Security BSides Warsaw dzień 1 ścieżka 1 część 2
Show transcript [pl]
to jest tylko mikrofon to się daje pod koszulkę nie ty przyklejasz magnetyczne w ogóle Miło mi ciebie poznać
Halo Halo Tylko mi jeszcze Powiedzcie czy ja mam mówić głośno w sensie normalnie i będzie nagłośnienie na sali czy mam mówić głośno w sensie sala słyszy jedno a stream słyszy
drugie ale ja muszę wiedzieć jak głośno Po prostu mówić Także Dobra dzięki To co zaczynamy
Szanowni państwo wreszcie zaczynamy bardzo was przepraszam na wstępie za moje spóźnienie możemy podziękować leśnikom którzy protestują w centrum Warszawy ale cieszę się że Dojechałam tak w ogóle I to też pokazuje że tak widzieliście widziałem ę jak wypow okej Bo sytuacja była taka sprawdzam O 12:00 ile mam do dojechania tutaj 20 minut z samochodem problemu nie ma rozpakuję jeszcze zmywarkę 1210 o 40 minut Czemu Trasa Łazienkowska nie działa ale to że Dojechałam tutaj to jest tward trochę no ale przy Security też trochę czasami jest fartu żeby zauważyć pewne rzeczy także to się jakoś tam wiąże natomiast jeszcze jedna rzecz która mi przyszła do głowy żeby tak połączyć te oba wątki przyjechali protestują uzy A jak jest Security przyjdzie grupa
zrobi Pest pza życie pojedzie coś się zmienia Odpowiedzcie sobie sami także taki start Ja się nazywam Lena sękiewicz z wykształcenia jestem psychologiem pracuję jako web deweloper już od paru lat a dzisiaj będę mówić do was Security trochę zur
także później bardzo chętnie się dowiem co Źle napisałam Natomiast chcę gdzieś tam pokazać wam swoją perspektywę dotyczącą developmentu i tego gdzie ten to Security Cyber Security wchodzi albo nie wchodzi jak wchodzi Jak wygląda w moim przypadku ja się zajmuję głównie frontendem czasami trochę siedzę na backendzie natomiast to nie jest tak że ja piszę te wszystkie Rey gety i tak dalej więc to mi zostało na razie oszczęd nae głównie grzebie w javascripcie w recie bądź VI no stylowanie okej to już wiemy HTML te sprawy więc jestem takim trochę człowiekiem od stylowania ale też czasem od pisania aplikacji samoukiem aczkolwiek jakiś tam bootcamp się przyplątał natomiast też o tym jak wygląda ta kwestia Security w przypadku web deweloperów wam powiem
bootcamp miał chyba z 40 lekcji w sensie takich kobył na tydzień i jedna była poświęcona testowaniu cy Security koniec także tak to mniej więcej wygląda Zresztą ten obraz ogólnie develop pojawiania się cy Security traktowania tematów cyb Security nie wygląda dobrze Jeszcze tylko dodam taką gwiazdkę do tego co napisałam że generalnie siedziałam na takich mniejszych projektach bądź średniej klasy projektach czyli projektach gdzie jest jakiś tam Team obsługuje jakąś stronę internetową z aplikacją natomiast nie mówimy tutaj o dużych projektach typu idziecie do korporacji i macie w corpo duży projekt który trzeba zabezpieczyć No dobra zanim przejdziemy do owasp który był w tytule i do tych Syzyfowych prac to Przyjrzyjmy się w ogóle jak wygląda rozwój frontendowca ja
się pokusiłam teraz bo ja raz na jakiś czas tam patrzę sobie na te mapy rozwoju frontendowca żeby zobaczyć czy dobre technologie wybieram czy w dobrym kierunku idę czy pewne rzeczy już przepracowałam dobrze i mogę sobie iść dalej czy jeszcze do czegoś wrócić zrobić sobie jakąś powtórkę i tak dalej no więc wyb prezent TR pierwsze strony które pojawiają się w Google bo jak ktoś wpisze tak frontendowiec roadmapa no to natrafi na te pierwsze TR No to zaczynamy od pierwszej roadmap SH mamy podstawy internetu HTML CSS system kontroli wersji maner zarządzanie tak tym paczkami frameworki jakieś Jakiś CSS jakieś wzd autentykacji i o wreszcie się pojawia C Security ale na poziomie podstawowym świetnie nie jest źle ale czemu tak
długo kolejna strona fre przechodzi jeszcze dłuższą drogę bo po drodze jeszcze dorzuca ty skrypta czyli nie dość że tam JavaScript jakieś frameworki tyta trzeba ogarnąć to na sam koniec W pewnym momencie tak jak już wiecie jak różne rzeczy zaprogramować jak już możecie pracować ileś lat naet na takim Stu kóry jest Pojawia się ten owasp świetnie nie jest źle trzecia Road mapa jest jeszcze lepsza mamy to samo co trzeba czyli HTML CSS javascripty jakieś frameworki mobilne No to powiedzmy że jakaś inna troszeczkę inne ujęcie system kontroli wersji świetnie hostowanie aplikacji ale później macie iść na backend nie ma w ogóle Security po także taknie wij wygl ścieżka frontendowca jeżeli się nie natrafi gdzieś na tej drodze na kogoś kto wie coś o cyb
security i powie Ej słuchaj ale tutaj można nie wiem xss puścić przez ten twój JavaScript No to może być ciężko więc sytuacja ogólnie jest niewesoła to co jeszcze się dokłada do tych problemów które ja widzę w swojej codziennej deweloperskiej pracy to jest na przykład problem z powiązaniem przyczyn i skutków No bo jeżeli jest tak że ktoś napis to wykorzysta ja nie mówię o takich sytuacjach kiedy ktoś naprawdę się przyłożył napisał ale gdzieś tam są jakieś podatności o których jeszcze nie wiemy czy ktoś coś wykombinował po drodze Dzięki konfiguracji tam innych innych obszarów nie wiem backendu serweru i tak dalej tylko jeżeli ktoś po prosto napisze zły kod w wordpressie na przykład jest to niezwykle proste bo
tylko część funkcji Wordpress nowych ma wbudowaną taką wbudowane takie zabezpieczenie że w jakimś tam stopniu sanzu to co gdzieś tam się pojawia użytkownika Czyli trzeba przegr się przez dokumentację żeby zobaczyć która funkcja już to ma a która jeszcze nie jak traficie To świetnie jak nie wiecie o tym no to sorry ale aplikację można łatwo położyć więc mamy ten źle napisany kod ale jak się wydarzy incydent to zazwyczaj ciężko jest zauważyć że była Jakaś przyczyna jest skutek jak coś ma cve okej ś num czity to już różnie z tym bywa dalej nie ma praktycznie ani nacisku na to żeby robić bezpieczeństwo ani żadnej Zachęty żeby się uczyć bezpieczeństwa ja już nie mówię o projektach małych typu wiecie
przychodzi klient chce żeby mu postawić stronę ta strona ma po prostu działać Ja mu próbuję wytłumaczyć że No fajnie ale nawet jak ja postawię jak nie będzie aktualizował to mu ktoś to wykrzaczyć będzie u niego na stronie bo nie elementów pójdzie ja już nie mówię o tym poziomie ale mówię o poziomie tego że Wchodzicie na jakiś projekt i ma być zrobione szybko ma być zrobione tak żeby zarząd na spotkaniu w przyszłym tygodniu w środę widział żeście ten kod napisali świetnie A żeby zrobić coś bezpiecznie to też trzeba pewne rzeczy doczytać zobaczyć przetestować przemielić przez jakieś systemy może nie wiem puścić sobie tego k Linuxa i trochę porobić pester na własną że tak powiem naas ile się ktoś zgodzi żebyśmy gdzieś w
bezpiecznym też środowisku mogli to przetestować No ale Zapomnijmy o tym nie ma być na środę dla zarządu też jest coś takiego Ja dzielę powiedzmy Tak roboczo w tej prezentacji ludzi na dwa typy na typy wojowników i typy kapłanów wojownik to są ci którzy chcą pociągnąć projekt jak najszybciej do przodu po to żeby z niego był największe pieniądze a kł to No ale to trzeba się zastanowić tak no bo tu są takie zależności to mogą być takie podatności to musimy uwzględnić to musimy uwzględnić tamto i jeżeli jest tak że te dwie grupy nie współpracują ze sobą tylko gdzieś tam się ścierają wchodzą w konflikt zazwyczaj wygrają Wojownicy bo mają większą siłę tak większe większą siłę przebicia natomiast no to też gdzieś
wpływa na to że to Cyber Security zostaje gdzieś na boku albo w ogóle nie jest zaopiekowane o nastawieniu na zysk było bezpieczeństwo kosztuje to nie muszę wam tłumaczyć bo Sami wiecie ile czasu potrzebowali żeby się dowiedzieć czegoś o bezpieczeństwie żeby nadążać nad różnymi technologiami i tak dalej i tak dalej poza tym Poza tym kontekstem Jest jeszcze kwestia odpowiedniego mindset nastawienia głowy tak bo jeżeli jest tak że deweloper jest nastawiony na cel którym jest wypuszczenie aplikacji wypuszczenie kodu a niekoniecznie na lepsze pisanie kodu No to też nie będzie dbał o to Security dalej firmy raczej szukają tych programistów ukształtowanych a nie Juniorów No bo jak wpuście juniora to juniora trzeba różnych rzeczy nauczyć czy wypadałoby nauczyć no to jak trzeba nauczyć to
trzeba włożyć w to pieniądze jak trzeba włożyć w to pieniądze no to idą nie na zyski tylko na przyuczanie kogoś a jeszcze nie daj Boże ten Junior się obrazi i pójdzie sobie do innej firmy bo stwierdzi że go źle traktowaliśmy albo stwierdzi że już ma za małe możliwości rozwoju nie opłaca się inwestować w Juniorów No więc jeżeli już ktoś się przebije to zazwyczaj będzie bardziej inwestował w to żeby się nauczyć kodowania niż nauczyć się jak to robić Naprawdę dobrze i bezpiecznie dobra może dobrze to jest jeszcze przesada bo są różne wiadomo zasady kodowania nie wiem dr Solid principle of tak mamy różne zasady których się uczymy tego kodowania Ależ ktoś włoży w to energię to Security też
wejdzie tempo zmian też nie ułatwia zdobywania informacji z innego poletka czasami też bywa tak że jak zgłasza się jakieś rzeczy jako deweloper to też dochodzi do takiego przerzucania piłeczki to już nie jest mindset dewelopera tylko ludzi z którymi współpracujemy mi się zdarzyło zgłaszać pewne rzeczy że może fajnie by było zaopiekować się jakimś bezpieczeństwem tutaj bo jest ryzyko że ktoś dorwie się do bazy danych i wyciągnie jakieś dane coś tam Pops No ale okazało się że ja jestem tylko od pisania kodu i zgłaszanie takich rzeczy to nie to może gdzieś tam w innym życiu w innej firmie ale niekoniecznie tutaj to co jeszcze bywa problemem No to luki w edukacji Tak ja jestem tego świadoma ja zmieniłam
branż branży psychologicznej na programowanie więc jestem świadoma swoich ogromnych luk Jeśli chodzi Nie wiem o to jak wyglądają sieci tak jak wygląda infrastruktura różnych rzeczy nie wiem ja mam o tyle dobrą świadomość że ja tych rzeczy nie wiem jak nie wiem jak Wiem że nie wiem to mogę podpytać natomiast sporo osób nie wiedząc o tej swojej niewiedzy na przykład w obszarze cy Security No nie pójdzie nie podpytać grzebać także to też bywa problemem aczkolwiek no Znam też ludzi którzy skończyli studia techniczne mają dyplomy Inżynierów a i tak wciąż machają na Security bo mą że to jest po prostu niepotrzebne bo po co bo trze zarabiać że też różnie z tym bywa i to jest klimat w którym można by było tylko
wrzucić ten obraz obrazek Mleczki czyli Syzyfowe prace gdzieś tam t kulę toczymy ona spada i tak to się wszystko kręci No dobra to jak to wygląda w przypadku problemów które ja napotkałam czyli jak taki przeciętny szary web developer z tym cyb Security próbuje sobie poradzić albo widzi i płacze jak ma jakąś świadomość tym którzy nie znają o was top ten to powiem tylko że jest to dokument który ma za zadanie wskazać w wyniku konsensusu 10 najbardziej krytycznych podatności które mogą się gdzieś pojawić w przypadku No akurat w tym przypadku web aplikacji czy ogólnie aplikacji szerzej natomiast wypuszcza też rankingi dla bardzo różnych rozwiązań nie wiem dla l i tak dalej także w zależności od tego
czym się zajmujemy w programowaniu to możemy sięgnąć chociażby po takie źródło żeby się dowiedzieć jakie są te najbardziej krytyczne podatności za które firmy zazwyczaj najwięcej płacą Ja sięgnęłam po wersję 2021 Teoretycznie w tym roku powinna być ta najnowsza wersja Poprawcie mnie jeśli się mylę bo tam widziałam że już jakieś są prace żeby wyszła wersja 2024 OKE bo też widziałam gdzieś na internetach 203 z cyklem wydawania wydawania tych dokumentów one zazwyczaj jednak raz na parę lat się pojawiają także także do tego Będziemy się odnosić No i zaczniemy od początku czyli od Broken Access Control i do tej pory Według mojej wiedzy tak bo zawsze dopuszczam że ktoś mógł jednak zhakować te aplikacje nad którymi pracowałam i ja o tym nie wiem
więc to jest zawsze możliwe natomiast wedug mojej spotkałam punktem na liście czyli po pierwsze kwestia przywilejów po drugie kwestia dostępu za pomocą narzędzi które źle są skonfigurowane zapytań tak post del i z kwestią Cor i teraz tak kwestie API i kwestie zostawiam bo to są powiedzmy kwestie marginalne bo ja nie siedzę na bendzie A zazwyczaj jeżeli jestem na froncie to ten kś skonfigurowany natomiast najbardziej palący jest ten pierwszy problem bo to się zaczyna zazwyczaj na każdym projekcie problem z tym żeby użytkownicy w ogóle w jakikolwiek sposób chcieli się zabezpieczać ja nie mówię już o kwestii tego żeby dobrze napisać rozwiązanie żeby było Nie wiem dobrze uwierzytelnione i tak dalej i tak dalej logowanie bo często jest tak że ze
względu na nie wiem presję na projekcie budżet etc jednak są wybierane rozwiązania ogólno na przykład Wordpress No to w tym momencie ciężko jest mówić o tym żeby żeby dużo można było tam zrobić chociaż też są jakieś rozwiązania typu nie wiem dodanie wtyczki żeby dawała tak żeby można było tam klucz na przykład podpiąć do logowania jako drugi drugi element logowania natomiast no też nie znalazłam jeszcze osoby której chciałoby się posiedzieć i poczytać co jest w kodzie tej wtyczki czy przypadkiem dodając dodatkowy składnik do uwierzytelniania nie sprawia ta wtyczka tego że po prostu zaraz Ktoś może nas zaatakować bo po prostu ten kod obejdzie Natomiast jeśli chodzi o użytkowników to Największym problemem jaki mam w swojej pracy to wcale nie
jest to żeby jakoś w miarę bezpiecznie im to wszystko
wciąż mi się takie rzeczy zdarzają wciąż mi zdarza się że klienci wysyłają w jednym mailu login hasło ja mówię Słuchajcie Nie róbcie tego bo to nie jest bezpieczne tak Skąd macie pewność nawet jak gadamy teraz że ja to ja tak w sensie że ktoś mi nie zhakował maila Ja wiem że jestem na projektach powiedzmy nisko mniej skalowalnych niż nie wiem projekt Facebooka czy Twittera Przepraszam mety i exa ale mimo wszystko no pomyślmy o bezpieczeństwie także takie rzeczy się zdarzają tak zdarza się często że klienci proszą wcy użytkownicy mieli admina nie jest to najlepsze rozwiązanie nie muszę wam tego tłumaczyć natomiast wytłumaczenie biznesowi że szef menedżer dział marketingu jeszcze parę osób naprawdę nie wszyscy muszą mieć te
konta administracyjne też bywa sporą sporym utrudnieniem o menedżerze haseł też nie wspomnę są miejsca Kiedy są miejsca projekty na których rzeczywiście korzystają ludzie z menedżerów haseł więc to troszeczkę łatwiej jest jednak zaimplementować te bezpieczniejsze hasła zało przychodzi czi najcie kiedy ja przychodzę jest takie że Mawo miło i przyjemnie mają szybko dostęp do aplikacji A to czy to się wiąże z jakimkolwiek dodatkowym ryzykiem sł jeśli chodzi o kolejny punkt cryptographic fail to tutaj dwa mocne punkty dotyczące kwestii http i kwestii przesyłu plików przez FTP i ja tu sobie mogę troszeczkę a jeszcze Trzecia rzecz md5 ale to już będzie Wisienka na torcie Wisienka na torcie czyli nie wiem kto z was w wordpressie cokolwiek robił w życiu nie robiliście okej Jest parę
osób wiecie ja to tak cicho mówię ale dobra nieważne zdarzyło się wam zmieniać hasła w wordpressie zdarzyło się piękna instrukcja jaki mamy algorytm szyfrowania Ile osób jest mi w stanie powiedzieć że to nie jest dobry algorytm ręka do góry dziękuję nie mamy więcej pytań i ja wordpressem tak hobbystycznie to się zajmowałam już 15 lat temu i nie skłamie jeśli powiem że wtedy też się w ten sposób zmieniało hasła do tej pory się nic nie zmieniło No cóż dobra jeśli chodzi o inne rzeczy zdarza mi się wciąż przepisywać strony które jeszcze nie mają skonfigurowanego certyfikatu le encrypt teraz mi się robi troszeczkę tak wiecie zimno na plecach No bo jak to nie ale tak zdarza mi się ale też zdarza mi
się wiedzieć czemu na przykład nie jest skonfigurowany bo jeżeli ktoś wybiera serwer wiecie klient przychodzi chce mieć zrobioną stronę no to deweloper wybiera jakiś serwer i zdarzyło mi się nieraz że deweloper wybierał serwer który na którym trzeba by było instalować ten certyfikat ręcznie a nie po prostu najprościej w świecie za pomocą auto instalatora odnawia się i Cześć i później deweloper prosił za prosił No sugerował że za zainstalowanie tego certyfikatu weźmie tak 1000 1100 zł 1200 zł w górę jeden certyfikat l encrypt wybieramy inny serwer klikamy dodajemy reguły w HT Access żeby wszystko szło po połączeniu https i mamy z bańki nie także zdarzają się i takie sytuacje ja jeszcze dodaję jak mogę jak jest przestrzeń do tego żeby jeszcze coś
skonfigurować to Cloud Flare i wymuszam żeby szło połączenie przez TLS 1.3 próbuję doprowadzić stronę do takiego stanu żeby można było się postarać o ten certyfikat hsts żeby tam podbili że jest strona na tyle bezpieczna że można po tym łączeniu iść natomiast też są takie kwiatki że na przykład jak już ktoś ma skonfigurowany ten certyfikat leen krypt No to coś się zmienia na przykład na serwerze w trakcie odnawiania tego certyfikatu i miałam taką sytuację w karierze strona się wywala No to firma idzie do dewelopera deweloperze co się stało no nie wiem grzebiemy patrzymy patrzymy patrzę po serwerze po logach No nic nie sugeruje żeby coś się wydarzyło ostatecznie okazało się że coś było źle podpięte z certyfikatem i po prostu
odnawiający się certyfikat się odpowiednio nie zaimplementować niebezpieczną wszystko się wysypało Dziękuję do widzenia także I takie są sy natomiast i tak w sytuacji certyfikatu czy jakiegokolwiek szyfrowania po tej stronie jest dobrze bocy wiedzą że Google lubi strony które mają ten https wię sami sey chcą żeby to było
zaimplementowane teoretycznie Okej ale później jak są problemy to jest do mnie Dzięki ci za to słowo bo No natomiast znaczy ja i tak Biorę to na swoją klatę czasem bo ja wiem że jak ja tego nie zrobię to albo mi klient pójdzie z niebezpieczną stroną albo mi klient pójdzie i zainstaluje wtyczkę a w wordpressie jest taka jedna fajna wtyczka gniotsa nie łamiotsa do wszystkiego i nie dość że załatwi fajnie https i wszystko będzie szło po po po ruchu szyfrowanym to jeszcze Doda całą masę zbędnego kodu i dostanę telefon od klienta który mnie zapyta ale czemu Taa chodzi wolno Drogi kliencie zainstalowałeś wtyczkę która sprawia że ta strona ma prawo chodzić wolno ale jest popularna więc ludzie też to
robią lecimy dalej strzyk sanityzacja WS implementują inne nie więc to jest kwestia jakiś tam powiedzmy znajomości frameworka nie wiem rozwiązania w którym się poruszamy i świadomości tego co można zrobić żeby zabezpieczyć się przed
wstrzyknięcie ma być zrobione na szybko czyli nie mamy czasu żeby w ogóle sprawdzić czy dana biblioteka na przykład nie dostała nie wiem 5 milionów gwiazdek bo ktoś kupił gwiazdki z Indii więc My korzystamy z tej biblioteki No ma 5 milionów gwiazdek nie to chyba jest bezpieczna później się okazuje że jednak nie jest aż tak bezpieczna i gdzieś tam coś się wysypuje też zdarza się że korzystamy z czegoś bo korzystają wszyscy tak bo ktoś powiedział fajna biblioteka to warto zaciągnąć do tej pracy do tego featu no to ją implementują później się okazuje że wszyscy kończymy gdzieś tam ze zgniłym jajem natomiast moje doświadczenie pokazuje też że jeżeli ch zrobić dobrze sanityzacji to do tego jest potrzebny
czas i nic więcej biznes zazwyczaj zazwyczaj nie ma czasu w mojej historii także bywa też z tą sanityzacji że też jak ja siedzę na frontendzie to mam świadomość tego że to że ja zrobię jakąś sanityzacji na poziomie javascriptu tak to jeszcze trzeba coś zrobić z drugiej strony tak na wejściu i na wyjściu nie zawsze backendowy mają czas żeby pomóc w tej robocie No i zaczyna się znowu sytuacja pod tytułem ja coś niby zrobiłam ale to wcale nie jest pełne zabezpieczenie to nie daje wciąż 100% znaczy 100% no większy większej ilości procent gwarancji że ten kod rzeczywiście będzie bezpieczne bo to że ja wyrzucę użytkownikowi że wrzuca coś co nie powinien wrzucić No świetnie da się obejść coś
takiego Dziękuję koniec także też pamięć fey które też czasami wymagają zaangażowania kogoś kto ma większą wiedzę zrzuca się na juniora Niech się bawi Tak no i ta współpraca frontow i bow to już o tym mówiłam jeśli chodzi o insecure Design mam obserwacje z jednego projektu na którym rzeczywiście już był było więcej tej roboty na zasadzie takiej roboty i większy projekt i większy zespół że Aplikacja została napisana na kolanie żeby przynosiła zysk Okej jestem w stanie to rozumieć na pewnym etapie Biznesu nie że no nie tworzy się czegoś co by nie dało zarobić natomiast dalej jak już gdzieś ten biznes się rozwija No to nagle się okazuje że poza tym że jest kwestia tego że się zaciąga dług
technologiczny Co też nie sprzyja bezpieczeństwu No to jest brak współpracy nie Czyli ktoś zgłasza problemy ale nie tak działa jest na ślinę tak ma zostać Często jest też brak wiedzy o Security I znowu nawet w takich większych projektach z widzieć na przykład te hasła Adaś 2 3 4 i wszystko jest okej jak mówię słuchaj ale to nie do końca może dobre hasło Nie nie nie bo to kto wie tutaj robimy w ramach zespołu Nie przejmuj się nie jakby gdzieś to hasło wyciekło to by poleciała cała infrastruktura ale cóż i też spotykam sporą niechęć do implementacji Security I to ja to rozumiem z psychologii tak Dopóki czegoś nie doświadczymy że to jest gdzieś namacalne realne dotknie nas tak czy już
dotknęło to ciężko jest czasami się przekonać najzwyczajniej w świecie że jakiś haker może wymyśleć i wejść sobie na naszą infrastrukturę argumentacja jest taka no bo nie jesteśmy właśnie drugim Facebookiem No świetnie ale to że nie jesteście drugim Facebookiem to znaczy że waszej strony nie da się wykorzystać do zaatakowania drugiego Facebooka bo to że ktoś bezpośrednio nie wiem nie Wykradnie waszych danych to wcale nie znaczy że z waszej infrastruktury nie pójdzie jakiś atak No i co wtedy natomiast też przy rozwijaniu systemu Widzę że nawet jeżeli są jakieś konieczne zmiany w architekturze które by pomogły Security lepiej implementować czy No trzeba właśnie popracować nad tym długiem technologicznym żeby go jakoś zredukować to też często się kończy tym
tak zwanym łem systemu na śliny Czyli co z tego że fajnie by było pewne rzeczy zrobić skoro znowu brakuje czasu brakuje pieniędzy brakuje chęci i temo pewne rzeczy się trochę zmieniają to znaczy ja widzę że firmy są coraz bardziej skłonne inwestować w SEO i w konkretnie w techniczne SEO czyli poprawiają stan strony na tyle żeby się tam szybciej ładowała żeby Google ją bardziej lubił więc jest szansa że przy tej okazji jakieś rzeczy Security też pójdą No bo Google jednak lubi bezpieczne strony wszystko naw nie skoro teraz firn też Security to znacie temat rekonesansu i enumeracji przynajmniej część z was z waszej pracy bądź z tak zwanego słyszenia Ja też trochę się szkolę jeśli chodzi o analizę podatności znajdywanie
ich właśnie w kluczu OW top ten i tak so jak hakowa ten słynny SH to Uświadomiłam sobie wtedy że z punktu widzenia dewelopera informacji o aplikacji bo zazwyczaj nawet jeżeli nie wiem działacie na wordpressie to już pół biednie ale jak piszecie cokolwiek nawet w recie czy VI Powiedzmy że są pewne rzeczy które ciężko jest usunąć a które jednak podpowiedzą komuś z czym ma do czynienia Tak więc jest to znowu kwestia też czasu budżetu A poza tym i to jest najsmutniejsza chyba rzecz deweloper często nie ma wpływu na to co się dzieje po stronie serwera w sensie dowiec tak a serwer też może dużo zdradzić i serwer też może mieć sporo podatności które później sprawią że no
haker wejdzie tak nie powiem już ile razy pisałam do dostawców serwera z różnymi kwestiami i się okazywało że tego nie można zmienić tamtego nie można zmienić siam tgo nie można zmienić bo oni się tym nie zajmują bo oni skonfigurować nie ale później się okazuje że firma nie ma budżetu żeby przeskoczyć na do lepszego dostawcy który by powiedział okej róbcie tak Róbcie co chcecie to jest wasz serwer tak my wam pomożemy jak coś trzeba skonfigurować to wam gdzieś tam podpowiemy No więc trzeba rzeźbić w tym co jest a czasami bywa różnie też jest tak że jak wchodzi się na jakiś projekt Nie na zasadzie zatrudnia się na UOP i zajmujecie się aplikacją przez cały tydzień dopóki was nie zwolnią albo
wy nie odejdzie Tylko na zasadzie kontraktu Wchodzicie na TR miesiące robicie robotę i chodzicie to też często jest Trudno w takiej sytuacji zorientować się w ogóle co jest w aplikacji i co Za co odpowiada Tym bardziej że różnie też bywa z wdrożeniami bywa tak że ja jestem po prostu zostawiona z kodem na zasadzie radź sobie nie czyli moim pierwszym zadaniem jest w ogóle doprowadzić do tego żeby projekt zakończyć zakodować co ma być zakodowane i wypuszczone więc ten bas Faktor o którym pewnie wiecie zostaje tak zwanym zlepek Faktor czyli Widzicie zlepki nie macie widoku z lotu ptaka czym się ona zajmuje i też jest łatwiej Coś w Security popsuć albo czegoś nie dodać Co można by było dodać o dokumentacji
zapomnijcie o dobrym przechowywaniu sekretów zapomnijcie różnie też z tym bywa dobra dalej Security configuration tak dobrze o hasłach które są domyślnie ustawi nie zmieniane to już wam będę sama nie chce się już aż tak frustrować Jeśli chodzi o Security headers to też czasami jest to kwestia tego żeby mieć gdzieś tam możliwość skonfigurowania pewnych rzeczy nie tylko w kodzie ale też na serwerze więc różnie bywa Natomiast pozostałe tematy z którymi ja się spotkałam to właśnie kwestia dodatkowych miejsc dodatkowych jakichś takich punktów zaczepienia przez które można shakować aplikacje i kwestia też które nie są dobrze ustawione No i teraz tak jak weźmiecie sobie uczestnika uży szkodnika jakiegoś kogoś Kto zleca napisanie aplikacji No to zazwyczaj takie osoby
bardzo często chcą mieć jakieś wodotryski na stronie nie ma się fajnie kręcić ma być jakiś fajny slajk ma być cała masa różnych ciekawych rzeczy które przykują wzrok tylko że zazwyczaj jak się patrzy po kodzie bibliotek to się nagle okazuje że ktoś wykorzystuje 3 tej biblioteki i można to napisać zajmie to 3 godziny może więcej natomiast można to napisać customową pod daną stronę nie zawsze ludzie się na to decydują co za tym idzie No Problem jest taki że jak ktoś coś zrobi z tą biblioteką nie wiem przejmie ją i Doda jakiś złośliwy kod w aktualizacji albo coś po drodze się coś wydarzy Nie jest dobrze skonfigurowany to ten parametr który się dodaje po bibliotece żeby sprawdzała
bieke biblioteką którą chcemy zaciągnąć i n się okazuje że można łatwo gdzieś tam się do tej aplikacji dostać bo takie drobiazgi są nie skonfigurowane No ale klient jest zadowolony bo są wodotryski więc to jest najważniejsze dalej klienci Z mojego doświadczenia nie wszyscy natomiast zdarzają się tacy którzy bardzo lubią dodawać całą masę pluginów bo tokon cli dwóch deweloperów niezależnie od siebie nie nazwie tak samo jakichś ważnych funkcji i strona się nie wysypie No to proceder może sobie trwać natomiast to też sprawia że rośnie powierzchnia ataku jak sobie posprawdzać Ile jest podatności tygodniowo we wtyczkach wordpressy to zobaczycie że ta lista coraz bardziej się robi Długa tak nie dlatego że te wtyczki są nie wiadomo jak złe chociaż bywają i takie natomiast
głównie dlatego że rośnie świadomość bezpieczeństwa coraz więcej osób testuje te wtyczki co też wpływa na to że gdzieś to zagrożenie rośnie A jeśli chodzi o kwestię drugą eror Handling na to już nie ma czasu to znaczy nawet jeżeli się napisze jakąś bezpieczną funkcję tak gdzieś tam ma zwrócić przy kodzie 200 ma zwrócić jakiś tam kawałek aplikacji przy 400 ma zwrócić jakiś błąd Nawet jeżeli to się jakoś tam sensownie napisze to już zazwyczaj nie mazo przestrzeni żeby póść opis żeby jak ktoś będzie sprawdzał sobie robi rekonesans enac aplikacji tak żeby tego błędu nie znalazł nie mówiąc o tym że jeżeli też Znowu ktoś tego juniora nie nauczy to Junior będzie robił tak żeby działało a nie tak żeby działało
bezpiecznie jeśli chodzi o podatne przz
im stronę i oni będą sobie mogli na niej śmigać na szczęście sporo z osób z którymi ja współpracuję już zauważa kwestię tego że Aktualizacje są ważne i zdarza mi się na przykład pisać takie czyste strony HTML CSS JavaScript koniec bo nie jest potrzebny żadny CMS Dlaczego No bo jak CMS to trzeba aktualizować Tak więc zazwyczaj tutaj jest problem tak braku czasu braku wiedzy u klienta że to trzeba robić i że za to no jednak trzeba zapłacić bo ktoś to fajnie nadzorow jeszcze jeśli chodzi o kwestie znowu się odniosę do wordpressa wtyczek to jest fajnie Ale weźmy pod uwagę że na przykład zmienia się PH który jest zazwyczaj na serwerach gdzie ten Wordpress stoi i wcale nie jest dla mnie
obcą sytuacją że ja w tym roku wciąż zdarza mi się ogarniać strony które mają pH wersja 74 wersja która powina być to jest przynajmniej będzie i tak będzie źle 82 okej 83 by było idealnie czyli ileś wersji ileś już rzeczy już ileś podatności się pojawia po drodze tylko i wyłącznie dlatego że ta strona nie jest aktualizowana Klient nie zawsze musi o tym wiedzieć on nie siedzi w tym temacie nie natomiast też jak tego nie rozumie no to też jest mniej skłonny Żeby cokolwiek z tym robić poza tym Generalnie wszystkie technologie się zmieniają więc to też nie jest tak że napiszemy jakąś aplikację czy stronę która sprawi że nie wiem trzyma 10 lat aczkolwiek znowu wciąż widzę strony które mają jeszcze
Adobe Flash Playera i mają znaczek Proszę ściągnąć ten dodatek bo strona nie będzie działała poprawnie więc też się zdarzają takie CASY natomiast no mimo wszystko to wszystko się zmienia tak dynamicznie ja zrobiłam sobie Pet Project rok temu napisany w reactie od zera po roku już nawet nie mogłam go odpalić w lokalnym repozytorium bo już się tak różne rzeczy pozmieniały że nie można było tego po prostu uruchomić koniec kropka To była jedna z większych powiedzmy lekcji jeśli chodzi o recta w moim życiu programers skim programistycznym bo wiedziałam że się różne rzeczy zmieniają ale nie wiedziałam że aż tak nie a gdzieś za tym stoi też kwestia bezpieczeństwa i tu też jeszcze wchodzi temat gotowych rozwiązań No bo Bierzemy
sobie jakiegoś jakiś CMS Wordpress jumla Co tam sobie weźmiecie nie drupal ale też framework jakikolwiek z jakimiś dodanymi bibliotekami No i teraz pytanie brzmi k ć ich bezpieczeństwo to znaczy jak deweloper nie będzie aktualizował swojej wiedzy żeby wiedzieć Nie wiem dodać jakieś git Guardian tak czy zaglądać na snka Tak przepraszam nie gardian tylko ten dependabot tak dodać do jakieś repozytorium Czy dołączyć jakieś repozytorium do snka to on nie zauważy różnych rzeczy tak nie będzie w stanie zobaczyć pewnych rzeczy post faktum ale tu jeszcze jesteśmy krok wcześniej tak Czyli żeby w ogóle wiedzieć że pewne rzeczy Mogą być złośliwe Chociaż złośliwy najprostsza sprawa skopiować ze strony npm komendę którą się instaluje paczkę Zamiast wpisywać z pamięci bo możemy
zapomnieć że jest średnik zamiast podkreślenia i sobie ściągniemy złośliwy kod także gotowe rozwiązania też mają tutaj sporo że tak powiem za uszami natomiast no znowu to jest kwestia budowania świadomości nie każdy deweloper taką świadomość że to wsst trzeba to mocno śledzić o tym było o tym było Także jeżeli oglądają nas deweloperzy to są dwa bardzo fajne rozwiązania które choć trochę pomagają trzymać rękę na pulsie wiadomo że nie zawsze się wszystkie rzeczy ogarn bo przecież są podatności na które jeszcze nie nie ma Łatek tak albo w ogóle gdzieś są jakieś biblioteki których już nikt nie ma zamiaru aktualizować no Ale znowu jak mamy Postal te rzeczy I jesteśmy w stanie monitorować to znowu jesteśmy w stanie
jakoś zareagować i nie wiem powiedzieć Słuchajcie No to już jest zdecydowanie po terminie przydatności biblioteka czas ją zmienić na coś innego bo wam się coś wysypie koniec kropka Jeśli chodzi o kolejny punkt z listy to tutaj takie kwestie gdzieś pojawiły się na mojej drodze słabe hasła ale to już zostawię kwestie odzyskiwania haseł które są słabe albo nie działają znowu Wordpress mój ukochany powiedzmy nie zawsze działa odzyskiwanie haseł i czasami trzeba się debugować żeby zaczęło działać z powrotem ale to już inna sprawa Natomiast w tym temacie najwięcej mogę powiedzieć o tak zwanych scpt Kid bo podejrzewam że to scpt k mi próbują wjechać na strony Wordpress ma coś takiego że bardzo łatwo jest wyłuskać
loginy próbuje się ukryć to jednak to jest stosunkowo proste No więc jak ktoś ma login to teraz może spróbować zbut forsować hasło tak w sensie dobrać się jakoś do hasła No ale dobra to jak chc się dobrać do hasła to zazwyczaj z jakiegoś adresu IP próbuje te zapytania wysłać to ktoś wpadł na pomysł żeby zrobić wtyczki żeby po trzech błędnych logowaniach z danego adresu IP blokować adres IP Script Kid też byli w stanie to obejść jak w prosty sposób ktoś napisał skrypt gdzieś krąży albo ileś osób no nieważne w każdym razie pojawił się gdzieś w sieci skrypt który robi tak wysyła trzy zapytania z danego adresu IP jak jest blokowany przerzuca się na nowy adres IP
wysyła trzy zapytania z danego adresu i znowu zablokowany leci dalej ja się o tym dowiedziałam przypadkiem tylko i wyłącznie dlatego że ta pula adresów IP jest ogranic pew momencie zaczynają powtarzać apac wzó strony mówi tak O dobra ten ipik już był wyślemy powiadomienie bo tak to bym nie wiedziała że cokolwiek się dzieje Może jakiś ruch na serwerze No dobra nie ale to bez bez jakiś Bez jakich dużych dużych reperkusji jeśli chodzi o jakieś jeszcze dodatkowe rozwiązania które sprawiają że tutaj jest problem w tym obszarze są takie pluginy które na przykład podtrzymują sesję logowania się na wordpressie czyli to ciasteczko gdzieś tam siedzi dłużej niż Tey powinno jak siedzi dłużej ciasteczko no to też jest jakaś tam możliwość żeby je wykraść
i coś nim zrobić także są różne rozwiązania które nie zawsze pomagają i tutaj trochę być może to jest kwestia tego że ja jeszcze nie weszłam na ten poziom Security żeby dobrze skonfigurować Cloud Flare pod kątem tego typu ataków natomiast on się dobrze sprawdza w przypadku jakimś tam didos i też się chwalą że tutaj się sprawdzają Natomiast jeżeli dochodzi do brut fora bą credential stuffing to już wszystko Spokojnie pod pewnie jakaś dodatkowa konfiguracja Jak wiecie to chętnie się was pod pytam natomiast powiem tak najpierw byli jak to było Holendrzy których Szkoci wygonili od siebie za skąpstwo a później są Niektórzy klienci biznesowi bądź indywidualni którzy zostali wygoni z Holandii tak to Skomentuj też zwo No więc czasami a propos tych scrip Kill
Tak wygląda moja skrzynka odbiorcza idą ipi przy czym ciężko jest to zablokować tej ipik bo chyba bym musiała robić nic nie robić innego tylko siedzieć i blokować kolejne numery po prostu gdzieś tam w
Cloud adres generalnie jeśli mamy taką wtyczkę co nam blokuje dost do strony kś TR razy zowa cą stronę cetan [Muzyka]
dokładnie ale tak czy siak dokładnie nie wiadomo czy ktoś przypadkiem kto by chętnie wszedł na T stronę się nie załapie akurat w środku ataku i nie wykorzysta tego jedna metoda przy głupia strasznie dokładasz nazwy autora jakś cokolwiek wszyscy biorą nazwę użytkowników z tego po Przenieś i w momencie jak widzisz to to od razu jakś tam czy wycinasz to tak taka głupa metoda która DOS skuteczna Ja znalazłam jeszcze jedną głupa metodę to znaczy wystarczy dodać jakiś znak który się inaczej zapisuje w bazie niż jest widoczny więc też zdarza mi się takie rzeczy robić jak jak działa To nie jest głupie od razu do całej strony czy tyko do logowania logowan ale znowu tu już mówimy o rozwiązaniach które są krok
dalej to znaczy po pierwsze trzeba mieć świadomość że coś takiego się dzieje mieć czas i pieniądze jak tego nie ma to nawet jakbyś miał najlepszy pomysł zostanie ubity na starcie niestety więc to jest znowu wracamy kwadratura koła tak już Dowieźli ten kamień prawie na koniec i spada dobra Powoli kończąc gdzieś powiedzmy najbardziej na myśl przychodzi potok ccd w którym gdzieś działamy od samego początku do samego końca troszeczkę może poszerzam te kategorie ale też czasami po prostu już pewne rzeczy mi się kojarzą z jakimś tematem więc stwierdziłam że wrzucę je razem więc to jest nie tylko kwestia tam zabezpieczenia własnego komputera kwestia korzystania z jakichś paczek które są bezpieczne bo przecież do webpacka czy do jakiegoś innego
narzędzia tego typu też można wprowadzić jakiś złośliwy kod ostatnio obserwowałam atak w którym domenę na przykład ktoś próbował przechwycić nie wiem czy się udało bo już przestałam go obserwować No ale też to są tego typu rzeczy kwestia serwera kwestia githuba Szczególnie jak się robi rozwiązania które później mają zaciągnąć już ten kod zaimplementowany na githubie i zbd aplikacje to też bywa różnie z bezpieczeństwem kwestia dostępu do kąt powiązanych z tym całym Potokiem ccd czy rzeczywiście są dobre hasła czy jest dwuskładnikowe uwierzytelnianie i tak dalej kwestia cdn okej tutaj można wrzucić dużo rzeczy natomiast na tym etapie też jak widzieliście te pierwsze roadmapy deweloperskie to do pewnego etapu sporo z tych rzeczy w ogóle nie jest poruszanych powiedzmy w edukacji
web dewelopera czy frontend dewelopera czy jakiegokolwiek dewelopera dopiero jak się zaczyna pracować na w projekcie na większą skalę i pojawiają się jakieś powiedzmy protokoły które mają doprowadzić do tego że aplikacja będzie bezpieczna no to wtedy pewne rzeczy się pojawiają tak A czasami jest tak że dostępu do narzędzi które trzeba by było dobrze skonfigurować żeby dane problemy z bezpieczeństwem rozwiązać i znowu się sytuacja rozjeżdża jedna rzeczy którą warto robić i to każdy deweloper i nie deweloper jeśli ma tego typu narzędzie jak Visual Studio Code powinien robić to okresowe czyszczenie tych pluginów z których nie korzysta Ja już nie mówię o sprawdzaniu czy te pluginy są dobre Czy niedobre bo fajnie zobaczyć na wstępie tak czy na pewno to jest dob sprawdzony
plugin Jeżeli nawet będzie to dobry plugin ale nie korzystamy z niego to po co ma wisieć Także ja jak tylko się o tym dowiedziałam to zrobiłam solidne czyszczenie i przynajmniej pięć wtyczek tam z kilkunastu wyleciało więc warto też o tym pamiętać Tym bardziej że też co z tego że wtyczka ma ileś tam pobrań skoro wciąż mogą być to pobrania wygenerowane w taki sposób żebyśmy zdobyli zaufanie do danej wtyczki Także jak coś nie jest potrzebne to Nie należy tego trzymać jeśli chodzi o monitorowanie różnych rzeczy i kwestie kwestie logów No to powiedzmy Tak to jest jakiś tam nowy Skill to znaczy jak człowiek programuje to zazwyczaj nie zagląda do logów No chyba że patrzy po konsoli tak i patrzy co tam
w tej konsoli się znalazło I co sygnalizuje że jakiś problem może być więc to jest kwestia jakiejś sztuki czytania logów ale też znalezienia narzędzia jak robiłam taką bardzo z grubną analizę logów bo się okazało że ktoś próbował się właśnie na stronę włamać to się nagle okazało że PZ i nie za bardzo gdzie mam te kilkadziesiąt tysięcy linijek w jakiś sensowny sposób przeanalizować znaczy znalazłam jakieś narzędzie i tam zrobiłam te analizę natomiast mimo wszystko jest to jakiś dodatkowy krok który trzeba wykonać który też może utrudnić po prostu zajęcie się poważne tematem nie mówiąc już o tym że są tacy ludzie dla których jest jeżeli mają świadomość tego co robią jest oddzielne miejsce w krę po włamaniu stwierdzają Dobra to my
usuwamy t kopię w której były ślady włamania cofamy się do ostatniej działającej nadpisuje wszystko robimy tam nie wiem aktualizację komponentów które potencjalnie mogły być problematyczne i na tym kończymy obsługę incydentu nie ma ani logów albo gdzieś są zaszyte albo już w ogóle są zniszczone bo retencja 30 dni w jakim miejscu serze nadpisuje więc nie wiemy co tak naprawdę się wydarzyło Nawet nie wiemy czy hakujący wciąż nie jest w naszej infrastrukturze bo po co Okej rozumiem że jest to kwestia czasu kwestia niewiedzy natomiast no nie po to są też Cyber bezpieczn żeby do was nie pukać w takich sytuacjach tak w sensie także taką sytuację miałam że nie maad śladów w gruncie rzeczy nie ma na czym analizować co się stało i
wracamy zow też do kwesti serwera że serwera to w ogóle nie tykać dostawca będzie szczęśliwy jak tam nie będziecie próbowali nic sprawdzać więc też wam odpada sprawdzanie co tam się mogło wydarzyć to jest podatność z którą miałam najmniej chyba do czynienia natomiast jest też tak że potencjalny powiedzmy wektor ataku macie dział marketingu macie svg na stronę dział marketingu nawiązuje różne współprace różni ludzie wysyłają im różne rzeczy zazwyczaj starają się trzymać tego pliku svg bo on jest fajny dla SEO Co może być w pliku svg Myślę że już wiecie sami marketing tego nie sprawdzi deweloper wrzuci na stronę coś już z tym można zrobić nie także tak to wygląda mniej więcej w mojej sytuacji natomiast mówię No jest
taka gwiazdka że to jest sytuacja człowieka który robi rozpoznanie bojem nie zaczął swojej kariery w IT Od wielkiej korporacji w której dostałby wszystko na tacy albo i nie bo różnie też bywa no i próbuję jakoś t ścieżkę wykuć własną próbując pisać jednak trochę bezpieczniejszy kod niż inni przynajmniej potencjalnie No więc jak żyć Generalnie w życiu jest tak że zazwyczaj Uczymy się tego co jest potrzebne na projekcie bo frameworków bibliotek jest tyle każdego tygodnia powstaje nowy JavaScript nowy framework którego można się nauczyć albo i nie więc Uczymy się tylko tego co trzeba zazwyczaj i zazwyczaj jest taki stos że najpierw jest kwestia technologii Pust nie jest kwestia SEO No bo trzeba bo marketing musi być zadowolony i prezes też później
jest potencjalnie kwestia dostępności ale chyba tylko i wyłącznie dlatego że w przyszłym roku mają wejść regulacje które mają sprawić że strony mają mieć więcej że tak powiem tych wszystkich znaczników w kodzie które mogą ułatwić osobom z niepełnosprawnościami z jakimiś trudnościami z widzeniem i tak dalej odwiedzanie takich stron więc chyba tylko i wyłącznie dlatego bo tak to mogę na mogę wyliczać różne przypadki jak mówiłam że kontrast jest za mały A klient mówi ale mi się podoba ten kolorek To zostawmy albo mówię że font 12 jest trochę za mały jak ktoś będzie miał problemy z widzeniem a ja mam świetne narzędzia testerskie czyli okulary i problemy ze wzrokiem No to raczej będzie mu trudno zobaczyć a odpowiedź brzmi no cóż ale naszymi
klientami nie są osoby które noszą okulary i na tym się kończy temat dostępności da się No więc jak już dojdziemy do dostępności to jest dobrze więc Security jest jeszcze dalej zazwyczaj więc Punkt startowy Moim zdaniem skromnym Po pierwsze to przestać się obrzucać odpowiedzialnością bo jak ktoś na przykład zgłosi nie wiem z działu cybers secu Czy ktoś życzliwy że jest jakiś błąd to A po co żeś się tam pchała po co Jap dobry kod napisałam dobry kod nie a z drugiej strony C kurak myśli sobie no tak no kurde kolejny def debil nie Fajnie by było zatrzymać się i powiedzieć sobie Okej co było to było teraz zyskujemy nową świadomość bo ktoś znalazł jakiś błąd i ja mam narzędzia
żeby to poprawić więc jak się tu spotkamy i pójdziemy dalej no to wszyscy na tym zyskają Tak więc jest kwestia tworzenia jakiejś przestrzeni spotkań też fajnie by było gdyby nauka cyb Security była jednak wcześniej w rozwoju Więc jeżeli macie w swoim otoczeniu Dew to uczul bo Uwierzcie mi gdyby nie to że ja się po prostu interesuję bo lubię to pewnie bym natrafiła na kwestię Cyber Security Nie wiem za TR lata za 5 lat jakbym poszła już do większej firmy i nagle by się okazało że to bezpieczeństwo jednak jest ważne bo jest Team który pisze kod ale jest też Team który testuje i jest Team który się zajmuje Cyber Security I wtedy bym może się dowiedziała tak w sensie
żeby wiecie Mieć motywację żeby się uczyć to jest słabe i tak nie powinno być rozwiązania No to wiadomo edukacja własna edukacja żnik użytkowników edukacja biznesu i może czasami trochę mniejsze tempo pracy i nie nastawienie aż takie drapieżne na zysk Ja wiem że się teraz poruszam w sferze pięknych perspektyw wiecie jednorożców tak i innych zwierzątek poruszających się po tęczy A może jednak gdzieś jest to możliwe żeby trochę zwolnić tempo pracy i robić pewne rzeczy mądrzej natomiast to jest też zmienić swoje przekonanie na temat tego jak wspaniałym deweloperem się jest nie jest wcale takie łatwe czy jak wspaniałe się tworzy rozwiązania Każdy z nas ma takie przekonanie każdy z was ja wy jak jesteśmy na tej sali Każdy ma jakieś
takie twarde przekonania które trudno by było zmienić je się zmienia krok po kroku a nie na zasadzie zderzenia z rzeczywistością żeby rzeczywiście był długotrwały efekt to jest kwestia zmiany krok po kroku więc to natomiast to do czego ja mogę was zachęcić to żebyście pojawiali się na Meetup Gdzie są Programiści i ja wiem może być to dziwne ale czemu dlatego że jeżeli ktoś przyjdzie na taki Meetup i trochę po opowiada o tym jak to wygląda w kodzie to może być trochę łatwiej to wtedy będzie rosła świadomość nie nie u każdego wiadomo ale to jest coś do czego ja mogę was zachęcić bo ja was Chętnie Na jakich meach też posłucham w sensie tych programistycznych czy konferencjach
nie jest tak że nie ma niczego na rynku No bo Warszawskie Dni Informatyki chociażby mają całą masę ścieżek i też mają ścieżkę Security natomiast jak ja tam patrzę po tej ścieżce to też widzę że jakbym ja była programistą z tym doświadczeniem które miałam powiedzmy 2 lata temu to mi by było ciężko w ogóle zrozumieć o czym mówią ludzie na tych ścieżkach bo już są kwestie bardzo specjalistyczne i takiego wchodzenia narzędzia jakieś nasłuchiwanie w infrastrukturze i tak dalej Okej to jest super Natomiast coś też może być pomocne jeśli chodzi o spokojny start na juniora Uwaga ja nie dostaję pieniędzy za że tak powiem polecanie natomiast właśnie powinnam dodać Not The Hidden Wiki to ja to poprawię bo jest Not The Hidden
projekt na którym można tam różne rzeczy sobie podczytać i podpytać natomiast jak ktoś chce się zajmować programowaniem i zrozumieć co robi To ja polecam kursy od od Andrzeja dea i kurs bezpieczny programista też na ostatn był taki gość and r który miał prezentację o pisaniu bezpiecznego javascriptu i wrzucił taką stronę h.com to jest wiedza naprawdę podstawowa tam ale już może troszeczkę otworzyć oczy różnym osobom związanym z web Development co jest istotne o języku angielskim w przypadku Juniorów mówić Będę dł z jednej prostej przyczy bo to do tego żeby się uczyć różnych rzeczy nie tylko w cyberbezpieczeństwie a jeżeli ktoś jest na poziomie midów lub seniorów ja słyszałam taką tezę że cyberbezpieczeństwem to Zasadniczo to już powinien się raczej zajmować ktoś
kto jest na poziomie Tech lia ktoś kto się zajmuje architekturą organizacji ktoś wyżej nie te cztery narzędzia to jest baza żeby pisać kod na tym poziomie dobrze by było je znać Ja nie mówię z wszystkimi się zaprzyjaźnić tak ale jak już zacznie się nie wiem od owasp Top Ten to już później będzie łatwiej przesiąść się na inne poczytać doczytać zobaczyć jakie mogą być potencjalne zagrożenia a od tego już krok od bezpieczniejszych aplikacji jest krótki Bardzo wam dziękuję za uwagę Macie tu link do prezentacji jak ktoś się nie boi to jest QR cod do prezentacji jakbyście mnie chcieli znaleźć to jestem na linkedinie A jakby ktoś chciał dorzucić grosza na moje leczenie po leczeniu onkologicznym to
jest też link Także jakby co w wolności jak macie zbędne otoczaki to się polecam bardzo dziękuję jeszcze raz przepraszam za [Aplauz] spóźnienie tyle dobrego
[Muzyka]
bardzo dużo byków było było spoko muszę od ciebie odebrać tą pastylkę już ci oddaję Cieszę się że mówisz że było spoko bo ja pierwszy raz mówiłam o bezpieczeństwie więc jakby była w toa to wiesz jak chcesz jakąś radę nie zasłania cę prezentacji ten butelką Dobra ja chciałam powiedzieć że nie siedzę ale że
najlepsza okej tutaj mogę się tak możesz się ten tam masz tut był prąd dostęp do kabli teraz bo jeszcze będę podłączać sobie ten lepiej m tak lepiej mieć bo też laptop chodzi szybciej
ładowarką Generalnie to jest mikrofon ta część jest jakby na zewnątrz koszulki to dzięki temu się trzyma i to jest magnetyczne Okej czyli to w środku muszę sobie jakoś tak OK Po prostu stawiasz pod koszulkę nie I to się przyczepi okej przyczepiło się okej dobra dobra i jeszcze zaraz czy tutaj z tym rzutnikiem Czy ja coś muszę wszystko pójść zaraz tylko że ja
[Muzyka] mam Zobaczymy czy mi chyba tak Powinno przyjść przeszło myśli OKE jesteś już jestem dobra pokaz
slajdów Dobra zaraz muszę włączyć pilot muszę sobie włączyć [Muzyka]
[Muzyka] ale dobra No nie bo ja wzięłam chyba nie tego pilota Dobra to nie ten pilot w ten co trzeba to jest nie ten co trzeba pilot dobra działała bo ja sobie Pożyczyłam stąd OK możesz już możesz już iść raczej jestem taka statyczna bo ten mikrofon jeszcze On jeszcze nie działa czy czy już n daje OKE bo martwię się że może będę za cicho mówić będzie OKE ja to tam poprawi tak woda woda
ro możemy zaczynać możemy zaczynać OK
dobrze wszyscy doskonale zdajemy sobie sprawę jak ogromne zagrożenie stanowią oszustwa w cyberprzestrzeni szereg kampanii podszywających się pod usługi kurierskie pocztowe bankowość elektroniczną sklepy internetow Czy media społeczności pokazu przez cyberprzestępców są skuteczne i wciąż przynoszą oczekiwane rezultaty jako C KNF na bieżąco Śledzimy powstające domeny Dzięki czemu możemy szybko reagować na nowe schematy oszust i ostrzegać o tych schematach najlepiej pokazują to liczby w minionym roku zgłosiliśmy ponad niebezpiecznych domen mojej prezentacji chciałabym trochę opowiedzieć o tym czym jako cesir KNF się zajmujemy Z czym się mierzymy na co dzień jako sektorowy zespół cyberbezpieczeństwa działamy w strukturach urzędu komisji nadzoru finansowego w ramach ustawy o krajowym systemie cyberbezpieczeństwa w ramach naszych działań
podmiotach sektora finansowego a także próbujemy sprawić żeby ten świat był troszkę bezpieczniejszy to o czym chciałabym dzisiaj państwu opowiedzieć to jedno z najpopularniejszych oszustw internecie a mianowicie oszustwa inwestycyjne jakie metody socjotechniczne mogą stosować cyberprzestępcy jak jak mogą prowadzić tą swoją grę psychologiczną żeby okradać kwestie postaram się przybliżyć dzisiaj państwu podczas mojej prezentacji pomimo tego że schemat ten nie jest cenowy No to na przestrzeni kilku ostatnich miesięcy Pojawiają się nowe warianty tego oszustwa przez co osoby padają kilkukrotnie ofiarami tych samych grup przestępczych na samym początku warto w ogóle powiedzieć od cyberprzestępstwo się zaczyna oszuści zamieszczają reklamy fałszywych inwestycji w internecie na pewno część z państwa mogła już się z takimi reklamami kiedykolwiek spotkać oszuści w tego typu
publikowanych reklamach zamieszczają takie hasła szybkie zyski bez ryzyka utraty pieniędzy czy czy zarabiaj z największym bankiem w Polsce na samym początku chciałabym opowiedzieć trochę o o dystrybucji tego typu reklam oszuści najczęściej zamieszczają reklamy fałszywych inwestycji w internecie najczęstszym takim kanałem dystrybucji który obserwujemy to jest portal Facebook to tam właśnie najwięcej tych reklam się pojawia ale jak takie reklamy wyglądają czym one się charakteryzują co Co cyberprzestępcy najczęściej w tego typu reklamach wykorzystują oszuści najczęściej w tego typu tworzonych przez siebie podszywają się pod podmioty z sektora finansowego na zamieszczonym zrzucie ekranu widzimy właśnie przykłady takich reklam których to cyberprzestępcy podszywają się pod Bank PKO gdzie gdzie oferują taki specjalny program inwestycyjny przynoszący ogromne zyski oszuści bardzo cę wykorzystują
wizerunki podmiotów sektora finansowego aby jak najbardziej uwiarygodnić te swoje oszustwa i sprawić żeby ta inwestycja wydawała się prawdziwa cyberprzestępcy bardzo często podszywają się także w tych reklamach pod polityków pod pod znanych sportowców pod aktorów pod influencerów tutaj właśnie widzimy przykłady takich reklam które były publikowane przez cyberprzestępców coś co w ostatnim czasie obserwujemy to także wykorzystanie motywu sztucznej inteligencji w w tego typu reklamach oszuści doskonale zdają sobie sprawę że że ten temat ludzi bardzo bardzo interesuje y dlatego śledzą na bieżąco te te wszystkie pojawiające się trendy tą całą sytuację na świecie no i na podstawie tego potrafią y dostosować y to w tych swoich oszustwach yyy innym często równie wykorzystywanym kanałem dystrybucji reklam fałszywych inwestycji jest
wyszukiwarka Serwis Informacyjny MSN to właśnie tam widzimy właśnie takie takie reklamy które właśnie prowadzą do do takiego artykułu gdzie użytkownik zachęcany jest do tego żeby wprowadził tam swoje dane coś co obserwujemy w ostatnim czasie to także wykorzystanie portalu Twitter do dystrybucji reklam fałszywych inwestycji A wygląda to w taki sposób że cyberprzestępcy przejmują konta użytkowników a następnie wykupują takie reklamy tutaj na na zamieszczonym rzucie ekranu widzimy przykłady takich profili z których to te reklamy były zamieszczane oszuści wykorzystują także wyszukiwarkę Google do dystrybucji reklam fałszywych inwestycji Po wpisaniu frazy związanej z inwestowaniem użytkownikowi na pierwszym miejscu w wynikach wyszukiwania pojawi się taka reklama cyberprzestępcy mogą podszywać się pod Spółki Skarbu Państwa tutaj właśnie przykład podszycia pod Orlen
ale spotykamy również podszywanie się pod inne znane spółki tutaj przykład podszycia pod Baltic pipe cyberprzestępcy wykorzystują także Ogólnopolskie serwisy informacyjne do tego żeby takie reklamy publikować tutaj właśnie przykład wykorzystania portalu Onet a Polega to na tym że takie reklamy fałszywych inwestycji pojawiają się wśród tych prawdziwych artykułów które zamieszczane są na stronie zego co co udało nam się zaobserwować cyberprzestępcy wykorzystują także inne znane serwisy informacyjne tak jak gazeta.pl czy czy Interia w związku z tą dużą liczbą reklam które identyfikujemy jako cesir KNF wypracowaliśmy takie mechanizmy pozwalające na zgłaszanie tych reklam i ich ciągłe identyfikowanie i śledzenie wykorzystując udostępniono przez portal Facebook bibliotekę reklam a także inne zasoby poszczególnych mediów społecznościowych możemy zapobiegać i i na bieżąco
identyfikować te nowe schematy oszustw poza zgłaszaniem tych reklam fałszywych inwestycji wyszukujemy także niebezpieczne domeny które właśnie są do przeprowadzania tych oszustw inwestycyjnych współpracujemy także z różnymi instytucjami organizacjami zarówno na arenie Krajowej jak i międzynarodowej gdzie gdzie właśnie wymieniamy się tymi informacjami i koordynują mające na celu zapobieganie tym oszustwom inwestycyjnym [Muzyka] mówiąc o tym problemie jakie stanowią oszustwa inwestycyjne koniecznym jest Wskazanie na na statystyki w ubiegłym miesiącu udało nam się zgłosić takich reklam 1699 Natomiast jeśli chodzi o o domeny które które zgłosiliśmy to było ich ponad 5500 cyberprzestępcy najczęściej w tworzonych przez siebie reklamach wykorzystywali wizerunek polityków czy czy celebrytów mówiąc o tym zagrożeniu należy także wskazać na na nasz raport roczny który opisuje te wszystkie zagrożenia w obszarze rynku
finansowego w raporcie tym analizujemy te te trendy te problemy z którymi mierzyli się zarówno i ci profesjonalni jak i nieprofesjonalni uczestnicy rynku finansowego to z jakim problemem się mierzymy pokazuje wzrost tych identyfikowanych przez nas domen Fishing nowych z roku na rok ale co ważne w minionym roku zgłosiliśmy takich domen ponad 26000 na do Cert Polska dla porównania na liście ostrzeżeń Cert Polska w minionym roku pojawiło się 79 267 niebezpiecznych domen na zamieszczonym zrzucie ekranu widzimy właśnie liczbę reklam zgłoszonych do zablokowania w 2023 roku przez cesir reklam tych było ponad 7900 i to pokazuje skalę tego problemu z jakim się mierzymy i to że tych reklam pojawia się naprawdę naprawdę bardzo dużo jako cesir KNF prowadzimy szereg
akcji informacyjnych gdzie na bieżąco ostrzegamy użytkowników o tych nowych schematach stosowanych przez cyberprzestępców o tych nowych wariantach jakiś czas temu udało nam się właśnie stworzyć taką infografikę w której to wskazujemy jak można rozpoznać reklamę fałszyw inwestycji uwzględniliśmy przede wszystkim tam informacje o tym że że reklama taka wyświetlana jest z profilu o niskim poziomie zaufania tekst ma na celu zachęcenie do potencjalnej inwestycji Czyli to co już dzisiaj tutaj mówiłam cyberprzestępcy wykorzystują w tych reklamach takie takie hasła jak szybkie zyski bez ryzyka utraty pieniędzy oszuści używają tam również logo zaufanych podmiotów wykorzystują wizerunki znanych osób można znaleźć tam również informacje o wysokich zyskach krótkim czasie w infografice uwzględniliśmy także to że znajduje się informacja tam o ofercie ograniczonej
czasowo coś co spotykamy się z czym spotykamy się w ostatnim cie także wykorzystanie technologii Deep fake przez cyberprzestępców ale na samym początku warto w ogóle powiedzieć Czym jest Deep fake Deep fake to technika oparta na sztucznej inteligencji wykorzystująca metody głębokiego uczenia do tworzenia lub modyfikowania obrazów i i nagrań wideo tak aby wydawały się realistyczne mimo że są fałszywe oszuści wykorzystując właśnie Tech podszywają się pod znanych polityków pod pod sportowców pod influencerów czy czy inne osoby które znane są nam ze świata medialnego No i w ten sposób próbują namawiać nas do do fałszywych inwestycji coś co właśnie udało nam się zaobserwować to to że te filmiki tworzone przez cyberprzestępców wyglądają Coraz to bardziej wiarygodnie dlatego dla takiego
użytkownika coraz trudnie jest rozpoznać czy czy aby na pewno to to jest oszustwo i to pokazuje że ten rozwój tych narzędzi sztucznej inteligencji w znacznym stopniu obniżył ten próg wejścia w świat cyberprzestępczości tutaj właśnie przykład podszycia pod prezesa firmy impost Rafała brzosk obecnie bardzo Właśnie zaangażowanego w ten proces Fil
wyglą potrzebują wsparcia finansowego Dlatego zdecydowaliśmy się podjąć inicjatywę i stworzyć platformę inwestycyjną która podniesie
milionów EUR A co najważniejsze moje doświadczenie i aplikacja jest już aktywna słuchacze z pewnością będą mieli pytania powiedz jak działa ta aplikacja aplikacja działa za pomocą sztucznej inteligencji która może dokonywać do 200 transakcji dziennie z czego 93 będzie przynosić zyski użytkownikom Polecam wszystkim rozpocząć z kwotą 1000 zł i zainwestować w te platformę to najbezpieczniejszy sposób inwestowania w Polsce przetestowałem ją osobiście i po miesiącu użytkowania platformy zarobiłem 3000 zł przy inwestycji 1000 zł Nowum jakie obserwujemy to także wykorzystanie różnych modyfikacji graficznych i artefaktów w tego typu tworzonych filmikach cyberprzestępcy wykorzystywali także wizerunek prezydenta w takich nagraniach można właśnie dostrzec takie dodatkowe szumy C czy kolory no i tutaj przykład właśnie takiego filmiku który był przez oszustów
publikowany projektu jest
kować samochody domy wspierać rodzinę i przyjaciół będziesz miał pewność że nie ty pracujesz dla kogoś za pieniądze ale pieniądze pracują dla ciebie przy minimalnej inwestycji w projekt zaczniesz otrzymywać regularne wypłaty już w pierwszym tygodniu Ponadto projekt Baltic pipe jest tworzony i bezpośrednio regulowany przez rząd kraju więc ryzyko braku płatności jest zerowe liczba miejsc na platformie jest ograniczona więc działać
szybko tak było oszuści wykorzystywali także wizerunek Roberta Lewandowskiego i tutaj właśnie przykłady też tych różnych modyfikacji graficznych cyberprzestępcy też potrafią iść na łatwiznę
przemęczać zaobserwowaliśmy również taki Trend w którym to cyberprzestępcy tworząc takie filmiki wykorzystywali tę samą treść natomiast podmieni tylko twarze ludzi No dobrze użytkownik klika w taką reklamę i co dzieje się dalej Po wejściu w reklamę trafia na niebezpieczną stronę z formularzem rejestrac oszuści będą tam wymagali od ofiary aby wprowadziła Swoje imię nazwisko adres email czy czy numer telefonu w zależności od tego czego ta dana reklama dotyczyła z tym samym motywem użytkownik spotka się na takiej niebezpiecznej stronie jeżeli reklama dotyczyła inwestowania z największym bankiem w Polsce który wykorzystuje wizerunek banku PKOBP No to na takiej niebezpiecznej stronie użytkownik spotka się również z tym samym motywem tutaj przykłady takich stron publikowanych przez cyberprzestępców wykorzystujących wizerunek spółek Skarbu Państwa przykład
też wykorzystania banku PKO BP kolejny przykład podszycie pod pod Orlen pod pod Lotos ale identyfikuj podszycia pod Narodowy Bank Polski pod PKP Intercity coś o czym warto także wspomnieć to to że cyberprzestępcy tworzą również reklamy w których to zachęcają użytkowników do pobrania takiej specjalnej aplikacji przynoszącej ogromne zyski cyberprzestępcy tworzą takie reklamy które skierowane zarówno do użytkowników z urządzeniami Android a także z urządzeniami które posiadają system iOS Po wejściu w taką reklamę użytkownik trafia do do tego oficjalnego sklepu Google Play C czy App Store gdzie właśnie będzie znajdować się ta aplikacja A po jej będzie on zachęcany do tego żeby żeby zostawić tam swoje dane kontaktowe w formularzu No właśnie tutaj widzimy taki przykład gdzie gdzie
cyberprzestępcy stworzyli taką reklamę która była skierowana do użytkowników posiadających urządzenia z systemem Android tutaj przykład takiej reklamy która była skierowana do użytkowników którzy posiadali urządzenia z systemem iOS No ale dlaczego dlaczego takie aplikacje w ogóle mogły znaleźć się w tym oficjalnym sklepie Google Play czy czy App Store A no dlatego że same w sobie nie są złośliwe posiadają one właśnie tylko taki formularz rejestracyjny jeżeli użytkownik kliknie w reklamę trafi na niebezpieczną stronę poda swoje dane kontaktowe wtedy oszuści będą próbowali nawiązać z nią kontakt będą przedstawiać się jako brokerzy jako konsultanci inwestycyjni będą manipulować ofiarą będą rozsiewać przed nią takie wizje szybkich zarobków w krótkim czasie jeżeli oszuści mają już taką ofiarę w garści no to wtedy
wyrabiają jej taki dostęp do platformy inwestycyjnej tutaj na zamieszczonym rzucie ekranu widzimy przykład Właśnie takiej wiadomości email w której to cy przestępcy przesyłają dane dostępowe ofierze jeżeli ta ofiara zdecyduje się na taką platformę wejść No to będzie widziała że innym rosną zyski jeżeli będzie chciała przechodzić pomiędzy poszczególnymi zakładkami to wszystko będzie świetnie działać nie będzie żadnych problemów ta Platforma będzie wyglądać na taką profesjonalnie przygotowaną saldo będzie się zmieniać z też będą rosły mam Pie konur bez strzelajcie Jaka jest największa
kwota blisko 7
milionów niez doświadczeni dorośli młodzi z małż miast finansach bez
[Muzyka] finansów w kolejnym etapie oszustwa cyberprzestępcy przekazują ofierze numer rachunku do do przelewu środków na na transfer inwestycyjny jeżeli to ofiara przeleje już trochę tych środków no to cyberprzestępcy wtedy będą zasilać jej konto takimi drobnymi wpłatami aby aby uśpić jej czujność pieniądze Te będą pochodzić właśnie z tych rachunków innych pseudo inwestorów na tym etapie oszuści mogą także wyłudzać dane kart płatniczych użytkowników często zdarza się faktycznie wypłacanie jakichkolwiek pieniędzy bo z tak ja się spotkałem nigdy naet gr a tutaj jest tak jak usypianie czujności Jeżeli mogę mieć prośbę prosiłabym o pytania po po po skończonej prezentacji wtedy wtedy odpowiem tutaj właśnie przykłady takich stron na których to cyberprzestępcy wyłudzali dane kart płatniczych co dzieje się dalej jeżeli taka ofiara
zechce te swoje środki wypłacić wtedy cyberprzestępcy bardzo często zgadzają się ale proszą żeby żeby ofiara taka zainstalowała na swoim urządzeniu aplikację do zdalnego pulpitu taką jak Team Viewer nesk czy czy Quick support w sierpniu ubiegłego roku zaobserwowaliśmy także wykorzystanie aplikacji WhatsApp Przez cyberprzestępców jako takiego właśnie narzędzia do zdalnego pulpitu oszuści rozmawiając z ofiarą przełączają rozmowę na wideo dzięki czemu mają właśnie możliwość wyświetlania dzięki czemu mają właśnie możliwość skorzystania z tej nowej funkcji jaką oferuje aplikacja WhatsApp czyli wyświetlanie pulpitu oszuści już mus przeprowadzać ofiary przez ten dodatkowy proces to takie znaczne ułatwienie dla nich No nie mogą się też zbytnio przemęczać co ważne oszuści w dalszym ciągu wykorzystują te znane legalne programy natomiast aplikacja WhatsApp służy jako takie jako taka
alternatywa na zamieszczonym rzucie ekranu wiy takiego wpisu na forum przestępczym na telegramie gdzie to cyberprzestępcy wymieniają się tą informacją o tym o tej nowej funkcji wprowadzonej przez WhatsApp i tym jak jak to można by było wykorzystać w swoich oszustwach Kiedy jeden wariant to za mało cyberprzestępcy mogą stosować jeszcze dodatkowe elementy w scenariuszu Na fałszywe cyberprzestępcy zamieszczają także reklamy w których to oferują użytkownikom pomoc i zwrot straconych środków wszystko po to żeby okradać jeszcze większą liczbę użytkowników cyberprzestępcy stosując grę psychiczną liczą na to te ofiary będą przelewać kolejne środki Ale co ciekawe taka reklama nie kieruje do niebezpiecznej strony z formularzem oszuści W tym celu wykorzystali takie formularze na na portalu Facebook coś z czym równie Spotykamy się
to także takie reklamy w których to cyberprzestępcy oferują zwrot straconych środków ale żeby było to możliwe wymagają tego aby ofiara wprowadziła swoje dane w takim formularzu kontaktowym żeby wpisała a następnie odpowiedziała na na kilka pytań które które ci cyberprzestępcy jej zadają pytania te mogą dotyczyć tego jak jak ten Broker się nazywał czy czy czy dana organizacja ile tych środków straciliśmy w jaki sposób przelano te pienią coś co obserwujemy to także pojawiające się w mediach społecznościowych Deep FJ w których to cyberprzestępcy wykorzystują także ten motyw zwrotu straconych środków filmiku zamieszczany przez oszustów wykorzystywany był wizerunek dziennikarki stacji Polsat Doroty Gawryluk tak aby właśnie jesc oszustwo i zacmy ten filmik
wyglądał Europy zad krajów pod PR inwestowania pienią ludzi jeśli pod brokera
skontaktują się z tobą i pomogą ci załatwić twój problem jeżeli taka ofiara zdecydowała się wejść w reklamę No to trafiała na formularz na portalu Facebook gdzie musiała wprowadzić swoje dane kontaktowe a następnie odpowiedzieć na na kilka pytań oszuści tutaj także pytali o to jak się nazywała firma [Muzyka] o to żeby wskazać w jaki sposób ta współpraca została podjęta kiedy te środki straciliśmy jeżeli użytkownik odpowiedział na te pytania no to wtedy otrzymywał taki komunikat że że to jego zgłoszenie zostało przyjęte No i należy czekać na pomoc prawników którzy się za jakiś czas skontaktują tutaj przykład takiej platformy stworzonej przez cyberprzestępców aby właśnie jeszcze to oszustwo co ważne cyberprzestępcy [Muzyka] zamieszczonych na portalu Facebook tutaj są ich przykłady Ale co
ciekawe oszuści wykorzystywali również to konto do tego żeby publikować takie treści związane z marketingiem przestępczym
cyberprzestępcy kiedy wiedzą że już nie mogą oszukiwać dalej ofiar stosują także inne opcjonalne warianty w scenariuszu Na fałszywe inwestycje informując tych użytkowników o tym że aby spełnić wszelkie formalności taka ofiara sprawdzić swoje konto bankowe aml A wszystko po to żeby te jej pieniądze która które otrzyma z tego z tej inwestycji nie zostały zablokowane cyberprzestępcy przesyłają wtedy ofierze link do takiej strony która wykorzystuje wizerunek komisji nadzoru finansowego aby jeszcze właśnie bardziej uwiarygodnić ten scenariusz oszuści będą że żeby w formularzu wprowadzić swoje dane żeby wskazać na bank w którym to posiada się rachunek a następnie będą prosić ofiary na na niebezpiecznej strony na tej niebezpiecznej stronie o to aby wprowadziła swój login i i hasło do do
bankowości elektronicznej I to jest właśnie ten moment kiedy oszuści dostęp do do tego loginu i hasła do bankowości elektronicznej użytkowników logują się na na stronie i próbują wyczyścić do do końca to konto użytkowników użytkownicy tracą ogromne pieniądze w oszustwie na na fałszywe inwestycje ta właśnie stosowana przez nich gra psychologiczna ta ta ta manipulacja socjotechnika prowadzi do tego że że te ofiary zaciągają kredyty czy czy pożyczki u znajomych i i rodziny z mojej strony to wszystko Bardzo bardzo dziękuję za uwagę [Aplauz]
kolejny przestępstwa w momencie kiedy przest zorientują na kieś kredyty pożyczyć to drobnej kwoty rzędu ty stosunku drobne 1000 zł 3000 jest czę po prostu podbija socjotechnikę i to się zdarza nie ma Oczywiście statystyk Jak często jest to robione mą rzeczy ale ale zdarza
się
i i
i i
i i
i i
i i
i i
i i
i i
i i
i i
i i
i i
i i
i
sprawa ktoś jest na korytarzu jeszcze Zamknij tak jest
[Muzyka] z tym tematem jedziemy cześć
Witam witam was wszystkich serdecznie tych z którym się jeszcze dzisiaj nie widziałam Bardzo się cieszę że mam przyjemność zakończyć tę wyjątkową kobiecą część na piątkowym bajcie w maju tego roku Mój pracodawca zabrał mnie na pewną dużą konferencję hakerskie tą była tam młoda dziewczyna ze Stanów Według mnie to był bardzo trudny tak Technic wykład ale ja w ogóle nie mogłam skupić na merytoryce bo ta dziewczyna Okropnie się denerwowała była bliska płaczu Wyobraźcie sobie na sali ponad 300 osób i gdy ona skończyła mówić i wyszła na patio to wybiegły za nią kobiety i my wszystkie te cztery laski gorąco ją wyciskał i mocno wsparły o czy że bardzo czę że Wiz relatywnie więcej kobiet może nie wyglądam ale to jest mój debiut w roli
prelegentki zatem nie wahaj się mnie wesprzeć nawet jeśli nie jesteś [Aplauz] kobietą Jeśli będziecie mieli jakieś pytania w trakcie prezentacji to zadawajcie na bieżąco Nie wahajcie się ale na początek Ja mam kilka pytań do was kto z was programuje proszę podnieście ręce A kto programuje w języku c a czy ktoś z was korzysta z biblioteki op SSL No Jakkolwiek nie jakkolwiek wszyscy bądźcie czujni bo przygotowałam dla wszystkich konkursy i moje konkursy są z nagrodami przyjechałam
magisterskie na kierunku matematyka w zakresie metod numerycznych i programowania a były to czasy kiedy nacs nie było Nawet kierunku studiów zwanych informatyką ale informatyka nie jest moją największą życiową pasją mam ich wiele chętnie o tym porozmawiam ale w mniej formalnym czasie pracuję w mobicom Polska Fir to mó br Micha trojnara jest starszy ode mnie naszymi głównymi produktami są stanel OSS i silnik CNG wszystkie te wymienione aplikacje oparte są na bibliotece Open SSL stanela wymyślił mój brat Michał w 198 roku i od tego C st rozwija TP zao TS używany abano bezpieczne i szyfrowane połączenie Client Server gdy natywnie nie obsługują one protokołu TS OSS to narzędzie implementujące funkcjonalność Microsoft narzędzia dzia nach platformach służy umieszczania
podpisów w plikach oraz do weryfikacji podpisanych tych podpisów podpisanych plikach gdy adoptowaliśmy ten projekt w 2018 roku był to tak zwany spagetti Code zależny od bibliotek lip gsf oraz k my przede wszystkim uporządkowali miy kod i pozbyliśmy się zbędnych zależności nieustannie rozwijamy funkcjonalności aktualnie Wspieramy wicej formatów plik dodajemy w odpowiedzi na oczekiwania naszych użytkowników silnik CNG to silnik wspierający CNG czyli Windows cryptography Generation jest to następca Open silnika ki umożliwia obsługę Microsoft stów Z certyfikatami ten
darowa od niedawna binar można pobrać ze strony stanel Korg zapraszam was do pobierania i do testowania tego
narzędzia Dawno dawno temu jeszcze przed plagą zoma ktoś na jakiejś konferencji zapytał mnie czym ja się właściwie zajmuje a tym i tamtym i szukam błędów Open SSL to Opowiedz jak się szuka błędu w Open SSL to wam też opowiem pisząc i udoskonalając wspomniane projekty czyli stanel OSS Code Czy silnik sng dodaje do Open SSL nowe funkcjonalności Jeśli akurat ich potrzebuje a także sprawdzam Dlaczego używane przeze mnie funkcjonalności nagle przestały działać czyli sprawdzam co gdzie d zepsuły kojs oczywiście testuj swoje narzędzia pod różnymi systemami operacyjnymi jak widać zwłaszcza lubię system operacyjny Windows ale więcej opowiem wam o tym za chwilę kiedy rozgryzac to dokładnie i namiętnie czytam manuala stosu OPC komp zależ jaki to jest kompilator ale mam
taki swój ulubiony
zestawik Jak skutecznie zgłaszać błędy w Open SSL zwykle w Open SSL jest otwarte około 2000 is i zaledwie około 350 250 300 otwartych PEM zamiast tyko z rozwiązan w ten sposb znacznie przyspieszam proces naprawiania i weryfikacji tych błędów które udało mi się zidentyfikować staram się trzymać poradnika Open SSL Uważam że jest to bardzo przyjaźnie napisany poradnik warto do niego zajrzeć
czyli Opisuje dokładnie co nie działa Jaki jest błąd gdzie i kiedy powstał następnie Staram się napisać proof of Concept ilustrujący ten błąd a na końcu opisuję w jaki sposób mój po request ten błąd
naprawia istotnym aspektem w tworzeniu czytelnego i zrozumiałego kodu źródłowego jest tyl kodowania zwróć szczególną uwagę na styl kodu przede wszystkim Zwróć uwagę na to czy w projekcie są stosowane tabulatory czy spacje to ważne bo stosowanie właściwych wcięć zwiększa czytelność kodu po drugie zwróć uwagę w jaki sposób w projekcie stosowane są nawiasy klamrowe otwierające blok kodu na przykład w definicji funkcji Czy nawias klamy otwierający w tej samej linijce co nazwa funkcji Czy w nowej linijce Zastanówcie się jaka jest konwencja dotycząca stawiania spacji między operatorami na przykład podstawienia albo mój ulubiony wskaźnik Czy we wskaźniku tą spację stawiacie przed gwiazdką czy po gwiazdce zawsze się Dostosuj do projektu do którego komcie żeby zachować spójność w cym kodzie we własnym projekcie
Trzymajcie się dobrych praktyk zgodnie z konwencją bsd I pamiętajcie o właściwych
komentarzach s unikaj dodawania oczywistych komentarzy które nie dodają żadnej wartości jeśli kod jest czytelny sam w sobie to nie ma potrzeby dodawania żadnego komentarza ale jeśli kod ulegnie zmianie to pamiętaj o zmodyfikowaniu lub usunięciu odpowiedniego komentarza przed wysłaniem p requesta do projektu na githubie warto upewnić się że wszystko jest w porządku przede wszystkim Upewnij się czy zmiana jest poprawna i zgodna z wymaganiami projektu oczywiście Sprawdź również Czy kod działa i nie zawiera błędów w ty W tym celu Uruchom testy jednostkowe integracyjne i sprawdź czy zmiany nie powodują regresji Zwróć uwagę na to że te testy nie pokrywają całego kodu i wszystkich systemów operacyjnych zatem testuj również ręcznie Pomyśl czy może warto dodać nowe testy zauważyłam że zwykle jest to
bardzo mile widziane Zwróć uwagę na to czy twoje zmiany nie wprowadzają konfliktów z innymi zmianami w kodzie więc może trzeba rozwiązać te konflikty przed wysłaniem requesta i czy nie wpływają negatywnie na inne części kodu jeżeli jest to konieczne to Zaktualizuj dokumentację to może obejmować na przykład prik ritmi komentarze w kodzie lub opisy funkcji ale przede wszystkim Zawsze dokładnie przeczytaj swo nawet kilka
razy Open SSL zwykle oczekuje od swoich kontrybutor podpisania umowy licencyjnej ale nie oczekuje tego od autorów poprawek trywialnych zgłoszenie trywialne w świetle prawa autorskiego to jest zmiana formatowania tekstu poprawki błędów gramatycznych lub typograficznych na przykład Nazwy funkcji w manualu i jednowierszowe poprawki błędów wszyscy autorzy poprawek trywialnych muszą umieścić w opisie comita tekst trival i nie wystarczy umieścić tego tekstu w opisie requesta na
g ta zmiana jest trywialna moje pierwsze komitywie Ale w pewnym momencie Musiałam podpisać umowę licencyjną dla współautora indywidualnego wszyscy autorzy nietrywialny pomysłów kodu lub dokumentacji muszą przesłać podpisaną umowę licencyjną umowa licencyjna dla współtwórców korporacyjnych obejmuje korporacje które oddelegować podpisanie korporacyjnej umowy licencyjnej nie eliminuje konieczności podpisania indywidualnej umowy przez każdego programistę jak osoba fizyczna można kontrybuować do Open SSL anonimowo imię i nazwisko zostaną opublikowane chyba że określisz alternatywną nazwę publiczną imię i nazwisko nie zostaną opublikowane jeśli określisz się jako anonymus ale niegrzeczne lub obsceniczne pseudonimy mogą zostać odrzucone dość tej teorii czas na praktykę powstrzymam się od omówienia wszystkich swoich requestów Chociaż dla mnie wszystkie są bardzo ciekawe Pewnie dlatego że ja sama je popełniłam Omówię kilka według mnie tych
najciekawszych i nie są one posortowane chronologicznie raczej tematycznie Przypominam że jeśli macie jakieś pytania to zapraszam zaczęłam od poprawienia dokumentacji według mnie tam ciągle można znaleźć całkiem dużo fajnych rzeczy do zrobienia oto pierwszy błąd w dokumentacji Mam nadzieję że slajdy są czytelne str Cent 38 52 CMS content info w uproszczeniu jest to struktura sparowana z timestamp zawierająca różne dane funkcja CMS verify weryfikuje strukturę CMS content info czyli weryfikuje ten sparowany timestamp a funkcja CMS get signers pobiera certyfikaty ze struktury CMS content info oryginalne sformułowanie z manuala takie jak widzicie na slajdzie sugeruje że pobranie certyfikatów z Tim stampa musi zostać wykonane po pomyślnej weryfikacji zgadza ci się ale logika sugeruje że to pobranie certyfikatów może zostać wykonane
dopiero po pomyślnej weryfikacji i to jest mój pierwszy trywialny komit na dzisiaj został on otagowany CLA
trival kolejny komit w manualu do manuala Open SSL TS to prosta aplikacja Client serwer obsługująca timestamp Authority zgodnie z RFC 3161 Umożliwia ona generowanie żądań tam stów oraz generowanie odpowiedzi przez serwer Tim Stampy oczywiście również weryfikacje samych timestamp Open SSL TS ma taką opcję No która była zdefiniowana w manualu dokładnie tak jak widzicie na slajdzie Ja znalazłam tutaj bardzo śmieszną literówkę która zupełnie zmienia sens zdania i zapraszam was do pierwszego konkursu kto również widzi ten
błąd No brawo czym żeż jest pseudorandom
to zapraszam Kto Kto Kto był pierwszy ty na pewno naw na pewno byłaś i ktoś jeszcze z tyłu mówił to zapraszam oboje dawajcie
zau ważne czytanie nagroda
będą dalej takie fajne konkursik Dobra Tak wygląda mój komit w dokumentacji w którym poprawiam tą literówkę i delikatnie gramatykę zwróćcie uwagę że w tym kome nie ma już tagu CL trival ponieważ w tym momencie miałam już podpisaną umowę licencyjną
kolejny Case d2i Type usiłuje zdekodować pewną porcję bajtów i umieścić je w podanej strukturze tutaj jest zdefiniowana zdefiniowane do niego takie Makro a na dole widzicie dokumentację do funkcji d2i DH params ona usiłuje zdekodować podaną porcję bajtów i umieścić te bajty w strukturze zawierające parametry dimana i to jest kolejny konkurs dla was Powiedzcie mi gdzie jest błąd w manualu kst nie ma dobrze Jesteś zapraszam bonika brawo oczywiście drugi parametr funkcji powinien zostać zdefiniowany jako stała bez
tral obiecuję na dzisiaj to już jest ostatni trywialny komit funkcja provider jak sama nazwa mówi ustawia domyślną ścieżkę wyszukiwania ale
jeszcze raz zwrócić waszą uwagę na to że implementacja kodu w oparciu o manual może powodować wari kompilatora więc warto ustawiać te różne opcje kompilatora o których mówiłam na początku kto pierwszy się zgłosi do
błędu kto widzi Nie nie słyszałam Ale to jest c wies brawo Chodź po nagrodę oczywiście inna wartość zwracana przez funkcję super są różne Dziękuję bardzo dobrze trywialny komit w którym zmieniam jedynie w na ekscytuje się tymi moimi trywialnym komit ale Mam dużą satysfakcję że podnoszą one jakość kodu i
dokumentacji Szegi jakoś drobia Widzę camki właśnie to przejście jeszcze raz
litera czy tylko ja używam systemu operacyjnego Windows osobiście mam do niego stosunek ambiwalentny Lubię go chyba tylko dlatego że znalazłam w Open SSL dwa błędy pod Windowsem które były tam od nowości oto Pierwszy z nich funkcja bioset czeka na scie na odczyt Ale dlaczego na Windows zwykle nie czeka tylko zwraca błąd równy us1 kolejne pytanie do was według brawo to to nie jest to jest Windows tutaj nie ma Fil deskryptorów są sockety stała fds size określa maksymalną liczbę deskryptorów Zapraszam Zapraszam zapraszam to nagrodę brawo myślałam że to będzie
trudniejsze to nie TR musis ZG
na Windows stała FD size domyślnie wynosi 64 a socket może mieć przydzieloną większą wartość nieprawidłowa wartość socket wins to jest stała invalid Socket A nie liczba ujemna i tak wygląda mój komit który nie jest już trywialny Dziwi mnie że nikt wcześniej Nie znalazł tego błędu bioset została dodana do Open SS w wersji 3 w 2020 roku 4 lata czekała na [śmiech]
mnie tak
Windows funkcja SS odczytuje certyfikaty z każdego pliku w podanym katalogu i coś tam dalej robi z jego Sub ta funkcja nigdy nie działała poprawnie pod Windows ponieważ zwracała błąd podczas próby otwarcia katalogu jako pliku
1999 roku i nigdy nie działała Zastanawiam się czy przez te 25 lat nikt nigdy nie próbował użyć tej funkcji pod Windowsem czy po prostu Programiści ignorowali ten błąd a skoro nie działa to poszukam obejścia może coś robię źle A ja się czepił i napisałam p Rea tak ale na Windows działa na Linuxie działa pod Windowsem również silnik C to już tylko pod Windowsem Tak wygląda mój request na początku opisuję która funkcja nie działa pod Windows
i opisałam w jaki sposób MJ request ten błąd naprawia zaproponowałam następujące rozwiązanie które pomija pod katalogi ten request przedł Code review i został pomyślnie zdany niestety po dwóch miesiącach ktoś zgłosił że moje rozwiązanie spowodowało błąd regresji na Tak wygląda komit osoby która zgłosiła ten mój błąd literalnie pomijane są pliki o nazwach kropka i dwie kropki ta sytuacja nauczyła mnie że trzeba testować swój kod w różnych systemach ponieważ testy nie pokrywają całego kodu i wszystkich systemów operacyjnych trzeba testować ręcznie
kolejny błąd który dla was dzisiaj przygotowałam dotyczy funkcjonalności która działała ale w pewnym momencie przestała działać nasz klient używający OSS zgłosił że na jednym jego systemie operacyjnym weryfikacja podpisu w pliku zwraca sukces a na innym systemie operacyjnym z bdam
Open SSL x509 load f ona ładuje certyfikaty z pliku do pamięci okazało się że jeśli w pliku było wiele certyfikatów to ta funkcja zwracała tylko jeden Ten ostatni za pomocą git bisect znalazłam że błąd Został popełniony w kome sprzed cter
miesięcy tak wyglą mó request napisałam która funkcja została zepsuta w którym kome w którym ree umieściłam Pro of Concept ilustrujący istnienie tego błędu opisałam że jeśli w pliku testowym podam pi certyfikatów to funkcja zwróci tylko jeden Ten ostatni opisałam w jaki sposób mój request naprawia ten błąd i że zwraca wyniki zgodnie z oczekiwaniami Ior
dotycz dokład tego sam błędu śmy się trochę ja jego zgłoszenie zamknęłam bo mój pojawił się na githubie wcześniej niż jego zgłoszenia no i moje rozwiązanie było po prostu lepsze on sam tak
przyznał prz inform że zamykam jakś
is zatem zanim zgłosisz jakieś is albo requesta do projektu na githubie to sprawdź czy ktoś wcześniej nie zgłosił tego samego problemu sprawdź wszystkie zgłoszenia i otwarte i zamknięte Ja też miałam syy BAC napisałam of Concept już siadłam żeby pół requesta wysłać jeszcze sprawdziłam spóźniłam się dosłownie kilka dni bo ktoś to samo rozwiązanie już przesłał i musiałam odpuścić proszę wiesz jak to zidentyfikować No wiesz jakaś funkcja zepsuta to wrzucasz wyszukiwarkę czy czy ktoś o tej funkcji coś wspomina że jest błąd pisałaś requesta Ile zajmuje czasu zrobienie samego fika minuty dni bo wiesz co mi to zajmuje kilka godzin bo no ten TR of Concept Staram się napisać ale to zależy bo jak jest trywialny błąd dokumentacji
No to jest kilka minut nie jeżeli jest kawałek w kodzie to to jest czy to jest skomplikowany problem na trudniejsze jest znalezienie błędu A już samo rozwiązanie to to luzik No bo to wygląda tak ja identyfikuj błąd próbuję rozwiązać nie i już jak mam rozwiązanie więc mam tego comita którego chcę zmergować to wtedy piszę requesta czyli najpierw tworzę comita u siebie nie swoim lokalnym foru żeby naprawić ten błąd puszczam u siebie testy Sprawdzam czy działa jak wszystko jest okej Wydaje mi się że wszystko jest okej No to przesyłam Przesyłam propozycję tego rozwiązania A tak wygląda komit w którym zwalniam obiekt x509 i ponownie go alokuje do swojego kodu dodałam również komentarz opisujący dlaczego to odświeżenie obiektu x509 jest w ogóle
potrzebne
pisanie rozwiązania A ile jest testów i samego testowania na różnych platformach będę o tym jeszcze mówiła jak to wygląda z tymi testami A to zależy to zależy Mam Mam taki w tym momencie po request który już od kilku miesięcy w akceptacji czeka i No dyskutujemy czy czy jak czy zmiana moja jest poprawna czy niepoprawna dobrze to będę kontynuowała wykazanie błędu funkcji x509 File wykazało brak pokrycia testami zostałam tutaj poproszona o napisanie przypadku testowego dałam radę to zrobić użyłam opcji git Push Force żeby umieścić testy w jednym kome razem z moją poprawką polecenia git popra wsie
A tak wygląda w skrócie moja funkcja testująca nie jest to nic godnego uwagi następny CAS stanel od wersji 571 wspiera w żądaniu
cikat wystawcy do utworzenia struktury CSP wymagany jest certyfikat wystawcy No logiczne certyfikat wystawcy wcale nie musi być zaufany on może być niezaufany to nie musi być CA to może być certyfikat intermediate i zauważyłam że ta moja specyfikacja różni się od implementacji Open ser ssls serwer to taki serwer testowy który nasłuchuje połączeń na podanym porcie za pomocą protokołu TLS Open SSL s serwer w żądaniu o CSP używa wyłącznie certyfikatów zaufanych z opcji cfile zaimplementowanie z certyfikatów niezaufanych czyli z opcji Cert Chain w ten sposób stałam się twórczynią nowej funkcjonalności w narzędziu Open ssls server
Tak wygląda mój po request otagowany jako feer na początku opisuję problem wymieniam dostępne opcje w Open SSL serwer które mogę wykorzystać następnie startuje responder ocsp i Pok
podc uyan certyfikat niezaufanych z i działa poprawnie jeśli te certyfikaty przekaże jako zaufane z opcji
C Tak wygląda w skie mój komit do
i tutaj znowu zostałam poproszona o napisanie przypadku testowego Czy można odmówić napisania testów ja miałam pewne wątpliwości Tym bardziej że no głupio było ale z drugiej strony do
NAP przyszedł mój brat szef który uznał że nie będzie ryzykował uszkodzenia mojego mózgu podczas nauki Perla do napisania tych testów na ochotnika zgłosił się ktoś inny zatem Jeśli nie czujesz się biegle w jakieś technologii to nie wahaj się odmówić dwa ostatnie przypadki nauczyły mnie że jeśli pracuję nad jakimś kawałkiem kodu to zawsze muszę mieć z tyłu głowy sprawdzenie czy ten K jest pokryty to ciepło pomyśleć o napisani i załączeniu odpowiednich testów bardzo fajny błąd znalazłam w Open ssls serwer który nie stosował się do wymogów fips a powinien był ale najpierw bardzo krótko o tym czyms 140 opracy przez Nist w Stanach Zjednoczonych f definiuje wymagania bezpieczeństwa dla modułów kryptograficznych takich jak generatory liczb losowych algorytmy szyfrowania czy
algorytmy podpisu Cyfrowego fips jest stosowany przez rząd federalny USA i inne organizacje które wymagają wysokiego poziomu zabezpieczeń danych na przykład banki instytucje finansowe czy opieka zdrowotna Open SSL od wersji 3.0 ma zaimplementowane providera fips który zawiera podzbiór implementacji algorytmów zgodnych ze standardami fips certyfikacja fsa jest dość kosztowna i czasochłonna My korzystamy z tego że sponsorzy Open SS za nią zapłacili kwaty
f można włączyć progo w swojej aplikacji za pomocą pliku konfiguracyjnego i za pomocą opcji w Command na SL pokazuje wam że taki szyfr c 20 Poli 135 jest
i chociaż szyfr czacza 20 Poli 1305 nie ma certyfikacji fpsow to Open SSL s serwer włączony w trybie fips wysłał zestaw szyfrów TS 135
wiadomości serwer Hello na dole slajd widzicie że Open SSL Client odebrał ten niewspierany zestaw szyfrów od serwera i chociaż do wynegocjowania tego ni wspieranego zestawu szyfrów na szczęście nie dochodziło to jakkolwiek s serwer wysłał niewspierany szy tryb ser
błąd moja poprawka zapewnia że wszystkie zmodyfikowane zestawy szyfrów muszą podchodzić z providera fips jeśli jest on włączony i wszystkie niewspierane zestawy szyfrów są odrzucane
w ekspresowym tempie został zany w ciągu dwó dni od
zgłoszenia No i to już jest ostatni przykład który przygotowa
ser dokumentacja narzędzia Open SSL TS mówi o tym że domyślna wartość funkcji skrótu z opcji ID wynosi sz
Zobacz na dole slajdu domyślna wartość tej funkcji skrótu wynosi S1 jak wiadomo s1 nie jest bezpiecznym
pomysłem i tak wygląda mój komit bardzo prosty proszę
nic o tym nie wiem ale jak znajdziesz to będę wdzięczna Wiem wiem wiem wiem są merane SSL do różnych branzy Więc no myślę że nic nie zepsułam Myślę że oni to porządnie zali także w starych było w dokumentacji poprawione nasza je a w nowych
wracam do mojego kom gdzie zmieniam jedynie domyślną wartość tej funkcji skrótu kodzie oraz domyślnym pliku konfiguracyjnym openf dość szybko został zany w ciągu C dni
[Aplauz] umieścili Dzięki bardzo się starałam popełnić przez Bis jakąś okrągłą liczbę komit prawie mi się udało jeden utknął mi w
akceptacji na zakończenie jakich rad Mogę wam udzielić z pozycji starszej fani z informatyki Po pierwsze Dbajcie o swoje ciała pijcie dużo wody i ćwiczcie regularnie bo ciało potrzebuje ruchu a z wiekiem kręgosłup Boli coraz bardziej i proszę Nie ignoruj tych drobnych błędów które Znajdujecie w projektach Open Source naprawiaj je razem Podnosząc jakość kodu i dokumentacji Bardzo dziękuję za aktywność i za uwagę [Aplauz] Mam nadzieję że czujecie się zainspirowani oczywiście wiesz co po tej twoje prezentacji to się głupio
ch i
i i
i i
i i
okej dobra To skoro zaczynamy to zaczynamy proszę tak mam nadzieję że to jest jedyna literówka która jest w całej tej prezentacji ale o tym będziecie się mogli przekonać przez następnych kilkadziesiąt minut Cześć witam wszystkich i po pierwsze Serdeczne gratulacje i wyrazy szacunku dla tych którzy przy całym tym upale nadal jeszcze chcą jak przed chwilą słuchali Małgosi o SSL to teraz jeszcze Chcą posłuchać up ssh przy czym ja z zupełnie innej strony dlatego że ja będę wam opowiadał o tym że tak powiem czysto operacyjnie i konfiguracyjny Ja się nazywam Karol Szafrański i jestem można powiedzieć duchem i sercem linuxiarze to znaczy pracuję jako bezpiecznik natomiast znaczną część swojej kariery spędziłem jako administrator inżynier infrastruktur człowiek od szeroko rozumianych oper
ogólnie ktoś kto pilnuje żeby światło się paliło diody przy sieciówkach migały i żeby jeszcze przez te sieciówki przelatywały te pakiety Co powinny a te co nie to lepiej żeby zostały na zewnątrz i trochę tym chociaż nie na poziomie sieci a jednej konkretnej usługi Dzisiaj będziemy się zajmowali być może mnie znacie też jako trenera RAM sekurak Academy a wcześniej w ramach elx i Administracji linuxem być może niedługo poznacie mnie również jako osobę podpisaną na czymś co będzie grube i wykonane z martwego drzewa ale nie uprzedzajmy faktów dwa obowiązkowe disclaimer Po pierwsze jestem tutaj dzisiaj w imieniu własnym i tylko własnym i swojej wiedzy i doświadczenia którą się chc podzielić a po drugie dzielę się tym przede
wszystkim po to żeby ułatwić wam zabezpieczanie swoich systemów czy pomyślenie o tym jak jak do tego podejść niekoniecznie absolutnie Zachęcam do robienia rzeczy niezgodnych z prawem No ale rzeczy niezgodne z prawem każdy oczywiście robi na swój własny rachunek i teraz tak Co w ogóle sobie protokół ssh a w zasadzie konkretną jego implementację to znaczy serwer i klient z pakietu Open ssh Czyli to co Zakładam że znaczna większość z was jeśli nie wszyscy zna doskonale z linuxów z bsd i z całej masy różnych innych dziwnych systemów i urządzeń Tyle że ja bym chciał zatrzymać się troszeczkę i nakłonić was do rewizji spojrzenia na to bo jak widzimy gdzieś otwarty port 22 albo działającą usługę która się nazywa
sshd to po pierwsze zwykle pewnie myślimy o dostępie do zdalnej powłoki Ja bym bardzo delikatnie sugerował żebyśmy trochę zmienili optykę i trochę poszli w stronę tego tak nie bezpośrednio ale jednak o czym słuchaliście przed chwilą na prezentacji Małgosi Dlaczego Dlatego że ssh moim zdaniem należy rozpatrywać protokół transportowy No bo tak macie szyfrowany kanał komunikacji obustronną weryfikację klient do serwera serwer do klienta silne szyfrowanie możliwość nie tylko uzyskania powłoki O czym myśli się zapewne na samym początku ale też kopiowania plików na dwa różne sposoby tunelowania dowolnego ruchu TCP w obie strony i jeszcze tunelowania paru specyficznych dla systemów z rodziny Linux No to jeśli to nie jest protokół transportowy to co to jest ja się dzisiaj będę wyżywa przede
wszystkim na serwerze Open ssh czyli tym co na Linux Unix bsd zazwyczaj znajdujemy jako serwer i na kliencie z tego samego pakietu ale wspomnę też o kilku innych implementacja głównie klienckich Bo też się okaże że że tutaj na przykład niektóre funkcjonalności się w ciekawy sposób pokrywają i można z tego skorzystać a nie wszyscy wiedzą że można a generalnie będę opowiadał o tym że wiele ciekawych rzeczy się da zrobić z uszczelnieniem tego i doprowadzeniem do tego żeby to robiło to co chcemy i nie robiło tego czego nie chcemy zanim przejdę do takiej już czystej praktyki to jeszcze zostając na sekundę poziomie protokołu jeżeli używacie dzisiaj ssh do czegokolwiek to na 99 używacie ssh w wersji drugiej istnieje wersja pierwsza
w przyrodzie ale mam nadzieję że nikt z was nie jest że tak powiem zmuszony zmuszona do tego żeby z niej korzystać Bo lata całe temu już zauważono Czy znaleziono podatności samej konstrukcji protokołu ssh 1 do tego stopnia że w tym momencie narzędzia których używamy dzisiaj bardzo aktywnie nam przeszkadzają w przypadkowym użyciu pierwszej wersji protokołu a i wy pewnie nie macie takiej potrzeby No chyba że wy wlecze gdzieś z samego DNA szafy maszynę która leżała tam nie wiem 15 czy 20 lat na przykład jakiś bardzo stary router Switch czy czy być może nie wiem serwer linuxowy na 486 albo No może trochę dalej ten pomarańczowy kolor Mam nadzieję że jest w miarę czytelny Bardzo mnie to cieszy natomiast slajdy też
udostępniłem więc jak ktoś będzie chciał skorzystać to to będą do znalezienia i na discordzie i będą do znalezienia też mam nadzieję na na samej głównej stronie wydarzenia Świetnie dzięki dobra To skoro mówimy o hardening czyli o utwardzaniu konfiguracji czyli o zwiększaniu jakby poziomu obrony naszego systemu to bardzo krótko Też o tym przed czym my się chcemy bronić pież d będę skupiał praktycznie wyłącznie na samej usłudze ssh i bardzo mało będę wspominał o tym co jest dookoła niej to sama usługa ssh stwarza dwie główne grupy Ryzyk Po pierwsze że zaloguje się ktoś kto nie powinien to znaczy zaloguje się albo skradzionymi kredkami albo na przykład da radę przełamać hasło za pomocą ataku siłowego i to jest
pierwsza grupa Ryzyk druga grupa Ryzyk to jest sytuacja użytkownik którego myśmy uprawn czyli z naszego punktu widzenia legalny zaloguje się do systemu tyle że zrobi tam coś czego my byśmy oczekiwali że robił nie będzie no to oczywiście wypadałoby użyć wszelkich dostępnych środków żeby uniemożliwić mu zrobienie tego czego my sobie nie życzymy i o tym że w samym ssh jest sporo takich środków przede wszystkim będzie dzisiejsza prezentacja zanim jeszcze zagrzebiem się na dobre w tym co można wycisnąć z konfiguracji Open ssh serwera i klienta trochę też to zwrócę tylko uwagę że są na przykład możliwości uszczelniania tego co się dzieje blisko ssh na przykład na poziomie systemowego firewalla są takie dwa projekty fail to Ban i ssh gard i one zasadniczo są
przeznaczone do jednej rzeczy do tego żeby skanować Logi patrzeć na próby Zenia i jeżeli na przykład z jakiegoś adresu IP pojawia się zbyt duża ilość prób logowań to żeby taki adres IP został za te bardzo intensywną działalność w postaci próby złamania hasła na przykład nagrodzone kilkugodzinnym banem na na systemowym firewallu co go być może troszeczkę ostudzi Oczywiście wiadomo że w przy ataku didos nie nie powstrzymamy tego w całości Ale lepiej mieć niż nie druga rzecz o której też warto pamiętać tutaj specyficznie dla systemów linuxowych w Linux jest coś takiego jak mechanizm pam czyli plugable authentication Modul to jest można powiedzieć cały system bibliotek które składają się na mechanizm uwierzytelnienia i autoryzacji ssh oczywiście korzysta z nich też no i
na przykład możemy do pama znaleźć różne ciekawe wtyczki które pozwalają zrobić takie rzeczy jak na przykład całkowita blokada konta Jeżeli mamy zbyt dużo prób logowania blokada dostępu w określonych godzinach czy w określonych dniach tygodnia Jeżeli jakieś konto jest zużywane przez ludzi którzy logują się między 7:00 A 15:00 to powinno być absolutnie niemożliwe żeby oni się zalogowani poza tym przedziałem czasu i można to wymusić na przykład bibliotekami płowy można wymusić bibliotekami panyi też kilka rzeczy które się pojawią dalej na przykład to żeby dany użytkownik mógł się logować tylko z danego ipik ale na to też sposób pojawi się za chwilę i on będzie już w samym ssh
dobra żeby sensownie cokolwiek zabezpieczyć to trzeba po pierwsze sobie postawić pytanie Jakie są możliwe ścieżki czy rodzaje ataków co zrobiliśmy przed chwilą a po drugie też wymyślić co tak naprawdę jest zestawem pożądanych działań i spróbować pomyśleć czy da się odciąć wszystkie pozostałe i jakby do tego trochę zachęcam Jeżeli kiedykolwiek Czytaliście jakieś tutoriale do konfiguracji Firewall albo konfigurować Może niektórzy z was jakby zarabiają tym na życia to pewnie nie powiem wam nic nowego przy konfiguracji zabezpieczeń zwykle skutecznie jest jeżeli się wdroży podejście które tak nieelegancko nazwę faszystowskim to znaczy nie wolno nic od że nic nie wolno definiuje wyjątki dla dr pi użytkownika dr grupy użytkowników jednego drugiego piątego adresu IP i tym podobne dobra no
to zakładamy okulary do pływania i wskakujemy na głęboką wodę do konfiguracji sshd i zwracam tutaj uwagę że basen kiedyś basen nazywał się sshd config ale w coraz większej ilości systemów można teraz spotkać sshd config KD to jest katalog w tym katalogu są pliki i w tych plikach też są dyrektywy konfiguracyjne i co I rusz się ktoś dziwi że zmienił w sshd configu i po zmianie mu nie działa Czemu mu nie działa bo w sshd config KD jest kolejny plik w którym w którym jest dyrektywa przeciwstawna do tego co się przed momentem ustawiło no i czasami to prowadzi do zupełnie zbędnych frustracji straty czasu Dobra no to zacznijmy od rzeczy najprostszej czy Wszystkie konta które mamy w systemie w ogóle powinny mieć
możliwość logowania się po ssh z dowolnego powodu to znaczy mieć dostęp do powłoki mieć możliwość tworzenia tuneli mieć możliwość kopiowania plików przez sftp ogólnie czy one powinny mieć cokolwiek wspólnego z tą usługą można spróbować odpowiedzieć na to pytanie oczywiście zwykle wyjdzie na to że na pewno nie wszystkie i Jeżeli jesteśmy w stanie tylko wybrać takie o to nie to nie I to też nie to jednym banalnym strzałem możecie odciąć takim konom możliwość zalogowania się po prostu dopisując dyrektywę Den users i tam wrzucając sobie listę k chyba też z tego co pamiętam W każdym razie to jednakowoż jest podejście delikatne to znaczy ogólnie wszystkim wolno ale definiujemy listę tych którzy mają zakaz jeżeli ujecie podejścia odwrotnego czyli
dyrektywy allow users no to ju jest radykalnie to znaczy jak wprowadz users to nikt Kto nie jest na liście users się nie zaloguje dlatego dołem i warto pamięć o tym no bo nie chcemy zwykle zrobić sobie przez przypadek systemu który jest nie administrowal
Zgadzam się i przykłady z grupami też będą Zresztą generalnie wszystko należy dopasować do sytuacji czasami mamy serwer na którym jest 200 użytkowników z pięciu departamentów czasami mamy web serwer na którym tak naprawdę istotne jest to że jest usługa typ AP albo coś jeszcze webowego jest Nie wiem są klucze administratorów na na koncie Ruta albo nie wiem TR konta administratorów którzy się logują imiennie a potem robią Sudo także ale fakt grupy się też bardzo przydają dobra a co z tym tak proszę
dobrze warto wejść i sprawdzić też b będę o tym wspominał dlaczego dlaczego Ja to dodałem dlatego że Zdarzały się w historii pewnie Na niejednej maszynie takie przypadki że jednakowoż taki nie wiem mysql Miał ustawionego SH nie wiem b zsh cokolwiek a potem jakiś użytkownik poszedł sobie na skróty ioro wedł na PR na konto toao na przykład hasło które było umownie nie wiem sześcio znakowe i dostępne w każdym słowniku świata Albo brzmiało mysql 1 to znaczy ja Z niejednego serwera chlep jadłem w życiu i Z niejednego też musiałem potem wymiatać okruchy także lepiej jest mieć o jedno zabezpieczenie za dużo niż o jedno zabezpieczenie za mało Jeśli znasz swój system i wiesz że tutaj to jest
niepotrzebne gdzieś indziej coś innego cię broni super Natomiast ja po prostu chcę tutaj pokazać maksimum możliwości Nie powiedziałem tego ale oczywiście zadawanie pytań W każdym momencie jest jak najbardziej w porządku i ja bardzo chętnie też będę się do nich odnosił dobra wróć bo przecież powiedzieliśmy sobie o tym rucie co z tymem czy to w ogóle powinien mieć możliwość logowania Po ssh okazuje się że istnieje wicej dwa warianty odpowiedzi to znaczy nie tylko tak Albo nie bo jest też trzecia opcja tak ale nie w każdy sposób wszelkiej maści boty które skanują internet i szukają maszyn na których ktoś ustawił konto typu z hasłem typu AB cd12 będą też musiały zgadnąć nazwę użytkownika więc zgadnąć że na linuxowe
maszynie jest czy unixowe jest użytkownik o nazwie ró to jest jakby pierwsza rzecz której warto próbować z punktu widzenia takiego atakującego możemy zdecydować się że nie pozwalamy w ogóle na logowanie Ruta po ssh nigdy w ogóle wcale jednym strzałem takim takim jednym zapisem w configu ale można też zrobić wymuszenie logowania wszystkim innym prócz haseł czyli zazwyczaj sprowadza się to do użycia do użycia kluczy tutaj napisałem without password ale jest też Bodajże chyba wersja prohibit password która robi to
samo Dobra za chwilę będę pokazywał różne przykłady które mają sens Jeżeli zastosujemy je do jakiejś zamkniętej grupy kąt Czy zamkniętej grupy grup czyli nie dla wszystkich ale selektywnie Zajmę na to nie wiem Większość użytkowników może zrobić coś ale niektórzy nie albo odwrotnie także za chwilę się pojawi sporo przykładów które będą wykorzystywały Albo much users albo groups i zwracam tylko uwagę na jeden drobiazg w konfiguracji Open ssh Nie za bardzo jest ładna elegancka metoda jak się rozpoczyna taki blok typu much users żeby go potem jakoś zamknąć natomiast 100% skutecznym sposobem zamknięcia takiego bloku jest otwarcie następnego bloku Match w związku z tym żeby to było w miarę eleganckie w miarę możliwe do zrozumienia i w miarę przewidywalne w
działaniu to najlepiej wszystkie takie Maze wrzucić sobie zbiorczo w jedno miejsce na przykład na sam najlepiej na sam koniec konfiguracji wtedy jest szansa że one się nie Pomieszaj z żadnym innym ustawieniem które miało być ogólne a nie związane na przykład tylko z określoną grupą dobra no to pierwszy ZZ przykład Wyobraźmy sobie że skłony użytkowników do przejścia z uwierzytelnienia hasłami na uwierzytelnianie kluczami ja milcząco zakładam że skoro przyszliście na prezentację ssh to przynajmniej słyszeliście o tym że jest możliwość uwierzytelniania się czymś innym niż hasłem to znaczy generuje sobie parę kluczy publiczny prywatny i ten klucz publiczny wrzucacie na serwer i używacie czegoś takiego jako jako i teraz Wyobraźmy sobie sytuację że postanowiliśmy wdrożyć takie rozwiązanie i udało nam
się przekonać prawie wszystkich użytkowników żeby przeszli na klucze no właśnie prawie wszystkich i teraz chciałoby się wprowadzić generalną blokadę obsługi haseł tylko co zrobić kilkorgiem ludzi kt się im nie da wytłumaczyć co zrobić A no zamknąć ich w takim można powiedzieć malutkim osobnym pudełeczku i oni tam będą mieli niestety niższe standardy bezpieczeństwa ale lepiej wprowadzić jakieś zabezpieczenie i pokryć nim 95 przypadków niż zero i w tym przypadku zrobiłem faktycznie grodon ogródek z takich ludzi to znaczy nie tylko wrzuciłem ich w grupę ale wykorzystałem fakt że oni wszyscy siedzą nie wiem w jednym pokoju w jednym wianie w jednym kawałku sieci VPN ogólnie że widać ich z jednej z jednego subnet więc jak się łączą z tamtego subnet To już niech tam
logują się hasłem Trudno tak ona jest dziwna w tym wypadku to nie jest Oj to nie jest literówka To jest test na spostrzegawczość
zdziwili byście się Jakie rzeczy można spotkać w konfiguracjach na żywych maszynach które się przejmuje po kimś zdziwili byście się też Jakie pytanie ludzie czasami potrafią zadawać na przykład ktoś ma stanowisko pod tytułem główny inżynier w projekcie migracji bardzo dużej aplikacji z branży finansowej poza Polską i przepisujemy sobie reguły Fir ze starej Infrastruktury na nową i on pyta a przy tych adresach IP to tam jak jest po nich napisane to tam jakieś SL 24 pod to jest Ja to chyba mogę pominąć Nie no sorry Nie nie możesz także tak trzeba być niestety spostrzegawczym zwłaszcza w cudzych konfig dobra co dalej jeżeli mieliście do czynienia z jakimkolwiek tak zwanym Legacy to znaczy infrastrukturą która została postawiona lata temu albo infrastrukturą która
funkcjonuje w jakieś konserwatywnej branży to nieraz być może się spotkaliście tam z nadal wykorzystywanym klasycznym starym FTP i być może sami nawet rekowe żeby zastąpić to sftp bo sftp wiadomo jest szyfrowane jest bezpieczniejsze nie ma tylu potencjalnie głupich możliwości wprowadzenia ataku jest dużo bardziej przyjaźniejszy jeśli chodzi o wszelkiego rodzaju Naty i tym podobne rzeczy No dobra to zróbmy s FP zamiast FTP czyli serwer plików tylko zróbmy go w miarę szczelnie to znaczy jeżeli ktoś łączy się do nas po to żeby wysyłać albo pobierać plik to on nie powinien na przykład mieć dostępnych tych wszystkich możliwości tunelowania tak co się dzieje jeżeli nie zwrócimy na to uwagi to może się na przykład skończyć czymś takim jak
ostatnio w maju chyba Cert Polska opublikował taką analizę gdzie się okazało że jakieś urządzenie które było zdecydowanie krytycznej infrastrukturze okazało się że miało wystawione ssh z domyślnymi hasłami jakiegoś urządzenia bodajże jakiegoś przemysłowego modemu 4G i ktoś To wykorzystał i na szczęście jak już wszedł na ten modem to nie poszedł w infrastrukturę którą ten modem udostępniał I bardzo dobrze bo to była infrastruktura związana Bodajże chyba z uzdatnianiem wody tylko wykorzystał możliwość tunelowania ssh żeby strzelać didos w jakieś różne hosty na świecie także mieliśmy dużo szczęścia ale jak ktoś ma mieć możliwość na przykład obsługi plików i używania nas jako serwera plików to on nie powinien Po pierwsze mieć tunelowania po drugie nie powinien mieć powłoki i żeby nie mieć powłoki to można
odciąć to na dwa sposoby o pierwszym już w sumie prawie wspomnieliśmy ale za chwilę pojawi się na slajdzie natomiast drugi macie tutaj jest taki ciekawy feature w konfiguracji serwera ssh jak możliwość wymuszenia polecenia które zostanie wykonane w momencie kiedy użytkownik się zaloguje czyli zamiast jego powłoki odpali się program na tej dyrektywie Force Command tutaj jako parametr mogłaby być ścieżka do jakiegoś pliku wykonywalnego ale jeżeli zamiast ścieżki do pliku wykonywalnego wrzucicie tu zaklęcie internal sftp to s Demon ssh zrozumie życzycie sobie żeby ktoś taki dostał funkcjonalność wysyłania i pobierania plików przez sftp i nic więcej przy czym zwracam uwagę sftp nie scp to są dwie różne rzeczy scp na dodatek jest przestarzałe i co więcej można się spodziewać ponieważ już
zostało oznaczone jako przestarzałe przez samych autorów projektu że prędzej czy później W którejś wersji ssh w ogóle zniknie albo zostanie gdzieś tam bardzo gł już teraz jak macie w miarę nowe systemy i w miarę nowe wersje tego Open ssh to tak naprawdę pisząc scp używacie sftp A jak chcecie naprawdę użyć starego scp to tam trzeba przełącznik do tego scp dołożyć jeżeli macie Nagle problem z użyciem scp z kopiowaniem czegoś na stare urządzenie z nowego systemu to to może być to dobra jeszcze się muszę wytłumaczyć z ostatniej linijki W tym przykładzie można skoro już dajemy komuś konto tylko po to żeby traktował nas jako serwer plików można uciąć mu widoczność drzewa do kawałka w którym są te pliki które go
interesują i tak tam pod spodem jest używany mechanizm chrut przynajmniej na Linuxa i tak zaraz ktoś wstanie i powie ale chrut to jest w ogóle jakiś wynalazek z takich czasów jak najstarsze bagi z prezentacji Małgosi nikt przy zdrowych zmysłach nie powinien używać tego Security I to jest zasadniczo prawda natomiast dlaczego nie dołożyć jeszcze jednego progu utrudniania życia potencjalnemu atakując to raz a dwa Ja nie jestem ekspertem od hakowania i łamania systemów ale czytałem że zwykle jak ktoś chciał wyskoczyć z chrut to potrzebował do tego powłoki A my mu tu powłoki nie dajemy o robi się
zrobi No dobra drugie miejsce w którym można uniemożliwić komuś odpalenie powłoki to jest plik z hasłami dlatego że jako powłokę można komuś ustawić coś co wcale jako powłoka działać nie będzie jeżeli na przykład żyjecie binarki b to to de facto umożliwi zestawienie połączenia po protokole ssh ale na pewno nie umożliwi otwarcia shela dlatego że bint to jest program który jak go Uruchom to zwraca kod WJ z0 czyli sukces i się kończy to nie przyjmuje poleceń więc raczej ich nie wykona niektórzy używają bein fse na przykład żeby blokować całkowicie logowania tutaj nie chcemy używać czegoś co zwraca porażkę czyli bin false albo No login w takim konkretnie przypadku dlatego że one zwracają porażkę więc one blokują
możliwość logowania zupełnie natomiast jze jest też taki program No login On zwykle jest właśnie w binie albo s binie on zwraca jednolinijkowy komunikat błędu typu to konto jest niedostępne jak ustawie komuś właśnie takie sbin no login jako Shella to nawet jakby on się zalogował I chciał normalnie uzyskać Shell No to dostanie komunikat błędu i wylogowanie dobra co dalej mamy możliwość robienia przeróżnych tuneli za pomocą protokołu ssh to znaczy jeżeli klient zestawiając połączenie poprosi o stworzenie takiego tunelu a serwer w swojej konfiguracji Nie ma stosownych blokad czy reguł które to ucinają to na przykład ser może na prośbę klienta nawiązać na świecie i jak przyjdą pakiety powrotne w tym połączeniu to on je wyśle z powrotem
tunelem do klienta czyli de facto to jest taki prostacki VPN albo prostackie Proxy można to w ten sposób wykorzystywać Mało tego istnieje nawet taka możliwość tunelowania W której Klient prosi serwer żeby serwer zaczął nasłuchiwać na wskazanym przez klienta połączenie na taki port to tak samo serwer to co przyszło st tunelu i wyśle do klienta i pytanie ile z was w ogóle jeżeli administruje jakąkolwiek maszyną linuxowy że tam jest taki feer Oczywiście wiadomo Gratulacje ale to nie jest wiedza powszechna i stwierdziłem że warto powiedzieć o tym głośno Oczywiście wiadomo po drodze mogą być Firewall po drodze może być systemowy IP tables czy nft cokolwiek tam jest w danym systemie może być jakiś Firewall sprzętowy który to
butnie ale sam fakt że klient może o coś takiego poprosić jest myślę dostateczną podstawą do tego żeby konfigurując serwer zastanowić się czy należy klientowi dawać takie prawo ja osobiście mam wrażenie że zwykle niekoniecznie Co mamy na slajdzie na slajdzie mamy przykład pod tytułem zabraniam tunelowania w ogóle jednym Jedynym wyjątkiem ten wyjątek wyobraziłem sobie w taki sposób jest sobie infrastruktura dajmy na to firmowa niech by było nawet że na fizycznych serwerach tak po staremu chociaż czemu nie miałoby to stać w jakimś cloudzie W każdym razie na zewnątrz tego wszystkiego nie ma żadnego cudownego wspaniałego pudła VPN za miliony monet tylko jest prosty serwer z linuxem który przyjmuje połączenia na ssh do tego serwera łączy się człowiek
który gdzieś tam siedzi sobie z laptopem i potrzebuje się podłączyć czymś co ma na tym laptopie do usługi bazodanowej która stoi wewnątrz sieci firmowej i teraz co my tutaj zrobiliśmy zrobiliśmy tutaj taką konfigurację w której ten konkretny użytkownik wymieniony z nazwy prawo tun konkretnego hosta na przykład właśnie tego serwera bazodanowego wewnątrz sieci firmowej na jeden konkretny port na przykład nie wiema i tylko on i tylko tam I w drugą stronę też mu nie wolno To znaczy on nie mógłby prosić o tworzenie właśnie tych takich słuchających tuneli w drugą stronę Czyli ogólnie zasada minimum uprawnie kie
Żeby nie było ja ogólnie jestem demokrat ale jak konfiguruję zabezpieczenia to rodzi się we mnie mały faszysta i co więcej w tej jednej sytuacji ja go hołubi i zachęcam do
tego możemy sobie wyobrazić sytuację taką w której to nie jest ruch od użytkownika jed konkretnie bazodanowego Tylko połączenie maszyna maszyna na przykład do tego serwera bazodanowego UPS wracaj do tego serwera bazodanowego potrzebuje się połączyć narzędzie które na przykład ma robić kopi tej bazy Bo jest Nie wiem serwerem backupu albo na przykład wykonuje dumy z produkcji żeby wrzucić je na środowisko testowe i robi to automatycznie co przykład konfiguracji prawie identyczny z jedną różnicą taka trochę nieoczywista dyrektywa Max sessions 0 która powoduje że bez względu na wszystkie inne ustawienia nie da się już zestawić ani połączenia scp ani sftp ani powłoki czyli de facto mamy wyłącznie możliwość tworzenia tuneli nieraz się zdarza że potrzeba by zrobić patrzycie
na hę systemów patrzycie na konfigurację do zrobienia tu by się przydał tunel VPN tylko tak sprzętowego VPN nie ma szans konfigurować jakieś Open VPN albo jakieś Guardy No można by ale w sumie tak ssh już jest klucze powymieniać to moment a w sumie a może nawet już są wymienione to zróbmy po prostu tunel i de facto mamy prosty bo prosty ale skuteczny VPN taki Point a zabezpieczy jeszcze takie klucze na takie OK Toż o tym będzie dobra no to o kluczach tak jak mówię milcząco Założyłem że wiecie że w ogóle istnieje coś takiego No to żeby używać kluczy No to trzeba sobie je najpierw wygenerować czyli Wyobraźmy sobie że jestem klientem który chce się łączyć do
serwera do tej pory robił to hasłem chcę zacząć robić to kluczami więc odpalam ssh h kigen żeby wygenerować sobie klucze tyle że zdecydowanie zachęcam żeby wymusić konkretny algorytm i wymusić konkretną długość klucza Dlaczego Dlatego że nie macie pojęcia póki nie sprawdzicie gdzieś tam jak która to jest wersja Jakie ona ma ustawienia domyślne i tak dalej Jakiej długości klucza i z jakiego algorytmu ona wam wygeneruje a jeżeli już to robicie to najlepiej wykorzystać wiadomo najmocniejsze co jest akurat na konkretnych maszynach do dyspozycji Jeżeli to nie są jakieś archaiczne bardzo stare systemy No to zwykle na przykład Ed 2551 to jest całkiem niezły wybór jeśli chodzi o bezpieczeństwo i wydajność a jeżeli na przykład coś was zmusza do trzymania się
RSA Bo nie wiem na przykład maszyna po drugiej stronie jest stara albo ma Nie wiem blokadę jakiś algorytmów w konfiguracji No to już zróbmy to RSA tylko nie na domyślnej długości bo ta domyślna długość może was zaskoczyć tym że jest jakaś koszmarnie nieadekwatna tylko po prostu wymuś taką która jest powiedzmy w miarę zgodna z aktualnymi standardami cywilizacji i jeszcze jedna kwestia jak generuje klucze wiadomo generowana jest para prywatny publiczny klucz prywatny tudzież plik z kluczem prywatnym należy traktować tak jak hasło zapisane czystym tekstem jeżeli macie wewnętrzny Bunt na myśl że mielibyście otworzyć notatnik wklepać pl tekstem hasło i zapisać je na dysku to powinniście mieć dokładnie taki sam opór przed stworzeniem pliku klucza prywatnego bez
hasła jeżeli wklep tutaj hasło długie i bezpieczne to macie przynajmniej spokój o tyle że nawet jak nie macie szyfrowanego dysku i ten dysk wam ktoś ukradnie albo złapiecie malware który wam wysie wszystkie pliki z dysku No to jest jednak szansa że ktoś tych kluczy nie wykorzysta jeżeli użycie tutaj oczywiście wiadomo długiego hasła w zależności od tego jak nowy albo jak stary jest wasz klient ssh to to szyfrowanie tego samego tego pliku z kluczem prywatnym to jest Bodajże chyba 128 albo 256 Dobra co dalej jak wygeneruje sobie parę kluczy to teraz trzeba wziąć klucz publiczny i wrzucić go na serwer do pliku o nazwie podkreślenie k i on musi leżeć w katalogu nazwie ssh zów ten
katalog jak i ten plik muszą mieć określone uprawnienia i tam jak się ten klucz przegrywa do tego pliku to trzeba przypilnować żeby tam się na przykład łamanie wiersza gdzieś nie wplątał po drodze jak ktoś robi Copy Clay między oknami i Niektórzy zawsze robią to doskonale jeden do jednego po od pierwszego strzała te kombinacje uprawnień mają w małym palcu i wklepuje to w ogóle na ślepo bez zastanowienia i zrobią to dobrze No znam chyba takie osoby a większość ludzi ma z tym trochę więcej problemów więc lepiej po prostu powierzyć to narzędziu które zrobi to za was i zrobi to dobrze narzędzie się nazywa ssh Copy ID Dobra no to tak stworzyłem sobie parę kluczy zabezpieczyłem klucz prywatny
czyli za każdym razem jak używam klucza prywatnego potrzebuję wklepać hasło żeby go odblokować 40 razy dziennie wcześniej wklep hasło do serwera teraz 40 razy dziennie wklepuje hasło do klucza prywatnego nie mam wrażenia większej wygody nie mam wrażenia jakiegoś postępu w technice może gdzieś pod spodem kryptografia działa lepiej sprawniej albo jeszcze coś nie wiem Wiem że palce męczą mi się od wklepywania tak samo Chciałbym przestać żebym mógł przestać Mam bardzo wygodne narzędzie ssh AG cego sobie w t w waszej sesji żeby podać mu raz klucz On sobie ten klucz wczyta spyta was o hasło żebyście sobie mogli żeby ten klucz odbezpieczyć żeby mógł odszyfrować go i jak Odpal sobie agenta to w sesji w której go
odpalili przy czym w sesji rozumianej to znaczy tam gdzie są poustawiane zmienne środowiskowe żeby się odpowiednie narzędzia potem były w stanie do tego agenta dobić wszystkie ssh scp klient sftp jak się okazuje Pewnie jeszcze parę innych narzędzi by się znalazło One wszystkie zamiast prosić was o hasło klucza to jak znajdą agenta to wyciągną z niego to hasło czyli ja muszę podać hasło klucza raz a nie 40 jeżeli pracujecie na Linuxie w środowisku graficznym macie lin desktopa zowa wam tego nie tyle zainstalowało że ono wam odpala tego agenta w tle razem zlem do konfiguracji WiFi regulacji głośności i wszystkimi tymi innymi ikonami które macie gdzieś tam koło zegara że ten agent już tam jest
tak dzięki
i wiecie co jest fascynujące Kolega jak spojrzałem 3 minuty temu wyglądał jakby spał i to są właśnie ludzie od bezpieczeństwa umówmy się siedząc z tamtej strony sali jeszcze kilkadziesiąt minut temu wcale nie wyglądałem lepiej Dobra ale tak prawda tutaj tutaj jest jest jest jest jakiś bałagan z tym także nie zachęcam Boże do ślepego kopiowania tego co tutaj jest tylko do zrozumienia Co robicie okej lecąc dalej jak odpala tego agenta ręcznie jeżeli on się wam nie odpala automatycznie w sesji to on wam wypisze ścieżkę do suketu który sobie otworzył i zmienne środowiskowe które sobie należy ustawić albo można to zrobić przeklej to co on wam wypisze albo właśnie i w sesji w której macie poustawiane te
zmienne środowiskowe wszystkie te aplikacje klienckie do agenta się dobić powinny No i jeszcze ostatnia rzecz po odpaleniu agenta trzeba temu agentowi wczytać klucz czyli jednym poleceniem ssh AD No chyba że macie więcej kluczy to wtedy trzeba pokazać z którego konkretnie pliku tak mniej więcej tak No dobrze a co z resztą świata która siedzi na Windowsie reszta świata Jak najbardziej może korzystać z dobrodziejstw tego mechanizmu Korzystając ze swojego ulubionego klienta ssh Śmiem podejrzewać że to nadal jest puty tyle że tak jak zauważyłem bardzo dużo ludzi ma taki odruch że jak już znajdzie tego magicznego URL ze stroną domową autora to pobiera stamtąd puty i nic więcej To ja zachęcam żeby jednak stamtąd pobrać pełną paczkę instalacyjną
i zainstalować całość dlatego że macie tam parę przydatnych narzędzi oprócz tego że tam jest na przykład konsolowe pscp konsolowe psftp które działają tak jak scp sftp linuxowe linii poleceń to macie też po pierwsze generator kluczy tutaj on się nazywa puty puty ma swój własny format w kórym te klucze jeżeli na klucze wygenerowane gdzieś indziej na maszynie linuxowe to trzeba za pomocą tego puty skonwertować No i jak Mamy klucze to agent też by się przydał bo wiadomo bez agenta zamiast 40 razy wklepywać hasło to 40 razy wklepuje hasło ale do klucza wzy Logika jest taka sama odpala tego SPA czyli agenta wczytuje do niego klucz musicie przy tym podać jego hasło i od tej pory on sobie siedzi w tle a wy jak
odpal py albo psftp albo pscp to za automatu możecie się uwierzytelnić kluczem przetrzymywanym w ramie przez agenta co więcej winscp też umie rozmawiać z PEM Filla też umie rozmawiać z PEM i podejrzewam że jeszcze jakieś in dacie radę znaleźć Jeżeli ktoś całego tego stacku nie lubi i korzystając z faktu że Microsoft dodał To klasyczne Open ssh do Linux do windowsowe linii poleceń to tam chyba też ten Agent jest i chyba nawet można go w taki sam sposób używać dobra Jeżeli chodzi o klucze plik C tyko sam kluc bo zwykle zatrzymujemy się na tym że mamy sobie pl i w pliku dodajemy jeden lub więcej kluczy a tu się okazuje że ten klucz można poprzedzić paroma regułami i te reguły
pozwalają ograniczyć to na co w danym połączeniu ssh serwer pozwoli naam sy weman Co to oznacza że tym kluczem będzie się można uwierzytelnić tylko z tego IP to jest bardzo dobra konfiguracja jeżeli ustawia połączenie maszyna maszyna Tak serwer a ma kopiować pliki z serwera Bobem kronaby co godzina to jeżeli te serwery stoją w wiadomych miejscach i mają stałą adresację to można wprowadzić tutaj taką restrykcji temu nawet jakby ktoś się na tamtą maszynę która klientką która się do nas łączy włamał i by z niej ukradł tam klucz prywatny który pewnie jest przechowywany bez zabezpieczenia bo jest odpalany zaba więc tam się nikt z tego powodu w hasła raczej bawić nie może No jakby nawet ukradł stamtąd klucz to łącząc się skąd
indziej po prostu nie będzie go w stanie skutecznie użyć i jeszcze parę innych restrykcji można od tej strony tej klienckiej wprowadzić co moż można zablokować możliwość tworzenia tuneli wszystkich albo niektórych typów można wprowadzić wymuszone też wymuszone polecenie Czyli jak ktoś się łączy tym konkretnie kluczem to będzie zamiast powłoki miał uruchomione konkretne polecenia Na przykład nie wiem jakieś jakaś aplikacja diagnostyczna która wyrzuca tylko nie wiem informacje i w ten sposób one są przenosz na inną maszynę tutaj Niektórzy też czasami kombinują i wrzucają tutaj binar do serwera sftp to nie jest najzdrowszy sposób i czasami trzeba trochę pokombinować ale też teoretycznie działa tak jest expiry Time czyli można zrobić Klucz który ma datę ważności No dobra tylko to wszystko
jest w katalogu domy k łączymy a jeżeli to jest katalog domowy użytkownika to użytkownik teoretycznie może sobie ten plik modyfikować wedle swojego własnego widzimisie i administrator serwera który któremu zależy na takich zabezpieczeniach może z tego faktu nie być zadowolony No i jeżeli ten administrator postanowi znowu obudzić sobie wewnętrznego faszystę to może skorzystać z czegoś takiego jak atrybut na linuxowy systemie plików większość sumie wszystkie systemy plików to mają atrybut immutable położony na pliku powoduje że tego pliku nie można ani zmodyfikować ani skasować i nikt nie może z nim w ogóle nic zrobić aż do momentu jak ewentualnie administrator ten atrybut zdejmie czyli można zrobić że tak powiem Przylep komuś taką a nie inną konfigurację kluczy i uniemożliwić
mu modyfikację będąc administratorem maszyny
to jest To jest prawda akurat akurat ja tego na slajdach nie mam ale w sumie to jest też bardzo dobra Uwaga jeżeli Robicie już przegląd konfiguracji to wydaje mi się że gdzieś tam można wyciąć obsługę tego pliku aut 2 to jest ty naz że to jest coś na co ktoś może wpaść robiąc kopię zapasową pliku tak nie wiem grzebie w tym pliku z kluczami chc zrobić backup No to co Napisz CP autor Kiss autor k back albo nie wiem autor K aiz K 2 to 2 wydaje się świetnym pomysłem Problem polega na tym że niestety to auto Kis 2 będzie używane jako faktycznie prawidłowa konfiguracja którą ten serwer będzie czytał interpretował i uważał za obowiązującą do
żeby nie przeciągać bo ja wiem jaka jest temperatura to bardzo tylko szybko wspomnę o tym że jest możliwe wprowadzenie uwierzytelnienia wieloskładnikowego jeżeli korzystacie z ssh co więcej jak zacząłem szukać i badać temat to się okazuje że metod jest więcej niż w ogóle się można było spodziewać Tyle tylko że metodę sobie Trzeba dopasować do konkretnej sytuacji na przykład do tego jaki jest na system operacyjny używany przez klientów czy Oni używają windowsów Spy czy Oni używają linuxów czy maców na ile nowa albo stara jest wersja klienta i serwera po obu stronach natomiast ogólnie Jakie są możliwości można stosunkowo bardzo łatwo jeżeli po obu stronach są linuxy używać kluczy u2f czyli na przykład kluczy ubico tych tak zwanych
Kiedyś można było powiedzieć że są ubico niebieskie i ubiki czarne i że te ubiki czarne to one są takie Pro i mają dużo więcej bajerów a te ubico są proste bo mają tylko u2f ubico ostatnio to popsuło bo teraz wszystkie nowe klucze ubico są czarne więc już nie mogę powiedzieć że niebieskie takie a czarne takie ale ogólnie jeżeli macie klucze u2f czyli na przykład właśnie ubico te niebieskie dawne albo jesze proszę Tak i w ogóle jakieś zresztą oni tam szaleją teraz już w ogóle można kupić sobie klucze z czytnikiem palca
wbudowanym mam i sobie nie chwalę firma dała co zrobić dobra idąc dalej Co oprócz macie do tego odpowiedni nośnik używać certyfikatów Open PGP albo certyfikatów pi piv to są dwa różne standardy taki certyfikat się da zapisać na tych bardziej zaawansowanych UB kijach taki certyfikat da się też zapisać na plastikowej karcie z chipem którą kupicie sobie za kwotę grosz przynajmniej w porównaniu z ceną Ubik Więc jeżeli macie jakiś poleasingowy biznesowy laptop albo jeśli w całej firmie są i akurat tak się składa że ktoś nie zwróci uwagi one mają te czytniki Smart to można wykorzystać bo kupienie wagonu takich kart może być tańsze niż kupienie wagonu Z tego co kojarzę to tego typu mechanizmów na przykład używały jakieś
rządowe agendy w USA już dość dawno temu nie wiem czego używają teraz ale faktu że żywy kiedyś wnie szukałem opisu typu jak to zrobić z tymi Smart kartami piv to najlepszy opis jaki znalazłem to był na jakiejś amerykańskiej stronie rządowej to był tamel konfiguracji dla serwerów którejś instytucji tak co jeszcze aplikacje typu authenticator czyli takie które wam generują zależny od czasu sześciocyfrowy kod Jak najbardziej można Jeżeli macie jakąkolwiek Aplikację tego typu to możecie podpiąć moduł pamy za pomocą którego też będziecie mogli w ssh takie takie uwierzytelnienie wykorzystać i wtedy drugim składnikiem jest jest po prostu sześciocyfrowy kod wygenerowany na przykład z waszego telefonu Jeżeli macie w organizacji jakąkolwiek zewnętrzną komercyjną usługę uwierzytelniającą to Spytajcie dostawcę
tej usługi czy dostarcza moduł pam bo jak dostarcza to znaczy że macie prawdopodobnie gotową możliwość icia ssh tak Pozwoliłem sobie na żart adekwatny chyba tylko do poziomu upału to znaczy że tak niby hasło i klucz na raz to jest nie bardzo to nie jest jeżeli hasło i klucz leżą sobie czy są wprowadzane z tego samego urządzenia to niekoniecznie bym nawał to prawdziwym niektórzy robią i tak co im zrobicie ostatnia kwestia która bywa irytująca w pracy z Open ssh to znaczy z ssh ogólnie łączy się po raz pierwszy do maszyny jakiejś do której nie łączyli się nigdy wcześniej i wasz klient jaki by to Klient nie był nie wie co ma myśleć o kluczu którym przedstawia się
serwer No skoro nie wie co ma myśleć to pyta was i czy można robić jakoś mądrzej niż tak że wszyscy zawsze klikają jest nie patrząc co tam naprawdę jest w tych robaczkach albo że te 2 proc ludzi którzy się tym przejmują potrzebuje żeby im ten klucz wysłać mailem Messengerem albo jakimś innym kanałem Komunikacji co też jest umówmy się średnio wygodne jest na przykład taki standard który nazywa się sfp Co to jest to jest standard rekordu DNS w którym możecie opublikować parę adres hosta klucz publiczny ssh Innymi słowy w DNS publikuje taką informację i wasz klient jak łączy się do serwera i stwierdza że widzi klucz jakiś pierwszy raz na oczy i nie wie co z nim
zrobić to może po prostu odpytać o rekord DNS dla tego serwera w sensie o rekord ssh i jeżeli z DNS się dowie że ten serwer powinien mieć taki klucz No to już właśnie się dowiedział że ten klucz jest okej albo nie i nie musi Wam zawracać tym głowy Jaki jest minus tego rozwiązania taki że puty tego nie implementuje Więc jeżeli gdzieś w ekosystemie macie przecięcie z Windowsem to nie macie niestety rozwiązanego problemu Dla porządku tylko zaznaczę DNS tutaj może być traktowany jako bezpieczny mechanizm jedynie wtedy jeżeli macie wdrożone DNS czyli podpisywanie rekordów DNS czyli uważacie że komunikacja z DNS daje wam wiarygodne ni sfałszowane niep podmienione po drodze
odpowiedzi Są dwie możliwości jedna to jest właśnie skopiowanie kluczy wtedy z punktu widzenia użytkowników się nic nie dzieje Nic się nie zmieniło serwer pod tym samym adresem użytkownik się łączy i serwer przedstawia się tak samo czyli zero zmian No Druga możliwość jest taka że po prostu informujecie użytkowników z góry i tutaj już Zwykle trzeba będzie to zrobić dlatego że jeżeli serwer Przepraszam jeżeli łączy się jakąś aplikacją klien po raz pierwszy to ona mówi serwer przedstawił się tak i ja nie wiem co o tym myśleć A ty co Uważasz Natomiast jeżeli klient już raz zapamiętał ten klucz a nagle się pod tym samym adresem pojawia nowy to tam już są z czerwonym wykrzyknikiem na terminalu one są ks lockiem pisane i tam jest
jakaś taka straszna ramka z z gwiazdek i tam jest napisane że właśnie jesteś under Attack być może i lepiej się dobrze sprawdź co się dzieje i w ogóle na przykład linuxowy nie pamiętam co robi puty ale linuxowy Klient w ogóle nie nawiąże tego połączenia i zmusi użytkownika żeby tam jednak wywalił ten stary klucz z bazy Co to oznacza To oznacza że będą Tickety telefony do administratora tam zgłoszenia serwisowe i ogólnie będzie bałagan więc już lepiej jak będę stawiał ten nowy serwer to jak on już będzie postawiony to ja najpierw sprawdzę te nowe klucze i zanim zrobię przepięcie wtyczek to wyślę maile że tak serwer jest wymieniany będą nowe klucze będą takie i będziesz będziesz niestety
musiał musiała sobie tam na przykład w kliencie podmienić albo nie wiem wyświetli ci się taki warning i tu będą takie robaczki tu takie robaczki i to jest okej I to jest okej tylko dlatego że ja cię uprzedzam że to jest okej i ssfp jest całkiem nie głupim rozwiązaniem Jeżeli mamy tych serwerów 15 Jeżeli mamy tych serwerów 15000 Bo jesteśmy nie wiem netflixem Facebookiem albo czymś tej skali albo chcemy tym czymś być za pół roku to ja tylko sygnalizuje że można wprowadzić tak naprawdę cały pełny model pki w uwierzytelnianiu ssh to znaczy macie główny można powiedzieć Centrum certyfikacji certificate Authority wewnętrzne organizacji które wystawia certyfikaty dla serwerów i wystawia certyfikaty dla klientów i dajecie klientom certyfikaty do logowania
serwerom certyfikaty do przedstawiania się no i konfiguruje oczywiście całą flotę wewnętrznie żeby ufała waszemu wewnętrznemu ca i wtedy to uwierzytelnienie serwerów już prawie zupełnie wygląda jak wygląda prawie zupełnie jak utrzymanie tlsa wewnątrz dużej organizacji ale jak się ma tych serwerów całą farmę a szczególnie jeszcze jak się ma dynamiczne środowisko bo są nie wiem serwery na przykład tworzone i niszczone w odpowiedzi na wzrost albo spadek obciążenia albo na przykład są generowane maszyny tylko po to żeby żyły 5 godzin i jakiś test się na nich przemielić c i CD to No wydaje mi się że już już już wtedy chyba inaczej się nie da Ja stwierdziłem że nie będę was dzisiaj męczył zwłaszcza w tym upale i zwłaszcza
o tej porze kryptografii i nazwami algorytmów i tymi długimi ciągami Gdzie jest tam c 20 po 1305 sh256 Ja nie jestem w to dobry a nawet jakbym był w to dobry to to wam nie zostanie w głowach przy tej temperaturze więc rzucam tylko nazwami dwóch programów które możecie sobie zainstalować lokalnie i dwóch narzędzi które po prostu są stronami webowym i za pomocą tych narzędzi Wy możecie wskazać swój serwer i te narzędzia się do waszego serwera połączą przelecą przez oferowane przez wasz serwer protokoły szyfrowania i wam powiedzą czy nie macie tam jakiegoś babola i bałaganu czyli na przykład czy nie oferujecie całemu światu szyfrowania RSA 1024 albo jakichś algorytmów których bezpieczeństwo bazuje na sz1 albo jeszcze
jakiegoś innego czegoś co wstyd pokazywać światu w 2024 roku czy wszyscy wiedzą że był krytyczny Bubble ssh i że trzeba natychmiast załatać ssh jeśli się ma je na jakiekolwiek maszynie ja mam nadzieję że tak być może nie wszyscy wiedzą Jeśli mają Red Hat 9 albo jakiś system budowany na bazie Red 9 typu Alm albo Rocki że tam się wplątała jeszcze druga podatność w momencie łatania tej pierwszej w związku z czym nawet jak macie załat to regr to być może potrzebujecie jescze łaty na łatę także sprawdźcie czy J wam czy tam dnf nie nie podpowiada jakichś dostępnych aktualizacji natomiast tak pojawiła się taka podatność Tak ona nie wygląda dobrze nie wyeksploatowanie jej nie jest banalne i nie zajmuje dwóch
sekund ale jest teoretycznie możliwe w skończonym czasie więc jak świecie portem 22 na publiczną sieć to lepiej sobie te łaty zainstalować albo przynajmniej skorzystać z workaround jest workaround w postaci zmiany pewnego parametru w konfiguracji ale niestety jego użycia zaciąga z kolei obniżenie odporności na taki typu didos więc ja go tutaj też nie publikował ale jak ktoś potrzebuje to dotrze do tej informacji Szukając chociażby po samym identyfikatorze CV albo po tym magicznym haśle Regression Po pierwsze to ja wam składam przeogromne wyrazy szacunku że walm się nadal chciało tu siedzieć a po drugie Zapraszam do zadawania
pytań tak jeżeli mówimy o tym o czym mówiłem na samym końcu Czyli o tym modelu pełnym z pełnym CA pki działa To mniej więcej tak samo jakby działało jakbyś skonfigurował serwery webowe
rozumiem cfik [Muzyka] [Muzyka]
pys Ja odpowiem tylko tyle że mnie się wydaje że chyba jednak tak ale absolutnie nie będę kładł głowy pod T
odpowiedź bo
można taki kluczyk który służy do konkretnego serwera konkretnej
to znaczy to jest skomplikowane dlatego że de facto to wymaga utrzymania pełnego certificate Authority to się opłaca tylko jak jesteś wielką organizacją na tyle że po pierwsze masz duże wymagania dotyczące bezpieczeństwa a po drugie masz środki w postaci ludzi czasu pieniędzy i tak dalej żeby faktycznie mieć u siebie wewnętrzne certificat Authority żeby wydawać ludziom te klucze żeby obsługiwać sam fakt że że ci ludzie tych kluczy używają żeby kupować wszystkim laptopy z czytnikiem kart i tak dalej i tym podobne bo zwykle nośnikiem takiego klucza Jest jest właśnie karta inteligentna chociaż teraz może nim być też jakiś token na USB typu właśnie ubiki
Nieć nie wiem czy to jest to tak jak mówię ponieważ ja nie miałem akurat do czynienia z taką infrastrukturą Osobiście tyle tylko że gdzieś tam na przykład rozmawiałem z ludźmi którzy Otarli się gdzieś tam o o tego typu organizacje to sygnalizuje że można zresztą nie pamiętam Chyba Netflix albo Netflix albo albo Facebook to jak oni to mają u siebie zrobione jest w jakimś artykule na na necie pamiętam że właśnie trafiłem parę miesięcy temu na naprawdę taki bardzo rozbudowany artykuł tylko Właśnie nie pamiętam czy to był Netflix czy to był Facebook Ale to jest to jest tak artykuł z cyklu jak oni ogarniają uwierzytelnienie w ssh i te klucze ssh protip nie używają kluczy ssh w ogóle bo
używają certyfikatów I tam był bardzo szczegółowo opisany cały mechanizm włącznie z wycinkami z konfiguracji i wydaje mi się że tam już widziałem Te magiczne stringi x509 Co oczywiście nic nie znaczy więc ść że to może by x dy samego certyfikatu na karcie użytkownika do linuxów do windowsów i do nie wiadomo czego jeszcze wszystkiego co rozumie x509 a tego jest całkiem sporo i podejrzewam że właśnie dlatego tego typu możliwości tam Tam są i niewykluczone że jakby poskrobko implementację tego i finansował ją ja mogę powiedzieć a propos sskp testowałem o ile po stronie linowej wszystko fajnie chodzi oczywiście jest wymagany na całej ścieżce J trudniejsze do utrzymania Natomiast jeśli korzystasz z klienta po stronie windowsowe która używa
resolver to nie zawsze nie zawsze forwarduje klienta ssh No i niestety w takich przypadkach jak wszystko po stronie serwerow jest dobrze ustawione czyli czyli nawet Jak na Windowsie jest maszyna wirtualna z linuxem to dalej jest popsuta na przy No tak Czyli tak ja też mam bardzo delikatnie mówiąc ambiwalentny stosunek do rozwiązań Microsoft mo wirtualne bezpośred Co jest często sprzeczne z polityką bezpieczeń co Nawet powiedziałeś to bardzo delikatnie ja już miałem na końcu języka zdanie w typu co bardzo dużo mówi o ludziach od bezpieczeństwa w twojej organizacji aczkolwiek to wiadomo że jest dość ekstremalne zdanie bo inaczej to wygląda w korporacji która ma 400 oddziałów na świecie a inaczej w firmie na 15 osób która się składa z jednego
biura jednej fabryki ale mimo wszystko jeś twoim celem jest bezpieczeństwo czy chcesz skonfigurować żeby klucze zarządzać zmieniasz tegoz po stronie klienckiej na nie do końca zaufany jakiś publiczny żeby obejść nie jest takie roz nagrywanie zapy tak nią metodą inji
Ale z drugiej strony też jest całkiem czasami niezłą metodą prostego monitoringu bezpieczeństwa i zauważenia że nagle coś nam stuka do jakiegoś
C2 prawda wszystko zależy od tego z której strony się siedzi dobra czy macie jeszcze jakieś pytania Okej to ja bardzo serdecznie dziękuję slajdy są już na na stronie z agend są też na discordzie także jeżeli ktoś by chciał to rozdoba to to to to już ma pełne możliwości dzięki serdeczne i do zobaczenia
Related talks
43:55
57:24
1:01:16
44:08
29:57
1:08:51