odpoledne se seznamem ii - provozní bezpečnost

Štefan Šafár, bezpečnostní administrátor

Bezpečnost ?

www.seznam.cz

Obsah

• Bezpečnost v různých fázích vývoje software

• Návrh / Analýza

• Vývoj / Testování

• Provoz / Maintenance

• Co jsme za poslední rok řešili

• Co v provozu připravujeme

www.seznam.cz

Jak uchopit bezpečnost

• SDLC – Systems development life-cycle

• CLASP

• Microsoft SDL

• BSIMM2

• OWASP OpenSAMM

www.seznam.cz

Návrh / Analýza

• Modelování / Analýza rizik

• DEMO

www.seznam.cz

Vývoj / Testování

• Školení programátorů – jazyky?

• Code review – náročné na čas?

• Whitebox testování – Lint (statická analýza)

– http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis

• Whitebox testování – Dynamická analýza

– http://en.wikipedia.org/wiki/Dynamic_program_analysis

• Greybox?

• Blackbox testování – automatické

– Acunetix, Netsparker, IBM Appscan, HP Webinspect, …

• Blackbox testování – manuální

– Distribuce Kali, BlackArch…

www.seznam.cz

www.seznam.cz

www.seznam.cz

Provoz / Maintenance

• Management balíčků / verzí

• Scanner zranitelností

– Nessus, OpenVAS, …

• Dostatečně výkonný firewall

• Web Application Firewall

– Škálování? Udržování? SSL?

• SSL

– Ukončování? Algoritmy? Preference šifer?

www.seznam.cz

DoS – 03/2013

www.seznam.cz

DDoS 03/2013

www.seznam.cz

Salt stack – key generation

• Systém na hromadnou správu serverů

• V pythonu – snadná implementace vlastních skriptů

• Rychlejší než puppet hlavně díky 0MQ

• 0MQ nepodporovalo crypto, napsali si vlastní

www.seznam.cz

Salt stack – key generation

• Systém na hromadnou správu serverů

• V pythonu – snadná implementace vlastních skriptů

• Rychlejší než puppet hlavně díky 0MQ

• 0MQ nepodporovalo crypto, napsali si vlastní

• Implementace RSA, generování klíčů, atd

• e=1

www.seznam.cz

Salt stack – key generation

• Systém na hromadnou správu serverů

• V pythonu – snadná implementace vlastních skriptů

• Rychlejší než puppet hlavně díky 0MQ

• 0MQ nepodporovalo crypto, napsali si vlastní

• Implementace RSA, generování klíčů, atd

• e=1

• d=1

• c = me (mod n), m = cd (mod n)

www.seznam.cz

IPMI – cipher 0

• Součást specifikace IPMI

• ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit

user list

• Různé reakce výrobců HW

www.seznam.cz

IPMI – cipher 0

• Součást specifikace IPMI

• ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit

user list

• Různé reakce výrobců HW

• „Vypněte cipher 0 nainstalováním nejnovějšího firmware“

• „Vypněte IPMI a SNMP, pokud je nepoužíváte“

• „Instalujte Urgentní upgrade hned jak je to možné“

• „Provozujte BMC v oddělené management síti a

nenechávejte je otevřené do internetu“

• http://fish2.com/ipmi/cipherzero.html

www.seznam.cz

iDRAC – root shell

• Společnost DELL – management rozhraní serveru

• Uživatel root defaultně povolen

• Možnost přepnout login shell

• http://fish2.com/ipmi/dell/secret.html

www.seznam.cz

www.seznam.cz

Co připravujeme / máme

• CSIRT tým

– http://napoveda.seznam.cz/csirt

• Trusted Introducer – accredited status

• SSL + PFS + HSTS pro (snad) všechny služby

• Bezpečná VLAN v NIXu

www.seznam.cz

Štefan Šafár, stefan.safar@firma.seznam.cz

Děkuji za pozornost