Мнение Программного комитета о докладе
Практикующие хакеры покажут, как череда некритичных уязвимостей может приводить к компрометации системы. Must see для тех, кто принимает решения о том, исправлять конкретную уязвимость или нет.
Топ некритичных ошибок в инфраструктуре, приводящих к критичным проблемам
Доклад принят в программу конференции
Целевая аудитория
Доклад будет интересен для DevOps-инженеров и архитекторов, ответственных за деплой приложений и их стабильную работу, которая, увы, может быть нарушена из-за, казалось бы, незначительных ошибок в конфигурации.
Тезисы
Организация, развертывание и поддержание инфраструктуры современных приложений — сложный процесс, в котором многое может пойти не так.
К DevOps приходят разработчики с просьбами о тестовых стендах, бизнес — со срочными задачами по развертыванию нового продукта, коллеги из безопасности — с запросами на обновления, а еще надо помогать настраивать CI/CD и, вообще, дел очень много. Упустить из виду детали, допустить незначительную ошибку в конфигурации — очень просто.
* И вот уже неверно настроенный s3 контролируется хакерами, а главная страница сайта компании показывает рекламу или майнит криптовалюту в браузерах посетителей;
* хостинг тестового стенда остается без оплаты, а злобный хакер захватывает целый поддомен организации и рассылает фишинг клиентам;
* система хранения записей публикуется с паролем по умолчанию, и записи всех звонков в корпоративной телефонии оказались в открытом доступе;
* а сервер во внутренней сети, который вообще не имеет доступа в интернет, каким-то образом взламывают через браузер одного из сотрудников, хотя сам компьютер пользователя не заражен и там стоит самый лучший антивирус.
На докладе:
* рассмотрим несколько реальных кейсов и от лица DevOps покажем, как незначительная ошибка в конфигурации может остаться незамеченной;
* от лица хакера расскажем, как такая ошибка превращается в серьезные проблемы с безопасностью и какие последствия могут наступить;
* и затем хакер вместе с DevOps покажут, как не допускать таких ошибок и изначально настраивать инфраструктуру безопасно.
Сооснователь компании Антифишинг, технический директор.
Более 10 лет опыта в практической безопасности. Выполнял проекты по аудиту защищенности веб-приложений, тестированию на проникновение различных информационных систем. Работал в качестве инструктора и разрабатывал задания для профессионального обучения тестированию на проникновение.
Призер конкурсов PHDays, NeoQUEST и других CTF.
Участник программ публичного поиска уязвимостей.
Имеет награды и подтверждения о нахождении уязвимостей в публичных приложениях и системах Uber, Yahoo, Vkontakte, Odnoklassniki, Mail.RU, Starbucks и других.
Увлекается экстремальными видами спорта, исследованием в области информационной безопасности.
START
START — российская команда, которая помогает компаниям и продуктовым командам выпускать производительные, качественные и безопасные приложения.
Продукты START повышают вовлеченность и экспертизу разработчиков, QA-специалистов и DevOps-инженеров через ясные требования, интерактивные курсы и тренировки навыков по практической безопасности в формате CTF-соревнований.
Команда ведет еженедельный открытый дайджест по ошибкам команд разработки и DevOps, которые влияют на безопасность: antiphish.ru/devsecops-blog. Также занимаются другими исследовательскими и некоммерческими активностями.
Проводят закрытые выступления для руководителей ЛУКОЙЛ, ЦБ РФ, Ассоциации Финтех, ERRIEL, Ингосстрах, принимают участие в обучающих программах Финтех Хаба Банка России совместно с Ростелеком и ЦБ РФ, Практико-ориентированное обучение для сотрудников банков при организации и поддержке ЦБ РФ.
Познакомился с *nix в универе, с 17 лет начал работать админом в провайдере. В какой-то момент понял, что в провайдере роста нет и познакомился с командой, которая работала в азиатском финтехе, и начал работать с ними на парттайме. Ну а дальше позиция Head Of IT в финтехстартапе в APAC (6 стран присутствия) и уклон в DevOps-методологию. Сейчас занимается инфраструктурой и процессами CI/CD в Антифишинге и консультирует/менторит дружественные команды разработки в направлении DevOps-методологий.
START
START — российская команда, которая помогает компаниям и продуктовым командам выпускать производительные, качественные и безопасные приложения.
Продукты START повышают вовлеченность и экспертизу разработчиков, QA-специалистов и DevOps-инженеров через ясные требования, интерактивные курсы и тренировки навыков по практической безопасности в формате CTF-соревнований.
Команда ведет еженедельный открытый дайджест по ошибкам команд разработки и DevOps, которые влияют на безопасность: antiphish.ru/devsecops-blog. Также занимаются другими исследовательскими и некоммерческими активностями.
Проводят закрытые выступления для руководителей ЛУКОЙЛ, ЦБ РФ, Ассоциации Финтех, ERRIEL, Ингосстрах, принимают участие в обучающих программах Финтех Хаба Банка России совместно с Ростелеком и ЦБ РФ, Практико-ориентированное обучение для сотрудников банков при организации и поддержке ЦБ РФ.
Видео
Другие доклады секции
Безопасность
