Школа информационной безопасности от Яндекс

Видеозаписи с школы информационной безопасности Яндекса, которая прошла в апреле 2018 года.

 

 

Для просмотра нужно знать хотя бы один язык программирования (JS, Python, C++, Java) и на начальном уровне разбираться в принципах построения и работы веб-приложений, знать принципы работы операционных систем и сетевой инфраструктуры, а также основные типы атак и виды уязвимостей. Лекции содержат опыт Яндекса по безопасной разработке приложений, форензике, построении безопасной сетевой и серверной инфраструктуры. А также практические задания по инфраструктурной и продуктовой безопасности, которые проводят специалисты Яндекса.

 

1. Безопасность веб-приложений

Про устройство современного веба — микросервисную архитектуру, технологические, архитектурные уязвимости и их предотвращение. Разбор уязвимостей на стороне клиента. Способы эксплуатации.

 

 

2. Безопасность мобильных приложений

Типовые уязвимости мобильных приложений и способы их предотвращения на iOS и Android.

 

 

3. Сетевая безопасность

  • Мощность DDoS атак превысила 1Tbit/s: кто виноват и что делать?
  • Безопасность в IPv6: можно ли предотвратить arp spoofing, используя IPv6?
  • Так ли безопасен WiFi? Заходите, открыто или ретроспектива развития безопасности в WiFi с первого стандарта до 2018.

 

 

 

 

 

4. Безопасность ОС

Про классическую модель безопасность UNIX и расширения Posix ACL, системы журналирования syslog и journald, мандатные модели доступа (SELinux, AppArmor), устройство netfilter и iptables, а также procfs, sysctl и hardening OS. Про устройство стекового фрейма и уязвимости, связанные с переполнением буфера на стеке, механизмы защиты от подобных атак: ASLR, NX-Bit, DEP.

 

 

5. Криптография

PKI и её недостатки, TLS разных версий, атаки на них и методы ускорения протокола. Blockchain и его применение в PKI — в технологии Certificate Transparency. Про зависимость от точного времени и подходы к решению этой проблемы.

 

 

6. Безопасность бинарных приложений

О безопасности компилируемых приложений и уязвимостях, связанные с порчей памяти (out of bound, use after free, type confusion), а также компенсационных технических мерах, которые применяются в современных компиляторах для снижения вероятности их эксплуатации.

 

 

7. Расследование инцидентов

Про подходы к обнаружению и расследованию инцидентов и основные проблемы, с которыми приходится сталкиваться. Инструменты, которые помогают расследовать инциденты и их работа на практике.

 

 

8. Виртуализация и контейнеризация

Для повышения КПД серверов в Яндексе используются контейнеры. В этой лекции по безопасности рассказывается про основные технологии, которые обеспечивают виртуализацию и контейнеризацию. Основной упор на контейнеризацию, как на наиболее популярный способ деплоя приложений. Также, про capabilities, namespaces, cgroups и прочие технологии. И то, как это работает в современных Linux-системах на примере Ubuntu.

 

 

 

 

 

 


 

Спасибо, что читаете! Подписывайтесь на меня в социальных сетях Facebook, Twitter, VKOK и мессенджерах Telegram и TamTam!

 

Читайте анонсы и посты целиком в ЖЖ, Medium, Голосе и Яндекс.Дзен!

 

Поддержите мой блог финансово. Все донаты пойдут на оплату хостинга и развитие сайта!