Добро пожаловать в практическую безопасность

#defconkz, Almaty, 30 oct 2016

Сергей Белов@sergeybelove

# whoami• Security Researcher @ Digital Security / ZeroNights / Defcon Russia

• habrahabr / журнал “Хакер”

• Bugbounty / bughunting: Google, Digital Ocean, Yandex, Mail.ru Telegram, ВКонтакте, Badoo, CloudFlare и др

• CodeFest (2012, 2014, 2016), ZeroNights, РИТ++, CEE-SECR, FrontendConf, Hack In Paris, BlackHat USA, OWASP (RU & PL), etc

• Websec fan

План• Направления в ИБ• Жизнь в ИБ• Я нашел уязвимость!

Направления в ИБ

Направления в ИБ1. Юридическое направление

• Разработка нормативов, стандартов• Разработка внутрикорпоративных политик• Законы• Адвокаты в ИБ• Безопасность «бизнеса»

2. Техническое направление• Defensive• Offensive• Разработка• Криминалистика

Направления в ИБ1. Юридическое направление

• Разработка нормативов, стандартов• Разработка внутрикорпоративных политик• Законы• Адвокаты • Безопасность «бизнеса»

2. Техническое направление• Defensive• Offensive• Разработка• Криминалистика

Направления в ИБ - DefensiveСпециалисты занимаются:

- Построением Security Operation Center- Внедрение SIEM / Data Leak Protection- Внедрение SDLC (https://habrahabr.ru/company/qiwi/blog/313530/)- Настройкой WAF- Работают над сокращением количества ИБ инцидентов- Защищают, как могут J

Направления в ИБ - OffensiveПоиск и эксплуатация уязвимостей в различных направлениях:

- Web- Network- Binary (reverse)- Binary (exploit dev: x86 / x64 / arm / mips / etc)- Crypto- Mobile (Android / iOS / Win Phone)- Hardware- …

Направления в ИБ - OffensiveСпецифичные направления:

- Бизнес приложения (SAP, Oracle, банки …)- АСУ ТП- Car hacking- Hardware- Wireless

Для меня был челлендж разобраться в том, как ломать SAP. При этом имея 2 года опыта в анализе защищенности.

Направления в ИБ - РазработкаРазработка:

1) Сканеры безопасности2) Инструменты для хакинга (IDA, Burp, r2)3) AV индустрия4) Hardening (binary defense (EMET) / WAF) 5) Механизмы безопасности на уровне ОС / железа

Относится ли сюда разработка SIEM/DLP? Скорее нет, так как для их разработки достаточно только скиллов разработчиков с минимальным привлечением ИБ

специалистов

Направления в ИБ - КриминалистикаЧто делают?1) Разбор инцидентов (логи доступа, действий и т.п.)2) Восстановление данных3) Поиск и нахождение виновных

Жизнь в ИБ

Жизнь в ИБВажная часть сферы:

- Bug bounty- CTF - Публикация статей, ресерчей- Конференции

Жизнь в ИБ - BugbountyBug bounty – программы награждения исследователей за найденные уязвимости. Две основные площадки:

1) hackerone2) bugcrowd

Многие крупные вендоры хэндлят bugbounty сами, например Google и Yandex

В вебе реально заработать(при «средних» навыках – $3-15k в год)

Жизнь в ИБ - Bugbounty• Нашел уязвимость без bugbounty и требуешь денег? GTFO J

(https://bo0om.ru/linkedins-million-dollar-bug)• Нашел уязвимость в рамках bugbounty и дали объективно мало?

Доказывай импакт, сравни свой репорт с другими (в рамках программы у этого же вендора!)

Жизнь в ИБ - CTFCapture The Flag – соревнования, позволяющие легально порешать задачи

в ИБ. Плюсы:- Расширяет кругозор- Возможность изучить сферы, в которых мало знаний- Призы

Минусы:- Часто придуманные ситуации, которых не бывает в реальной жизни- Соревнование «олимпиадников» (категория PPC)- Вечный баттл «CTF vs реальный ресерч»

Ждем доклад про CTF в Казахстане ;)

Жизнь в ИБ – Cтатьи и ресерчиПубликация статей:

1) Желание поделиться найденным (включая PR)2) Публикация в специальных изданиях или в личном блоге3) Самая лучшая обратная связь (reply в твиттере после публикации + комменты)4) Позволяет в т.ч. самому собрать и структурировать информацию5) Позволяет «застолбить» найденные баги

Жизнь в ИБ - КонференцииКонференции – отличное место для знакомств, PR, поиска работы,

путешествий и… иногда заработка.

Жизнь в ИБ - КонференцииТипы выступлений:1) Доклад (fast track 10-15 мин / full ~40 мин)

- Дает статус спикера- Выступил и свободен- Плохой тон выступать с одной темой много раз

2) Воркшоп (2-4 часа)- Все любят воркшопы- Изначально заинтересованная аудитория- Можно ездить неограниченное количество раз- Подготовка занимает умеренное время

3) Тренинг (1-3 дня)- Сложная и длительная подготовка- Можно ездить неограниченное количество раз и быть мега популярным- Финансовый профит (30-70% от стоимости участия)- Можно продавать напрямую организациям- Невероятный PR

Я нашел уязвимость!

Я нашел уязвимость!Что можно сделать?1) «Ответственно репортим» (и лучше так: не просили – не ищи).

Связываемся доступными методами, если не отвечают – ищем знакомых. Дожидаемся исправления и, возможно, рассказываем что и как было

2) «Законно» продаем (продажа компаниям типа ”hacking team” или в ZDI/Zerodium)

3) Продажа на «теневом» рынке, непосредственная эксплуатация против кого-либо

Stay secure & keep hacking ;)

@sergeybelove