- PVSM.RU - https://www.pvsm.ru -
Информационная безопасность — это важно; впрочем, это знание мало кому помогает. Количество соединенных general-purpose компьютеров (==сложность) растёт каждый день, происходят очень реальные инциденты от Heart [1] или Cloudbleed [2] до Stuxnet [3] или проблем с бортовым компьютером Toyota [4] (когда машина не останавливается), и ситуация не становится лучше сама по себе. Становится хуже, потому что "интернет вещей" — это стартапы, делающие физическую инфраструктуру типа лампочек [5] или дверных замков (разработчики SCADA плачут кровавыми слезами). Потому что огромное количество кода пишется на memory-unsafe языках. Потому что образование разработчиков — это, как правило, либо про фичи (проекты / этожпрототип), либо про фундаментальные алгоритмы (что не помогает пониманию того, что система работает не в вакууме).
Кажется, что основных корней проблемы два: это небезопасный инструментарий — например, ЯП (C/C++) и библиотеки (OpenSSL), и люди. Люди забывают про ИБ, думают "выпустим что-нибудь, а потом разберёмся", не понимают tradeoff'ы своих инструментов (то, что "C — это быстро", знают все, а вот про memory unsafety и масштаб UB — немногие), etc. Первая проблема сейчас решается сообществом: разрабатываются безопасные языки типа Rust и простые, понятные библиотеки типа TweetNaCl. Остаётся вторая (ведь хорошим инструментам надо ещё научить, как и соответствующему
Поэтому мы проводим митап по информационной безопасности Security by Default.
Мы говорим "SbD" вместо "ИБ" потому что последнее часто ассоциируется с (1) злыми безопасниками, которые, кажется, существуют только для того, чтобы портить жизнь обычному разработчику и (2) с CTF-ами и культурой хацкинга.
Мы же говорим скорее про безопасность по умолчанию: как инструментов (машина, которая может сама затормозить перед неминуемым столкновением, включенный после установки ОС firewall, язык с memory safety), так и в
Мы разбили программу митапа на несколько блоков:
(также смотрите идеи для докладов в конце)
Индустрия: здесь бывалые эксперты из больших компаний расскажут о своём опыте факапов (и обозрят индустрию), и о том, как корпорации наводят безопасность в своих проектах. Также мы обсудим инструментарий, делающий разработку (более) безопасной: от фаззинга до сильных систем типов.
Примеры тем обсуждения:
Личная безопасность: поговорим, как контролировать свои данные (Digital Fingerprint), обсудим правовой вопрос (как засудить за abuse) и вопрос "я осознал проблему, что делать?".
Примеры тем обсуждения:
Митап пройдёт 23 апреля с 16:00 до 20:00 в Точке Кипения [15]. Приходите. Будет безопасно [16] (для входа нужен паспорт).
Также мы приветствуем доклады в формате Lightning Talk и длиннее. Кроме того, будем рады обсудить планируемые этим летом в рамках выездных школ [17] курсы со всеми желающими.
(Если вы хотите прийти с докладом — напишите на school@goto.msk.ru [18] или wldhx [19] в ЛС.)
Если вы уже интересуетесь информационной безопасностью, часто находите себя консультирующим людей по её поводу и даже получаете от этого удовольствие — мы были бы рады видеть вас как ментора: человека, могущего без лишних TLA обсуждать проблемы и делиться своим опытом.
Просто напишите в форме регистрации "хочу быть ментором", и мы спишемся с вами. (Ещё можно написать на school@goto.msk.ru [18] или wldhx [19] в ЛС.)
Автор: wldhx
Источник [20]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/programmirovanie/253064
Ссылки в тексте:
[1] Heart: http://heartbleed.com
[2] Cloudbleed: https://en.wikipedia.org/wiki/Cloudbleed
[3] Stuxnet: https://en.wikipedia.org/wiki/Stuxnet
[4] проблем с бортовым компьютером Toyota: http://www.edn.com/design/automotive/4423428/Toyota-s-killer-firmware--Bad-design-and-its-consequences
[5] лампочек: https://twitter.com/internetofshit/status/849667478385037317
[6] мышлению: http://www.braintools.ru
[7] Stuxnet: http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet
[8] Ashley Madison: http://krebsonsecurity.com/2015/07/online-cheating-site-ashleymadison-hacked/
[9] Pornhub: https://www.evonide.com/how-we-broke-php-hacked-pornhub-and-earned-20000-dollar/
[10] Фаззинг dnsmasq: https://blog.skullsecurity.org/2015/how-i-nearly-almost-saved-the-internet-starring-afl-fuzz-and-dnsmasq
[11] "fearless concurrency": https://blog.rust-lang.org/2015/04/10/Fearless-Concurrency.html
[12] неполная реализация e2e-шифрования Whatsapp: https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages
[13] IoT-гаражный замок: https://arstechnica.com/information-technology/2017/04/iot-garage-door-opener-maker-bricks-customers-product-after-bad-review
[14] изготавливать отпечатки пальцев по фотографии: https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands
[15] Точке Кипения: http://tboil.ru/contacts
[16] Приходите. Будет безопасно: https://docs.google.com/forms/d/e/1FAIpQLSfWPiBMxCuli9yTIUuydFn6ZEDCVEkYcfc-p_7MqBD2uc_cAg/viewform?c=0&w=1
[17] выездных школ: https://goto.msk.ru
[18] school@goto.msk.ru: mailto:school@goto.msk.ru
[19] wldhx: https://habrahabr.ru/users/wldhx/
[20] Источник: https://habrahabr.ru/post/326764/
Нажмите здесь для печати.