SECR-2014カンファレンスの情報セキュリティに関するレポートの概要とビデオ

昨年、 SECR-2014カンファレンス（ロシアのソフトウェアエンジニアリングカンファレンス）では、コンピューターサイエンスから最新のIT管理まで、Linuxドライバーの検証の微妙さからビジネス分析、さらには法的問題まで、ソフトウェアエンジニアリングのすべての分野で140のレポートがありました。 情報セキュリティレポートに関するセクションもありました。



ビデオを撮影して公開しましたが、今は退屈な夏のシーズンに、業界の専門家と大学の研究者の両方から、情報セキュリティのさまざまな側面に関するSECRレポートの短いレビューを提供しています。 今年の会議であなたが見たり、レビューしたり、さらには講演をするように動機付けてくれたら嬉しいです。

「モバイルバンキング-空中盗難」

「モバイルバンキング-空中盗難」レポートのスライド、追加資料、連絡先

70以上の銀行からの2つのプラットフォーム（iOS、Android）、約120のアプリケーションのモバイルバンキング用のモバイルアプリケーションのセキュリティに関する新しい独立した研究が紹介されます。



この調査の焦点は脆弱性です。この脆弱性を使用すると、MiTM（Man-in-The-Middle）攻撃が実行され、顧客のアカウントから資金が盗まれる可能性があります。

重要でないマイクロペイメントのみが携帯電話を通過した時代-今ではモバイルバンキングに多くのお金があり、脆弱性はクライアントのアカウントと銀行の評判の損失につながる可能性があり、中央銀行の観点からは、アプリケーションを搭載した携帯電話からのクライアントバンクは一般的に同じです



スピーカーのチームは「中間者」攻撃のみに焦点を当てました。モバイルバンキングでは、誰もがガスチャネルでシールドケーブルを接続せず、WiFiポイントを偽造するのも簡単だからです。 少し難しくなりますが、ベースステーションでさえ偽造するのは本物（鉄$ 3000）以上です。 感染した企業ネットワークは言うまでもなく、DNS設定が変更され、すべてのトラフィックが流出する可能性があります。



iOSおよびAndroid用の100以上のアプリケーション（WinphoneとBlackBerryは少し延期されました）を見て、一時的に空洞化されました-トランスポートレイヤーのセキュリティ、SSL証明書のチェックの正確性、SSLピニングを使用しないこと。 そして彼らがそこに見なかったもの。



そして、幸いなことに、XORなどでの自作暗号化や、クロスプラットフォーム開発を促進するファッショナブルなマルチプラットフォームフレームワーク（Titanium、Apache Cordova）など、自家製アイテムのセットが消滅します。証明書」。



そして、各ブラウザーと電話の法的なブックマークを覚えておく必要があります-偶然にもiOSでは捨てられない数百の完全に不必要なルート証明書（外国政府の証明書を含む）、および基本的なソーシャルエンジニアリングで「偽の」証明書を追加します。



外部チームによる銀行向けのHeの開発は、建築用ガスケットの山になります。モック、不必要なデバッグ情報...これらはすべて当然生産されます。 その結果、FakeSSLCheckクラスはアプリケーションで動作し、内部銀行システムの完全な構造を備えたギガバイトスタックは、ドロップされると抜け落ちます...



要するに、Androidアプリケーションの4分の1は間違いなく壊れており、iOSの5分の1近くが壊れています。



どうする 両方の確認チャネルが傍受されることが多いため、2レベルの識別も万能薬ではありません。 バイオメトリクスはいまだに悪口です-スピーカーのチームは、アーキテクチャレベルである種のポンツーンシステムを破り、検証アルゴリズムに到達することさえできず、「生体解像度」のレベルに到達した場所はまだ完全に存在しません。



報告書をご覧ください。最後に「何をすべきか」という推奨事項があり、「生きるのが怖い」ということはありません。

---

「ソフトウェア開発ライフサイクルに統合されたエンドツーエンドのセキュリティプロセス」

スライド、追加資料、レポート「ソフトウェア開発ライフサイクルに統合されたエンドツーエンドのセキュリティプロセス」の連絡先

このレポートでは、英国最大の電気通信事業者であるEEのアプリケーションセキュリティアプローチについて説明しています。



開発サイクル全体を網羅するエンドツーエンドのセキュリティプロセスの重要な側面と、「セキュリティテスト」のより一般的なプラクティスに対するその利点を検討します。



そのようなプロセスのコストを許容可能なレベルに減らすためのトレードオフについて説明します。

セキュリティ部門は、PCI DSS監査の前に電気通信製品の光沢を扱うだけでなく、監査人の意見も扱っており、ヨーロッパでそのような部門の中で最も成功し、有用です。 これらはすべて、より有名なT-MobileとOrangeの最近の統合の成果である大規模な電気通信EEで実現されています。



ベストプラクティスは、そのほとんどが「アプリケーションのセキュリティは主にプロセスである」という非常に些細な、どこでも聞こえるマントラに要約されますが、詳細は面白くないものではありません。



完全な開発サイクルとの緊密な統合。 プレリリースのセキュリティ監査だけでなく、「設計だけでなく、最初のビジネス要件も変更する必要がある」ためです。 ビジネス要件から始まるエンドツーエンドのプロセス、手動および半自動分析、契約管理者とのセキュリティのための位置的な戦い（幸いなことに「セキュリティに支払うものはありません」状況）。



なぜなら、真に英国の企業のように、英国の経営者しかいないからです。 開発とセキュリティ監査の両方-すべてのアウトソーシングまたはオフショアリング。 そして、製品の場合-アウトソーシング（「製品の購入」）であり、マネージャーがそうであるように、タイミングと機能性を優先してセキュリティのスコアリングを試みることができる場合、セキュリティチームはオフショアリング（「購入」）します。 ここでは、特定の人々との長く密な関係が必要です。 また、セキュリティの種類はロシアと中国の専門家の半分で構成されていることを考慮すると、2つの方法で判明します。 一方で、これは政治的理由（「ロシア-中国？敵！ハッカー！」）でおびえています。一方で、それは明確な計算です。なぜなら、ヨーロッパ人は居住許可などを持っていないからです。 また、全体主義的管理（パスポート登録）の要素がある国では、従業員との長期的な関係を構築する方がはるかに信頼できます。



したがって、一般的に、これはすべて有益で効果的であると思われます。 もちろん、非機能部門、特にリスク評価が膨大な量と予測不可能な確率で行われる部門の有効性を測定することは非常に困難です（スピーカーはサンクトペテルブルクのパラドックスに言及しました）。 しかし、簡単に言えば、機能テストよりもコストがかからず、リリースが遅くなることはありません。サービスパッケージには、推奨事項、トレーニング、設定プロセス、 OWASP推奨事項を含むレポートが含まれます。プロジェクト作業。 しかし、一般的に、飢starする必要はありません。通信の予算は膨大です。内部費用の計算により、すべてがセキュリティチームに振り分けられ、割り当てられたお金を最大限に活用することがタスクになります。



そして一般に、セキュリティチームの位置は優れています-最終的なセキュリティに対して責任を負わず、リリースをブロックしません（重大な脆弱性があったとしても、リスク管理チームが責任を負うか、それ以上の人がいる場合、リリースは可能です）、セキュリティ中に火災は消えません-facap（別々の人がいて、fakapがあります-私はそれをグーグルで検索し、すぐに出ました[1] ）、つまり、怠zyなQAのように、「私たちは品質/安全について責任を負いません、それを調べるだけです」私は「オフィス」を「私はどうやっているの？」と思い出します。 「私はプロです、私はこれらのいまいましい人々と仕事をしています！」



もちろん、実際の作業があります-ベンダーによると、チームはHP Fortifyをルールと設定のカスタムデータベースとともに深く使用し、「Fortifyのルールを構成できる世界で最後の場所の1つ」に加えて、一部の専門家は成長し、 Fortifyチーム。 ところで、スピーカーはクラウドサービスの強化をオンデマンドで使用することに対して強く警告しました-「これはフィリピンの非常に無能な人々によって行われます」。



全体として、スピーカーの立場は肯定的で説得力があります-「信じなくても機能します」。彼は、彼が悲観論ですべてを失望させないように、認定時に病気休暇をとるのが最善の開発者がいることを正直に認めましたが、



もちろん、最終的に彼らは優秀なスペシャリストを探すのは難しいと不満を言いました-何らかの理由でプログラミングを開始することを突然決めた経験豊富なアーキテクトが本当に必要だからです。

---

「Linuxコンテナのハードウェアセキュリティモジュールの仮想化テクノロジ」

スライド「Linuxコンテナのハードウェアセキュリティモジュールの仮想化技術」のレポートの追加資料、連絡先

このレポートでは、Linuxでのコンテナーの使用に基づいて、仮想セキュリティモジュールを構築するためのテクノロジーについて説明しています。 このソリューションは、クラウドサービスを計画している、またはすでに使用してITインフラストラクチャを構築している人にとって興味深いものです。

ハッキングやリークによるセキュリティとかかしの重要性についての標準的な言葉を省略して、アイデアは次のとおりです。

• OpenSSLは標準セキュリティライブラリです。OpenSSLポートの数は、Linuxを実行できるシステムの数の10倍を超えています。 そして、彼女は何年も見つけられなかったクールな穴を繰り返し見せました。 はい、今はフォーク（BoringSSL / LibreSSL）を行っていますが、その人は弱く、常にエラーが発生します。
• ハードウェア暗号化モジュール-正しくてクール。 しかし、いまいましい、どのくらい高価です。 地獄。 何を持っているのか、何を持っているのか。

そして、ここには仮想化のトレンドがあります。すべてがコンテナ内に存在します。



ホストマシンに関する一方向関数が存在するという仮説を破り、暗号化全体を別のコンテナーに入れて、特別なバスを作成します。APIは最も互換性が高く、すべてのものです。 利益。



OpenVZコンテナーでアカデミックな概念実証を作成し、負荷下でのパフォーマンスを測定しました-それほど悪くはないようです（中程度ですが、対数スケールで）。 スケーラビリティがあれば、まったく問題ありません。 それが離陸するかどうか-誰が知っているか、 プロジェクトページ自体は悲しいかな、長い間動かなかった。

---

「ホッピングIPアドレスを使用したプロトコルの開発」

スライド、追加資料、レポート「ホッピングIPアドレスを使用したプロトコルの開発」の連絡先

DDoS攻撃は、依然としてInternet Northの主な脅威の1つです。 このレポートは、保護されたサーバーの実際のIPアドレスから多数のIPアドレスのアドレスへの擬似ランダム変更に基づいて、DDoS攻撃とトラフィックの傍受に対するサーバーの復元力を高めるソフトウェアソリューションを提案しています。

著者によると、何らかの理由でバックボーンプロバイダーが無関心であるDDOS攻撃の古き良き問題であり、Tileraなどの超鉄をフィルタリングするのではなく、純粋にソフトウェアの方法で解決することが提案されています。



一言で言えば-これは、第二次世界大戦中にエロシーンの1人の女優によって発明された古典的なパラダイム「周波数ホッピング」の開発です（編）。 ここだけが、各クライアントセッションのパケットごとに個別のIPアドレスを使用した一種のスーパーマスキングです（！）。



つまり、DNSはすべての要求を特定の入力「承認サーバー」にリダイレクトします。このサーバーは、健全なIPアドレスのプールで動作し、巧妙な規則に従って時間内に変更します。 クライアントマシンには、これらのゲームをプレイし、すべてを同期的に変更できる特別なソフトウェアも必要です。



これは、これまでのところ、netfilterカーネルモジュールを追加することにより、TCPプロトコルに対してのみ実装されています。



このアプローチの明らかな多くのマイナス点：

• 認可サーバーは、単一障害点および攻撃の新しい点となり、個別に保護する必要があります。
• パブリックIPアドレスは、IPv4のようにめったにありません。ところで、IPv6アドレスは無料ではありません。
• これはすべて、公共サービス（特別なクライアントが必要）には適さず、企業の仕事にのみ適しています。この場合、堅牢なVPNゲートウェイを使用しない理由は明らかではありません。

おそらく、あなたは賛否両論の他の議論を見つけるでしょう。

---

DIYプログラミングと不正防止

スライド「DIYプログラミングと不正行為からの保護」レポートのスライド、追加資料、連絡先

このストーリーでは、BREシステム（ ビジネスルールエンジン ）を使用した経験に焦点を当てます。これは、開発者以外がコードを記述し、必要に応じてアプリケーションのロジックをすばやく変更する方法です。



詐欺監視システムのコンポーネントの1つを例として使用して、開発機能、このアプローチの利点、対処しなければならない問題、および実装中に考慮する必要がある重要なポイントについて考えてみましょう。

レポートの名前はハッカーですが、ここではDo It Youselfであり、詐欺行為です...しかし、実際はYandexMoneyのアーキテクチャとプロセスに関するものです。



要するに、不正な詐欺スキームはすぐに複製されるため、数時間で消滅して対処する必要があります-すべてのビジネスプロセスがハードコーディングされていれば、イテレーションの最後に展開するために、アドジャイルがなくても誰もが連れ去られてしまいます。 もちろん、BRE- Business Rule Engineを使用する必要があります。これは、専用のドメインモデルを備えた有能なアーキテクチャの上でスピンする、高レベルのビジネスロジックを別に用意します。



ルールは、Drools（WebRule、BizTalk）などの人間が読める高レベル言語で作成する必要があります。すべてにログを記録し、迅速なアクセスのために特別な非リレーショナルリポジトリに知識のビッグデータを蓄積する必要があります。



しかし、いずれにせよ-コードはコードであり、この「高レベルプログラミング」には、レビュー、テスト、およびテストの一部があります。どんなに恐ろしく聞こえても、 猫ユーザーに渡されます-つまり、A / Bテストによる段階的な展開...お金のサービスでさえ彼らがそれを行うとは思いませんでした。



スピーカーを引用して-「すべての側面に敷設する必要のあるストローがたくさんあります」（c）。

---

「自己修復システム」

レポート「自己修復システム」のスライド、追加資料、連絡先

英語のオリジナルビデオ「Self-healing Systems」

日常生活のあらゆる面でコンピューティングシステムを使用すると、ソフトウェアエンジニアリングに多くの問題が生じます。 特に、今日のシステムにとって最も重要な要件の1つは、誤動作、攻撃、および不安定な環境の危険性にもかかわらず、高可用性です。 これらの問題を解決するには、信頼性、安全性、有用性をより厳密に制御するシステムを構築し、現在システム障害につながるタスクを自動化し、専門家と管理者の注意を必要とします。 これにより、ソフトウェア開発および設計の新しいセクションが出現します。これには、 オートノミックコンピューティング 、 自己修復システム、または自己適応システムが含まれます。



このレポートでは、この分野の最新の成果について説明します。これにより、次のような多くのエンジニアリング上の問題を解決できます。

• （a）アーキテクチャモデルと回復の自動化を通じて自己修復をサポートする機能、
• （b）アプリケーション操作中の誤動作を診断し、制御システムを作成するための新しい技術、
• （c）自己保護システムのサポート。

これは、ハッカーとの軍拡競争ではなく、情報セキュリティの忘れられがちな「アクセシビリティ」に関するものです。 確かに、システムがハッカーのDDOSに該当するか、クリスマス/ Habr / redditの影響を受けるかに差はありません。 情報システムは、動作条件の偏差またはありそうもない黒い白鳥がそれらをオフにできないように設計する必要があります。 一般的に、「ハッカーについて考えるのをやめて、自分のIT専門家について考えてください」。



最新の高負荷アーキテクチャはすべてのコストで複製とアクセス可能性に関するものであるという非常に明白な観察があり（例：Googleファイルシステム、IBM MAPE-K）、マイクロサービスアーキテクチャのエンタープライズトレンドもあります。



スピーカーはまた、適応回復のための独自のモデルと形式を推進しました。そこでは、独立した制御ループとPlan-Do-Check-Act Monitor-Analyze-Plan-Executeレベル戦略を備えた、なんとなく自明なアーキテクチャがありました。モデル管理と適応、戦略の実行、アーキテクチャ評価の別々のプロセスに分かれました...（総称して、レインボーアーキテクチャと呼ばれていました）。



ランダム化された適応戦略を設定するための専門分野に特化した言語スティッチと、「スペクトル誤差の局所化」のトリッキーなシステムがあります。これらはすべて、サムスンの生産管理システムでもテストされました。

---

「意図的なセキュリティ」

スライド、追加資料、意図的なセキュリティレポートの連絡先

英語による設計セキュリティによるオリジナルセキュリティ

企業レベルを含む、プログラムの設計と開発におけるセキュリティ要件と傾向。 組織内のITシステムとサービスのセキュリティと復元力をどのように達成できますか。



何が欲しいのか：

• クライアントとユーザーの視点-「バカに対する保護」を備えた安全なソフトウェアを作成できますか？
• 最新の要件とセキュリティ標準は、すべてのソフトウェアに共通する新しいタイプの脆弱性を作成するのに役立つのですか、それとも作成するだけですか

どうすればこれを達成できますか：

• 安全なソフトウェアの開発方法-開発原則、特別なユーティリティ、セキュリティテスト？
• 開発チームにはどのような主要なセキュリティスキルが必要ですか？
• サイバーセキュリティにおける「ビッグデータ」の流入をどう処理するか-攻撃と脅威に関する多数のソースからの情報を組み合わせて応答するために？

いくらですか：

• セキュリティはいくらですか？また、そのコストを手頃な価格で管理する方法は？
• 予防の価格と結果の修正の価格の比較

ディスカッションパネルの形式は、聴衆からの質問を含む4人の英語スピーカーの混chaとした議論です。



ソフトウェアは全世界を飲み込んでしまいましたが、私たちは安全ですか？ パドックに機能要件とユーザビリティの後にのみ注意が払われるセキュリティがありますか？ セキュリティと使いやすさのバランスを計算する方法は？



はい、情報セキュリティのこの領域全体は、確率が低く悲惨な結果をもたらすブラックスワンでいっぱいです-正直に計算するのは困難です。 すべてが直感に反して、普通の従業員に血で書かれた規制の価値と上司に説明できる図-セキュリティに投資する価値、特に経営陣が完全に効果的で理論の基本を知らない場合



すべてを少しも変更せずにセキュリティをアップグレードするのが難しいレガシーシステムで何をすべきか？ 「デジタルセキュリティ...目に見えないことがよくあります。 このゴーファーは危険ですが、...



適応システムに関するレポートの著者は、動的システムの脆弱性が低いという考えを推進し、マルチスタックアプリケーション（Linux、Windows、および...の下で実装され、条件付きで実行され、並行して実行される）は脆弱性が低いという非常に奇妙な考えに達しました。 信頼性の観点からは、そうかもしれませんが、「あいまいさと狂気によるセキュリティ」を考えなければ、明らかにそれに比例してより多くの脆弱性があります。 他の頑固なアイデア、たとえば「攻撃ウイルス」がありました。



「9を信頼性に追加するにはどれくらいの費用がかかりますか」から、無限のセキュリティレースについて多くの議論がありました。 （国際的な冗談の精神で「私はトラより速く走る必要はない...」）。

---

フィードバックとコメントを歓迎します。レポートで何か役に立つものを見つけてくれるか、またはあなたの意見でこれがすべてクールな場合は、レポートに明確に熟している- 登録してください 。



業界の専門家、大学の研究者、地下データセンターからの悲観的なチューリング-会議があなたを待っています。



はい、公式の日付はそこで終了しましたが、プログラム委員会に参加した私の経験では、何か伝えることがあれば、強力なトピックに関するレポートにレビューを行う時間があります。