情報セキュリティは重要です。 ただし、この知識は少数の人々に役立ちます。 接続されている汎用コンピューター(==複雑さ)の数は日々増え続けており、 HeartやCloudbleedからStuxnetへの非常に現実的な事件や、トヨタのオンボードコンピューターの問題 ( 車が止まらない場合 )があり、状況はそれだけでは良くなりません。 「モノのインターネット」は電球やドアロックのような物理的なインフラストラクチャを作るスタートアップであるため、さらに悪化しています(SCADA開発者は血の涙で泣きます)。 膨大な量のコードがメモリに安全でない言語で書かれているためです。 開発者の教育は、原則として、機能(プロジェクト/ etozhprototype)、または基本的なアルゴリズム(システムが真空で動作しないことを理解する助けにはなりません)のいずれかであるためです。
問題の主な原因は2つあるようです。これは安全ではないツールキットです-たとえば、PL(C / C ++)とライブラリ(OpenSSL)、および人。 人々は情報セキュリティを忘れ、「何かをリリースして、それを理解しよう」と考え、ツールのトレードオフを理解していません(「Cが速い」ことは誰もが知っていますが、メモリの安全性とUBの規模を知っている人はほとんどいません)など 現在、最初の問題はコミュニティによって解決されています。Rustのような安全な言語とTweetNaClのようなシンプルでわかりやすいライブラリが開発されています。 2番目は残ります(結局のところ、適切な思考と同様に、良いツールを教える必要があります)。
したがって、我々は上のmitapを行っています 情報セキュリティ デフォルトのセキュリティ。
「IB」ではなく「SbD」と言います。後者は、(1)通常の開発者の生活を台無しにするためだけに存在すると思われる邪悪な警備員、および(2)CTFとハッキング文化に関連付けられることが多いためです。
デフォルトでは、セキュリティについて詳しく説明しています:両方のツール(差し迫った衝突の前に自身がブレーキをかけることができ、ファイアウォールOSをインストールした後にオンになるメモリ、メモリの安全性を備えた言語)、および人々の思考(非ポストファクトムについて考えてください)。
mitapプログラムをいくつかのブロックに分割しました。
(最後にプレゼンテーションのアイデアも参照してください)
業界:ここでは、大企業の経験豊富な専門家が、fakapsの経験(および業界のレビュー)、および企業がプロジェクトに安全性をもたらす方法について説明します。 また、開発を(より)安全にするツールについても説明します。ファジングから強力な型システムまでです。
ディスカッショントピックの例:
- Stuxnet 、SCADA経由でイランの核遠心分離機の20%を破壊するマルウェア
- 既婚男性の出会い系サイトであるアシュリーマディソンのデータベース全体(名前、写真、財務データなど)の侵害
- Pornhubでのリモートコード実行
- 有用なスタックオーバーフローを見つけることによるdnsmasqのファジング
- 「フィアレスコンカレンシー」 Rustは実際にどのように機能するか
- 暗号化の準備方法
- 安全なインターフェースの設計:ブラウザーからメッセンジャーまで
個人の安全:データの管理方法(デジタルフィンガープリント)、法的な問題(虐待の訴え方)、および「問題を認識しました。どうすればよいですか」という質問について話します。
ディスカッショントピックの例:
- Whatsapp e2e暗号化の不完全な実装がどのように役に立たないか
- IoTガレージロックは 、メーカーのフォーラムで所有者の悪いレビューが行われた後にブロックされます
- CCCが写真から指紋を生成する方法
- デスクトップセキュリティに希望はありますか?
- Telegramの何が問題になっていますか?
- 小さなプロジェクトでの安全性:参加者の事例を分析し、経験豊富なスタートアップに耳を傾けます。 簡単なリスク削減戦略について説明しましょう。
Mitapは5月18日に沸騰点で開催されます。 一緒に来て。 安全です (入場するにはパスポートが必要です)。
また、Lightning Talk形式以上のレポートも歓迎します。 さらに、この夏にフィールドスクールの一部として計画されているコースを計画しているすべての人と話し合うことができます。
(レポートを入手したい場合は、PMのschool@goto.msk.ruまたはwldhxに連絡してください。)
ユーザー
- インターフェイス設計の問題
- 暗いパターン
- 緑のhttpsロック
- Therac-25
- ルフトハンザ2904
建築家
暗号化/信頼
- アイデンティティ 信頼の根とユーザーのアイデンティティのソースは何ですか?
- 地方分権アイデンティティ。 PKIとWOTから学んだ教訓。 キーベース 次は?
危険なデータ処理の実践(プライバシー、倫理)
- Alexa / OK Google / Siri
- パスワード/トークンなどの保存
- 必要以上のデータを使用する
可用性、回復力(集中化)
- バックアップの欠如
- 「雲は落ちない」
- S3が死亡-Polinternetが死亡
- Cloudbleed(および一般的に「クラウドTLS」)
無責任なエンジニアリング
- 抽象化の問題を新しい抽象化で解決しようとします(非機能の無駄に費やされた機能クリープ後方互換性時間)
- ハイパー後方互換性(MS、Java、OpenSSL、TLS)
- ...および非互換性(Linux ABI)
- X11:グローバル入力
ネットワークセキュリティ
- IoT(テスラパワーウォール、サーモスタット、掘削機、トラクター)-クラウドを通じて管理
- Gappsは、人に接続されたリモート制御のルートキットです
- ベースバンド
物理的な妥協
- BadUSB
- 雷撃
- エビルメイド
- realtek暗号化キー
- Intel ME
開発者
曲線アルゴリズム+危険なコーディング慣行
- 安全でないプログラミング言語(メモリの安全性なし+正気のデフォルト(不変性...))
- 妥当なテストとコードレビューの欠如
- 「機能しているようです」
- 開発者向けの洗練されたインターフェース(OpenSSL)-エラーの原因
- ハートブリードシェルショック
- UBを使用する言語(C、C ++)
- 他のすべてを犠牲にして機能を必要とする管理:機能> * /速く動く、物を壊す
- 爆発的なギャラクシーノート7
- ひねくれたインセンティブ/経済的意味:良いフィット感を構築するよりも、%dごとに新しい退屈な製品をリリースする方が簡単
すでに情報セキュリティに興味がある場合は、多くの場合、人々にそれについて助言し、それを楽しむことさえあります。
登録フォームに「メンターになりたい」とだけ書いてください。 (LANのschool@goto.msk.ruまたはwldhxに書き込むこともできます。)