Добро пожаловать в практическую безопасность (Сергей...
TRANSCRIPT
Добро пожаловать в практическую безопасность
#defconkz, Almaty, 30 oct 2016
Сергей Белов@sergeybelove
# whoami• Security Researcher @ Digital Security / ZeroNights / Defcon Russia
• habrahabr / журнал “Хакер”
• Bugbounty / bughunting: Google, Digital Ocean, Yandex, Mail.ru Telegram, ВКонтакте, Badoo, CloudFlare и др
• CodeFest (2012, 2014, 2016), ZeroNights, РИТ++, CEE-SECR, FrontendConf, Hack In Paris, BlackHat USA, OWASP (RU & PL), etc
• Websec fan
План• Направления в ИБ• Жизнь в ИБ• Я нашел уязвимость!
Направления в ИБ
Направления в ИБ1. Юридическое направление
• Разработка нормативов, стандартов• Разработка внутрикорпоративных политик• Законы• Адвокаты в ИБ• Безопасность «бизнеса»
2. Техническое направление• Defensive• Offensive• Разработка• Криминалистика
Направления в ИБ1. Юридическое направление
• Разработка нормативов, стандартов• Разработка внутрикорпоративных политик• Законы• Адвокаты • Безопасность «бизнеса»
2. Техническое направление• Defensive• Offensive• Разработка• Криминалистика
Направления в ИБ - DefensiveСпециалисты занимаются:
- Построением Security Operation Center- Внедрение SIEM / Data Leak Protection- Внедрение SDLC (https://habrahabr.ru/company/qiwi/blog/313530/)- Настройкой WAF- Работают над сокращением количества ИБ инцидентов- Защищают, как могут J
Направления в ИБ - OffensiveПоиск и эксплуатация уязвимостей в различных направлениях:
- Web- Network- Binary (reverse)- Binary (exploit dev: x86 / x64 / arm / mips / etc)- Crypto- Mobile (Android / iOS / Win Phone)- Hardware- …
Направления в ИБ - OffensiveСпецифичные направления:
- Бизнес приложения (SAP, Oracle, банки …)- АСУ ТП- Car hacking- Hardware- Wireless
Для меня был челлендж разобраться в том, как ломать SAP. При этом имея 2 года опыта в анализе защищенности.
Направления в ИБ - РазработкаРазработка:
1) Сканеры безопасности2) Инструменты для хакинга (IDA, Burp, r2)3) AV индустрия4) Hardening (binary defense (EMET) / WAF) 5) Механизмы безопасности на уровне ОС / железа
Относится ли сюда разработка SIEM/DLP? Скорее нет, так как для их разработки достаточно только скиллов разработчиков с минимальным привлечением ИБ
специалистов
Направления в ИБ - КриминалистикаЧто делают?1) Разбор инцидентов (логи доступа, действий и т.п.)2) Восстановление данных3) Поиск и нахождение виновных
Жизнь в ИБ
Жизнь в ИБВажная часть сферы:
- Bug bounty- CTF - Публикация статей, ресерчей- Конференции
Жизнь в ИБ - BugbountyBug bounty – программы награждения исследователей за найденные уязвимости. Две основные площадки:
1) hackerone2) bugcrowd
Многие крупные вендоры хэндлят bugbounty сами, например Google и Yandex
В вебе реально заработать(при «средних» навыках – $3-15k в год)
Жизнь в ИБ - Bugbounty• Нашел уязвимость без bugbounty и требуешь денег? GTFO J
(https://bo0om.ru/linkedins-million-dollar-bug)• Нашел уязвимость в рамках bugbounty и дали объективно мало?
Доказывай импакт, сравни свой репорт с другими (в рамках программы у этого же вендора!)
Жизнь в ИБ - CTFCapture The Flag – соревнования, позволяющие легально порешать задачи
в ИБ. Плюсы:- Расширяет кругозор- Возможность изучить сферы, в которых мало знаний- Призы
Минусы:- Часто придуманные ситуации, которых не бывает в реальной жизни- Соревнование «олимпиадников» (категория PPC)- Вечный баттл «CTF vs реальный ресерч»
Ждем доклад про CTF в Казахстане ;)
Жизнь в ИБ – Cтатьи и ресерчиПубликация статей:
1) Желание поделиться найденным (включая PR)2) Публикация в специальных изданиях или в личном блоге3) Самая лучшая обратная связь (reply в твиттере после публикации + комменты)4) Позволяет в т.ч. самому собрать и структурировать информацию5) Позволяет «застолбить» найденные баги
Жизнь в ИБ - КонференцииКонференции – отличное место для знакомств, PR, поиска работы,
путешествий и… иногда заработка.
Жизнь в ИБ - КонференцииТипы выступлений:1) Доклад (fast track 10-15 мин / full ~40 мин)
- Дает статус спикера- Выступил и свободен- Плохой тон выступать с одной темой много раз
2) Воркшоп (2-4 часа)- Все любят воркшопы- Изначально заинтересованная аудитория- Можно ездить неограниченное количество раз- Подготовка занимает умеренное время
3) Тренинг (1-3 дня)- Сложная и длительная подготовка- Можно ездить неограниченное количество раз и быть мега популярным- Финансовый профит (30-70% от стоимости участия)- Можно продавать напрямую организациям- Невероятный PR
Я нашел уязвимость!
Я нашел уязвимость!Что можно сделать?1) «Ответственно репортим» (и лучше так: не просили – не ищи).
Связываемся доступными методами, если не отвечают – ищем знакомых. Дожидаемся исправления и, возможно, рассказываем что и как было
2) «Законно» продаем (продажа компаниям типа ”hacking team” или в ZDI/Zerodium)
3) Продажа на «теневом» рынке, непосредственная эксплуатация против кого-либо
Stay secure & keep hacking ;)
@sergeybelove