. Специфика работы мобильных устройств с Wi-­‐Fi-­‐сетями Подробнее: Raúl Siles – “Wi-­‐Fi: Why iOS (Android and others) Fail Inexplicably?” www.slideshare.net/rootedcon/ral-­‐siles-­‐wifi-­‐why-­‐ios-­‐android-­‐and-­‐others-­‐fail-­‐inexplicably-­‐rooted-­‐con-­‐2013 © 2002—2014, Digital Security 9 Безопасные связи
  • 10. Виды каналов связи • Открытые • Защищенные © 2002—2014, Digital Security нестандартными методами ‒ ~= открытые • Защищенные стандартными методами ‒ SSL/TLS Ø Все взаимодействие основывается на паре «открытый и закрытый ключ» сертификата сервера Ø Сертификат должен быть действительным 10 Безопасные связи
  • 11. SSL и Android • В ОС Android до версии 4.0 все сертификаты хранились в едином файле – Bouncy Castle Keystore File. • Файл: © 2002—2014, Digital Security /system/etc/security/cacerts.bks • C Android 4.0, подход к работе с сертификатами изменился. Теперь все сертификаты хранятся отдельными файлами, и при необходимости можно удалять их из доверенных. • Системные хранятся в: /system/etc/security/cacerts • Пользовательские хранятся в: /data/misc/keychain/cacerts-­‐added 11 Безопасные связи
  • 12. SSL и iOS • В ОС iOS посмотреть встроенные сертификаты нельзя, и получить информацию о них можно только с сайта компании Apple. • h~p://support.apple.com/kb/HT5012?viewlocale=en_US • Системные © 2002—2014, Digital Security хранятся в: /System/Library/Frameworks/ Security.framework/certsTable.data • Для просмотра пользовательских сертификатов необходимо зайти в меню Настройки -­‐> Основные -­‐> Профиль(и). • Пользовательские хранятся в: /private/var/Keychains/TrustStore.sqlite3 12 Безопасные связи
  • 13. Некорректное использование SSL • Использование © 2002—2014, Digital Security уязвимых фреймворков • Отключение проверок (отладочное API) • Некорректное переопределение стандартных обработчиков на собственные • Неправильная конфигурация API-­‐вызовов • Слабые параметры шифрования • Использование уязвимой версии библиотеки • Неправильная обработка результатов вызовов • Отсутствие проверки на имя хоста или использование неправильных регулярных выражений для проверки 13 Безопасные связи
  • 14. НЕ делайте так (Android) © 2002—2014, Digital Security 14 Безопасные связи
  • 15. НЕ делайте так (Android) © 2002—2014, Digital Security 15 Безопасные связи
  • 16. НЕ делайте так (iOS) © 2002—2014, Digital Security 16 Безопасные связи • NSURLRequest class • setAllowsAnyHTTPSCerqficate • NSURLConnecqon class • allowsAnyHTTPSCerqficateForHost • setAllowsAnyHTTPSCerqficate • conqnueWithoutCredenqalForAuthenqcaqonChallenge • CFStreams sockets • kCFStreamPropertySSLSe¢ngs • kCFStreamSSLAllowsExpiredCerqficates • kCFStreamSSLAllowsExpiredRoots • kCFStreamSSLAllowsAnyRoot
  • 17. Проблемы frameworks • Очень-­‐очень © 2002—2014, Digital Security модно • А что там под капотом? Что там с безопасностью? • RCE Apache Cordova • Cross-­‐Applicaqon Scripqng – выполнение вредоносного JS в контексте Cordova-­‐based приложения • h~p://cordova.apache.org/announcements/2014/08/04/ android-­‐351.html • Titanium • RCE + отсутствие проверки сертификата • h~p://www.appcelerator.com/blog/2012/11/the-­‐qtanium-­‐sdk-­‐and-­‐ cerqficate-­‐validaqon/ • … 17 Безопасные связи
  • 18. Проверка SSL-­‐сертификата на устройстве © 2002—2014, Digital Security 18 Безопасные связи
  • 19. Установка сертификата и соц. инженерия 1) Пользователь делает все сам из-­‐за неосведомленности. 2) Приобретается подержанный телефон со встроенным вредоносным сертификатом 3) Сертификат устанавливается на телефон с iOS за несколько секунд, если оказывается случайно в руках злоумышленника (например, он попросил позвонить) 4) Сетевое оборудование с «хорошим» сертификатом – тут NSA и все дела 5) … © 2002—2014, Digital Security 19 Безопасные связи
  • 20. Компрометация SSL • Компрометация © 2002—2014, Digital Security корневого сертификата • Установка вредоносного сертификата с помощью соц. инженерии • Инциденты с Bit9, DigiNator и Comodo • Сертификаты иностранных государств ;) 20 Безопасные связи
  • 21. Если CA-­‐сертификат скомпрометирован • Пользователь © 2002—2014, Digital Security может удалить сертификат из доверенных • В ОС Android пользователь может это сделать как со встроенными сертификатами, так и с пользовательскими • В iOS пользователь может удалить только пользовательские сертификаты • Разработчик ОС может выпустить обновление • Издатель сертификата может отозвать свой сертификат. Механизм проверки сертификата может динамически проверить это • Android не поддерживает ни CRL, ни OCSP • iOS использует OCSP 21 Безопасные связи
  • 22. SSL pinning В качестве защиты от компрометации корневых системных сертификатов и специально встроенных пользовательских можно использовать подход SSL Pinning. Pinning – это процесс ассоциации хоста с его ожидаемым X509-­‐ сертификатом или публичным ключом. © 2002—2014, Digital Security 22 Безопасные связи
  • 23. SSL Pinning • app1 использует SSL Pinning Ø Проверяет «вшитый» примитив • app2 не использует SSL Pinning Ø Обращается к системному хранилищу © 2002—2014, Digital Security 23 Безопасные связи
  • 24. Подход к SSL pinning SSL Pinning бывает двух основных типов: • Cerqficate © 2002—2014, Digital Security Pinning: • Простота реализации • Низкая гибкость подхода • Public Key Pinning: • Проблемы с реализацией на некоторых платформах • Хорошая гибкость подхода Преимуществом также является возможность использовать: • Self-­‐Signed сертификаты • Private CA-­‐Issued сертификаты 24 Безопасные связи
  • 25. Обход SSL Pinning • SSL Pinning можно обойти/отключить, если на мобильном устройстве присутствует jailbreak или root-­‐доступ • Как правило, это нужно только исследователям для анализа сетевого трафика • Android: • Android © 2002—2014, Digital Security SSL Bypass • iOS: • iOS SSL Kill Switch • TrustMe • По идее, эти же подходы могут использовать и вредоносные программы • Как и любой код, проверки при SSL Pinning могут быть реализованы некорректно, и на это стоит обращать внимание! 25 Безопасные связи
  • 26. Реализация SSL pinning • Код для реализации SSL Pinning уже сейчас можно найти на сайте OWASP для Android, iOS и .NET. • h~ps://www.owasp.org/index.php/Cerqficate_and_Public_Key_Pinning • Проект © 2002—2014, Digital Security AndroidPinning от Moxie • h~ps://github.com/moxie0/AndroidPinning • Начиная с Android 4.2, SSL Pinning поддерживается на системном уровне. • Не получится реализовать в случае использования WebView в Android и UIWebView в iOS в связи с их спецификой 26 Безопасные связи
  • 27. Дополнительный фактор © 2002—2014, Digital Security 27 Безопасные связи Как правило, передается по тому же каналу, что и контролирует злоумышленник!
  • 28. Рекомендую к прочтению • «The Most Dangerous Code in the World: Validaqng SSL Cerqficates in Non-­‐Browser So®ware» • h~p://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf • «Rethinking © 2002—2014, Digital Security SSL Development in an Appified World» • h~p://android-­‐ssl.org/files/p49.pdf 28 Безопасные связи
  • 29. Безопасная разработка • iOS • Secure © 2002—2014, Digital Security Coding Guide from Apple • h~ps://developer.apple.com/library/ios/documentaqon/Security/ Conceptual/SecureCodingGuide/SecureCodingGuide.pdf • IOS Developer Cheat Sheet • h~ps://www.owasp.org/index.php/IOS_Developer_Cheat_Sheet • Android • The CERT Oracle Secure Coding Standard for Java • h~ps://www.securecoding.cert.org/confluence/pages/viewpage.acqon? pageId=111509535 • Analysis of Android Applicability: CERT's Java Coding Guidelines • h~ps://www.securecoding.cert.org/confluence/display/java/Analysis+of +Android+Applicability%3A+CERT%27s+Java+Coding+Guidelines • Security Tips from Android • h~p://developer.android.com/training/arqcles/security-­‐qps.html 29 Безопасные связи
  • 30. Рекомендации • Не доверяйте клиентской стороне! • Критичная © 2002—2014, Digital Security информация не должна передаваться в открытом виде! • Не изобретайте собственное шифрование! • Используйте SSL/TLS • Используйте безопасное шифрование (128 бит и больше) • Проверяйте сертификаты • Используйте SSL pinning 30 Безопасные связи
  • 31. Безопасные связи Спасибо за внимание! Вопросы? Digital Security в Москве: (495) 223-­‐07-­‐86 Digital Security в Санкт-­‐Петербурге: (812) 703-­‐15-­‐47 d.evdokimov@dsec.ru @evdokimovds © 2002—2014, Digital Security 31