tam je nad nimi snaží snadný je to tam že neví
čímž přitom celebritu síť ale buně a v
sonet internetu je prostě plný nul že
a
je fakt že pučil chceme být shiller chráněný tady musim misie měl na bezpečnost tom
fyzickou jsme dělali vtom kybernetického
no a
a to zabezpečit symbol svoje webové aplikaci pro tím unk režim hrozbám
tak to nám prosím úvěr matouš krypta a zaklade zakladatel společností než hides to nás
zasnoubená vývoj russian liší webových a moduly aplikací
matušku třeba
jedna dva
asi je teda slyšet což s
a možná mě vorek je
takže nazdar lidi sem rád že se tolik z vás zajímalo bezpečno tepe úžasné
a
von no floor jakoby dělá taky dobrý nástroje pro bezpečnost pro monitorování provozu soše souvisí
s bezpečností ale super je super například vyjeli self korporaci začne šířit nějaký dvě
cože strašně zajímavý takle se to projeví na tý síťový vestoje kde třeba v tom
formanů díky tomu von to zjistíte a zastavíte to
a je neskutečně těžkých korporaci kráva několik stovek lidí říct všem aby přestali otevírat maily
jo
ale t jedna
tady vlastně není tady tadle přednáška bude o aplikační bezpečnosti které se teda bezpečnost se
jakoby může rozdělit na tu síťovou aplikační
kde ta síťové třeba ten von jsou to nějaký fakt nedupal nicí zkruty nastavený konfigurace
těch routerů aktualizace routerů spousta věcí kolem toho do s útoky taky velké téma
ale my budeme řešit aplikační tu kterou ovlivní programátor vývojář kerý to aplikací vyrábí takže
takže takhle jo
a dyž se řekne ta bezpečnost
tak si někteří vývojáře jako řeknou dobrý to se mně netýká jsem programátor ale my
tady ve řeší právě tu která se to programátora týká
troška s teorie je to asi jediná věta kterou tady řeknu s teorie je že
ta bezpečnost l se skládá jakoby z důvěrností dostupnosti a integrity
kdy
tady tohle je asi strašně dobrý když vyvinete jakou aplikaci a jako nějak vás napadne
je to bezpečný tak se na to kouknout tady těchto třech hledisek
jo
to znamená důvěrnost jsou ty data nějakým způsobem prostě za ta jenny nikdo se nedostane
k těm datům které by měl integrita je zajištěný to že mi ty data někdo
nějak nezmění
a tak dál a poslední tady máme tu dostupnost a to je z hlediska byznysu
a spouštění produktu na globální úrovni strašně důležitý
a kolikrát to nesouvisí ani s tím že by někdo chtěl tu aplikaci vyloženě zniči
ale máte větší trefíme ste očekávali taková ta klasika když je nějak
prostě stavíte ten produkt r přijde za klienta řekne
dobrý a dokoupit nějaký železo jaký server mám koupit jo a vy víte úplný pert
jaký tam bude traffic tak řeknete něco prostě mu řeknete vám to koupi a pak
prostě na to udělá ocas prostě
kampaň jako prase
a při je tam takový trefíte že to prostě
položí jako ten server takže ale ta dostupnost je součást bezpečnosti
a klasických praxi využívá se proto to nějaký klaudy prostě amazon a tak dále kde
jenom
teda pohnete tím progress barem že chcete více výpočetních prostředků
je to sice asi jako by mi ze čtyři krát dražší ale
je to asi byste doporučil když není dopředu znám i traffic
dobrý
a teď tá zásadní otázka
jestli vůbec řešit bezpečnost jo
protože vy často se těch společnostech a u toho vývoje není část řešit bezpečnost separátně
tuto otázku bezpečnosti řešit a teď otázka jako řešit to vůbec
co je blbý je že ví o podařené mu toku se můžete dozvědět až za
několik let typicky když je vykradená jak a databáze hesel tak se to prostě provalí
do internetu třeba za tři roky jo mezitím někdo firmy účty a údaji uživatelů prostě
pracuje a vy o tom ani nemusíte vědět
takže pokuď vy provoze té nějakou aplikaci tak už dávno může být napadená a vykradená
a vy o tom prostě nevíte na někde na týdne se to dostane prostě za
čtyři roky
no a další docela blbá věc je že je někdo může dlouhodobě zneužívat tu aplikaci
například jsme se setkali s informační systém prostě
nějaký pokladní systém
a který je který jako kdyby se tam registruje té podívané nějaký pokladny máte tam
přístup do nějakýho backend u
no a tak bylo to závažným i bezpečnostními chybami ve výsledku kterých vy můžeté vidět
veškeré tržby o konkurence
jo a těch í to prostě neví a jen to úplně jedno a
prostě ale ten systém takový je jo
takže a teď otázka jestli se ste s tím houkej nebo s tím oukej prostě
nejste
to je otázka na ten menenžment samozřejmě
no a
kolikrát se řekne jako žádné že není tady ba že ciras bezpečnosti ale tak
asi to není úplně nejlepší
no a teď že a teď jak máme zkušenosti mi e s těmi vývojáři krizí
vlastně třídou třeba k nám letech nic
a jakým způsobem se uchází o pozici vývojáře
dávají nějaký úkol testovací kde implementuju jakou velmi jednoduchou webovou aplikaci a je zajímavé vidět
ty rozdíly a to jak někdy ten vývojář příde prostě směrovou aplikací
strašně blbý je když přijde vývojář postaví na koleně prostě nějakou tu a prvků
a prostě má tam zavedený třeba haskell níže všem jo
řekli že z toho že prostě dnešní době asi by se tohle nemělo dít ale
prostě tím víc těch univerzit vycházejí takto naučení nebo respektive ne naučení
a vytváří aplikace s takovými chybami
vy když vlastně děláte na ničem strašně zajímavém třeba stavíte nějaký produkt a hodně vás
to baví vidíte nějakou aplikaci
a potom se pustí do světa a nějaký podrobených rekr vám to prostě zruší tak
máte po práci a prostě je to škoda
takže
doporučit používat hlavně frymburk ještě se k tomu dostaneme
není
další věc
nestavte ty věci moc na koleně jo když dáte nějakou aplikaci koukněte se co prostě
už existuje a použijte to co existuje protože
ty freiburg jako takové řeší spoustu věcí za vás pracují není desítky lidí a tak
dále a právě i tady tu bezpečnost nějaký jsem se jí zabývají vy když ten
frame použijete a použijete ho podle manuálu nezačne toho b ohýbat na té technologie prostě
rozumíte
tak najednou máte vyřešeno spoustu nějakých bezpečnostních otázek
jak se změnil s prohlížečem dneska pokud prostě použijete nějakou doktrínu použijete to tak jak
máte tak ste suchu
jo ta doktrína of prostě někde pozadí používá nějaké rozdělení těch type příkazní logiky jo
s těch dat
už a nějaký parametrizovaný dotaz to znamená že s principu tam není možný dostat nějakou
injekci mně to vubec nezajímá použil doktrinu tak je mám a sem prostě v suchu
jo
to je ten rozdíl mezi tím kdo začne od nuly psát a p skrytého prostě
takovýto
ale i takový prostě jsou a letní neznamená to že ti lidi nejsou použitelný nějaký
potenciál mají jen se to prostě musí doučit
holky
dále vy když používáte nějakou technologii tak vždycky si musíte být tou technologií stínů
ní my sme třeba řešili a velmi častý problém je třeba scho autem
a ty nějaký protokol který je na internetu strašně populární takovýto
že se přes google přihlásíte vpodstatě do jakýkoliv prostě a ty
a je to strašně souprav je ale když tady todle implementujete tak si dávejte veliký
hubách abyste tomu rozuměli jo nechoďte podle jenom tutoriál tady prostě ven tři řádky kontrol
c kontrola tady čtyři ta tiráž tam ty dáš tam a prostě jak to funguje
dobrý půl dál
a
je dobrý aby zrovna tady todle prostě nějaká základní bezpečnost kerou vy tomu ste rozměr
a opravdu si ten protokol dostudujete a platí to prostě úplně o všem zvlášť když
se týká té bezpečnosti
a
například vy když implementujete jako ukládání hesel
tak
tak taky super použít nějakou knihu vy když í nepoužijete a nepoužijete ji správně tak
to prostě je na prd nejčastější chyba je prostě v databázi uložených plane textu prostě
heslo
na
prostě se na těsně t
sranda třeba je že nám statek stalo nedávno tak jak my víme že to nemá
být a tak dále tak díváš to prostě tak udělal normálně prostě se díváme tam
do ty databáze ty jo tady admin jako počtu tam je prostě normálně jako napsaný
a jako vývoj a říká no já jsem se k tomu prostě chtěl vrátit já
vím že to tak je
jo jako tak taky blbost prostě jo tady tyhle věci se nesmí nechat rozdělaný teti
věci musí být prostě dotažený od startu že pak se na to zapomene
no
další věc kterou bych doporučil strašně moc v jako vývojáři byste měli doporučit aktualizace jo
aktualizace té prostě playing
a
například takový strašně oblíbenýho press
a já jsem se muset krav praxi z mnoha případy kdy lidi řekli ne já
nechci word process pro že to se formu si aktualizovat mi to furt máme útoky
po praze strašně rozšířený cena za nástroj ke rychlost těch se každý
a vy když děláte nějaký velký prostě webový systém synu page up i caching dryák
tak pak za vás tam příde nějaká prostě slečna z marketingu
a řekne
kterou já jsem si na ty hlavní stránce prostě změnit obrázek změnit bloky změnit jejich
velikost
a máte problém protože c m eskou horák tu jako ještě moc jako na výběr
není o co použít
takže může toto začít programová dále než naprogramujete quarters traktu tak vám to potrvá víc
než že ten deadline takže nakonec tam stejně fik n t na nějakou lendy který
čte dva r sadě spokojená prostě ta marketingová tato si tam prostě bude měnit kontent
a kdo uživatelskou sekci vypracujete sto burák tu kdybyste uživatel vlastně přihlásí tak má tam
pěknou
prostě mapu kraje sličná interaktivní a tak dál
na nicméně stejně na tom projektu jako takové vznikne ten hnusný word press
a problém je že je to velmi rozšířený nástroj tudíž sobě rozšíření roboti
a vy když někde nasadíte prostě nějaký systém tak když uvidíte chtěl loga ty přístupy
tak prostě je to je neuvěřitelné vy prostě spustíte server a najednou tam prostě běhá
spoustu by já prostě spoustu toho že jo traffic u
a co je zajímavý tak vám pokuď zjistí že existuje nějaký lomeno proto pomlčka admin
což je přihlášení dat myspace v okresu tak uženou takový ty automatizovaly útoky návod press
jo cože na prd tudíž v jako vývojáři nutný prostě upozornit použil jsem tady word
r s
naplánujeme tady co tři měsíce aktualizaci
kdy je to téma aktualizaci je dost jako by ožehavé téma
kdy vývojáři kteří jsou zodpovědní by chtěli aktualizovat aspoň měsíc co měsíc samozřejmě ten menežmentu
nechce tak se do toho za provrtám přesto může rozbít o sestává
zdroje to stojí prachy takže jako co tři měsíce ale mělo by se to protože
si máte stadiu pro střela dva roky a jakýkoliv jiný systém tak se můžete stát
prostě obětí toho útoku a na druhý den to můžete mít stránku něčem úplně jiném
to je tady toto
co bych podstatě chtěl rázný se tady bavíme o aplikační nebezpečnosti tak je o vás
projekt
jaká je ta zkratka to sem kdysi věděl ale pštrosi nevím
nějaký asi open v
a není to a s p to určitě ne
a
application se kvality pro jack asi jo
a teď ten prvek se zabývá právě tu bezpečností tou aplikační bezpečnosti
a
se strašně super ještě on definuje
to deset kategorií neztratím ní vnějších je věcí co můžete udělat a vy když si
tady tohle prostě projdete a přečtete
tak se vyvarujete spousta chyb jo jako že vás to naučí vás to prostě spoustu
věcí co ste nevěděli
mají to docela pěkně popsaný každý z vás nebo tuším co je to třeba i
ze z možná to slyšel ale každý by měl vědět jak ten docela probíhá nebo
to ať o tom ví že ta jeho aplikace nějakým způsobem vůči tomu odolná
typická ukázka je že všichni z vás viděli někde nějaký co se de facto ten
ale už málo lidí ví jak vlastně vypadá ten vektor útoku a proti čemu se
brání a to že někde jenom vzít f konfigura k ú zapnout se surfovat hranu
třeba nemusí znamená že to bude pokrytou pro všechny ty případy
pokud někoho tedy zajímat a bezpečnost se posunout v oblasti té bezpečnosti
běžte vykvete si prostě ten o vás
dejte tomu dvě hoďky nuceného čtení a budete prostě chytří hodně vás to posune
my máme celkem í málo času to znamená to zkusím trošku ještě urychlit
další věc která souvisí s bezpečností měli byste jen ani jako vývojáři
upozornit není nutné abych jako vývojáři dělal ale nutný aby není upozornila a to sou
zálohy tam je klasika jak často zálohovat a součást tvoření zálohově vyzkoušet jestli ty zálohy
fungují jo je na prd když vy prostě pět let zálohuje t
je tam spuštěné jak automatizace pak se to sbor tích přijdete o data a jo
já vám zálohy a přijdete a zjistíte že sto zalova long a protože tam třeba
přestal fungovat deskripce drog
takže je nutný a je jednak jako pravidelně aktualizovat a jednak pravidelně verifikovat zalovit taky
častá chyba
ještě v rychlosti b zmínil co dělá s tím když pracujete s aplikaci kraje velká
děravá to je taky častá chyba není potom jednoduché celou tu aplikaci vzít jako takovou
a prostě ji přepsat tady toto to je jako by docela těžká otázka co s
tím
a praxi se to řeší takže to takový systém který má takový ba že ty
takže koupit třeba za dva milióny nějaký aplikační first nějaký aplikační prostě firewall
a ten nový
ten umí nahrát legální provoz tudíž by během toho on se učí aby jen to
učení se musíte modrý dat neproběhne nějakým to
ale když máte štěstí
tak potom ho zapnete prostě do blokovacího modu a push filtruje
ten řádný prostě provoz tím že když někdo tam háže nějaké injekce tak z zastaví
ten
aplikační from tvorky když ta aplikace by to prostě pustila
to je takový typ kdybyste se s tím náhodou někdy setkali
protože přepisovat obrovskou aplikaci zprava to deskový žačnu to prostě není prakticky možné to se
může třeba jako zahodit a na co znovu
dobrý a asi úplně poslední věc kterou bych chtěl zmínit
vy když vytvořit aplikaci tak ohledně bezpečnosti si nikdy nemůžete být jistý
na sto procent není bezpečné stejně nikdy jisté jedno ale
ale pokuď sice t vyčistíte vždycky musí provádět o kontrolu někdo jiný než ten do
to vyráběl pro nějaký profesionální slepotě
za tímto účelem existuje možnost vytvoření nějakých penetrací testu
jsou na to speciální firmy nechte fajn sto taky umíme
a kde je pro vývojáře docela zajímavý ten průběh a to plánování kdyby musíte upozornit
na to že pokuď chcete provést m p netrestní té ste takový audit té bezpečnosti
aplikace
tak to bude mít velký vliv na harmonogram toho projektu
protože často se najdou chyby a je nutný vyhradí potom části pro ty opravy a
tak dál
jak ten test probíhá tady mám ještě v rychlosti nějakým způsobem poznačený
vy vpodstatě jako vývojáři co vás jako zajímá je
vy budete poskytovat součinnosti musíte připravit nějaké testovací prostředí pro type nepraští testy protože
pane trešní to znamená že vám tam na tu aplikaci útočí takže to musí být
separátní instance s testovacími daty
teda sekerou počítáte že se položí a prostě nevisí na tom nějaké další testování ú
té si ty a tak dále
dále
dále po probíhá potom nějaká ta realizace tam ste sochu ale pak přijde zpráva kde
prostě máte ty chyby a tak dál to znamená že vy prostě podle nějakýho a
třeba i toho o vás pouto opravujete
ten vás když vám někdo řekne že máte prostě v aplikaci nějaký typ chyby dete
na o vás vlivu velíte si tam chyba co serif co proti tomu můžu dělat
a tam vám to prostě nějakým co se mu píšou
dobrý
poslední věc kterou bych asi chtěl říct je
zdůraznit to sem tady zmínil už na začátku
abyste používali f morky a ne nevy nevybočil a listě frymburk u dokud ne jako
nevíte vyloženě co děláte
a když implementujete cokoliv co je spojené s bezpečností autorizace hesla a tak dále tak
si vždycky buďte jisti co děláte to sou tady tydle doporučení a třetí asi poslední
pokrývá ste bezpečno zajímá chcete se posunout jen na té vývojářské úrovni
běžte na ten ho vás a tam nějakým způsobem tom dejte dvě hoďky a
budete h pět dva grepy dobrý
možné si negativita zesilovače asi
jo logování je strašně fájn zapadá to do ty integrity míčové jakoby zjistí že jakoby
zjisti kdy a jak ten jak r je tu změnu udělal
jo jako že logování je takový a ne je to spíš jako prevence a možná
kvůli nějakých potom forenzní r t analýze že a zjistím stihlo tou jak to probíhalo
kde třeba tu chybu nám ale když se musím podívat do logu tak občas bývá
docela pozdě jo
ale samozřejmě loby doporučujeme pokud nějakým způsobem máte nějaký akce které jsou citliví tak určitě
zalogovat jasný
a na druhou stranu ní často se setkáváme s tím že do těch bloků jsou
zaneseny bezpečnostní chyby protože
to je docela vtipný prže jak uděláte logy loguje té alokujete celé nejlíp celé požadavky
které vám chodí do aplikace a jak se na lodi díváte no administraci prostě necháte
admin to vypsat plyn textu
jeho ze startu takle stačí
jenže prostě průser je že ten rekr teda tím pádem co tam podvrhne to vidí
admin takže mu tam pozorné druhý přihlašovací formátu administraci a máte slova domina takže tam
na bezpečnosti nulovou jako taky bacha je to hezká bez ale
dobrý ještě jeden slouží tady za tebou máš dotazy který plný počet libře tančíte že
můžeš zhora dole
o to jo dehtu
náš produkčních závislostech je to nutné se takle zadat
do na
jo
jo
a ale další otázky sou jako že asi jako by toto
jo a byla ta dobrá otázka teda brother
jo kantýně z integration jo té dobrá sranda protože opravdu konci musíte když měnový přístrojů
vývoj kdy předtím se dělali vlastně nějaké rysy a mohl se do za harmonogramu zařadit
prostě bezpečnostní test
kdysi byli rysy a pak byl jak se mu nějakým z reakce ten ste stará
systém integration testy prostě jo tady tohle
není
pokud máme coding s integration
doporučil bych testy naplánovat také na jednotlivé funkcionality a vždycky je potřeba rozhodnout jestli ta
funkce je ta nějakým způsobem může něco úplně
jako jestli v rámci v rámci kontinuálního vývoje se tam někam přidá obrázek tak asi
ne třeba zvažovat nějaký a toto jo jako že generační test ale pokud se dívalo
třeba z nějakým z nějakým bezpečnostním schematem třás přihlašování vaše
zavádění strašně populární že ve této oknu
tak tohle by měl podléhat temní p netlačím testu
a vy můžete říct o tom pene troši test rovina co se může zaměřit jo
takže asi to je taková nějaká odpověď
ve výsledku
se kódy ty testem se vypořádají tak úplně stejně jak z jinými typy testu
jo to je ta odpověď to znamená dříve byly prostě ty lze tak tepen z
na celý release dneska sou na jednotlivé bloky
jo takže můžete mi pane trešní té z na jednotlivé etikety klidně
no měla zopakuju dotazovém snad vybočuje že je čítač bezpečností sem naceňovali c t jednotlivých
projektu a sama naceňovali tahu čím vůbec navíc účasti rouge toho projektu
to je super otázka o spojení hoši a
s principu věci kde je to p nedržíte stre to je vývojář který zná prostě
všechny hlediska vývoje a zároveň znát o bezpečnost to znamená že s principu věci se
jedná o třeba dvakrát dalšího člověka jo cože blbý
takže to dražší
spíš je ta otázka potom kolik vyhradí té toho časového prostoru a tak dál mi
obecně říkáme hele podívej se tady ta a která se prostě dělá tři měsíce všichni
na tom tady na tom pracoval třea desetičlenný tým
a ty po mě chceš abych tady prostě za týden jeden člověk zhodnotil nejdřív se
musí naučit tu aplikaci všechny ty procesy nějaké co sem střeva
a ještě má na závěr si to teda je bezpečný nebo ne
jo takže my říkáme dejte tomu aspoň prostě třetinu jo ať tak pokryje a bude
se soustředí na podle obrázku kategorizaci top ten
a třeba to stihneme jo výsledkem toho netratil pestré testu může být že třeba se
nestihl zaměřit na nějaký ano nějaký oblastí z důvodu nedostatku alokovaných kapacit
a můžou se prostě dokoupí další a tak dál
ale je asi k tomu plánování bych doporučoval aspoň třicet procent to
nebo ne poslednou task
jak odrážet nejlépe celou toky produktu tiráků
útoky rošťáků i nákladů na resp
jo to je taková docela dost keys a protože
a protože každá bankovní aplikace na otisk jako přístupná otisk prstu
jen ta naše ne poďme to tam přidat jo ale co jako bezpeč
problém za tiskem prostoje že vám ho ukradnu kdykoliv jo jako necháte na screen c
a tak dál borci tady slitu měli
nějakou ukázku toho jak to normálně potom nalepí na gumový ho medvídka a tím gumový
medvídkem prostě odemknou nějaký hloupější senzory jo
nějaký týpek mi tam říká že mi odemkne hajan von nejsme na to část ale
mohl bitový zajímavý každopádně co je důležitý je že vy ten si o těch z
nezměníte jakmile vám někdo zkompromituje heslo tak si ho změnit ste suchu jenže když vám
někdo ukradne otisk prstu tak prostě řezat nebudete
no a to je jako argument vašeho vede toho bezpeč karel takže zavádíme tady přístup
a my ten uživatel lednovému někdo zkompromituje prostě ten jeho prst tak bude mít kdokoliv
přístup do té jeho matky a produkt jak říká do dobře ale všechny banky to
tady mají jako jo
takže
jasně je to těžký si jako někdo kdo se stará o bezpečnost bychom se bavili
vyloženě hoppe netrefím pestro vy tak vydáváte pouze rizika jo vyhodnotit rizika a dáte je
tady takové riziko je to riziko kritické střední nízké jako správně bezpečáci kateřínský kritické
ten vlastně ten penetrací pestré sedí na úrovni toho produkt nějaká a na denním je
nějaký šest a když je to velký problém tak je to prostě nějaký sílou jaký
prostě ředitel a ten musí s akceptovat riziko jo a vy jako bezpeč k máte
právo veta spuštění projektu
s pět se bavíme o nastavení toho těch procesů
máte
právo veta na spuštění projektu vy řeknete ne za mně to není bezpečné protože tady
kriticky problém
takže produkt jak a zastavíte ale ředitel prostě někdo narvaná řekne já sem tohle akceptovat
a ve správně nastavených procesech je potom toto zápisu nějaký nějakýho třeba jednání nebo něčeho
takovýho
kde
když se vám o bezpečnosti kde se to že peníze tak tam ústupovou prostě lépe
regulátoři je jako národní banka a tak dál
kde potom
když se stane průser tak vy jako bezpeč
ukážete tady na tomhle jednání se toto riziko akceptoval o
de to na hlavu tady představenstva jo a takže to není boj mezi penetrací testem
a produkt jak dává argumenty proč to zavést protože to ušní mají a je to
cool vydávat argumenty proč
tome zavést a rozhoduje o tom rozhoduje o tom někdo bude nad váma
a je dobrý potom s tím kdo o tom rozhoduje chodím na oběda pivota
výchylce děkuji na další potlesk