• 18 мая
  • Москва, Точка кипения АСИ, Малый Конюшковский пер., д.2, 3 этаж

GoToMeetUp: Security by Default

Регистрация на событие закрыта

Извините, регистрация закрыта. Возможно, на событие уже зарегистрировалось слишком много человек, либо истек срок регистрации. Подробности Вы можете узнать у организаторов события.

Другие события организатора

37 дней назад
18 мая c 17:00 до 21:00
Москва
Точка кипения АСИ, Малый Конюшковский пер., д.2, 3 этаж

Митап по информационной безопасности: возможность узнать о деталях последней масштабной атаки Wannacry, социальной инженерии, уязвимостях мессенджеров и окружающих нас «умных вещах», поговорить о security при разработке своих проектов и том, как и где используются наши данные, как и зачем это предотвращать.

Информационная безопасность — это важно; впрочем, это знание мало кому помогает. Количество соединенных general-purpose компьютеров (сложность) растёт каждый день, происходят очень реальные инциденты от Heart или Cloudbleed до Stuxnet или проблем с бортовым компьютером Toyota, и ситуация не становится лучше сама по себе. Становится хуже, потому что "интернет вещей" — это стартапы, делающие физическую инфраструктуру типа лампочек или дверных замков (разработчики SCADA плачут кровавыми слезами). Потому что огромное количество кода пишется на memory-unsafe языках. Потому что образование разработчиков — это, как правило, либо про фичи (#этожпрототип), либо про фундаментальные алгоритмы (что не помогает пониманию того, что система работает не в вакууме).

Кажется, что основных корней проблемы два: это небезопасный инструментарий — например, ЯП (C/C++) и библиотеки (OpenSSL), и люди. Люди забывают про ИБ, думают "выпустим что-нибудь, а потом разберёмся", не понимают tradeoff’ы своих инструментов (то, что "C — это быстро", знают все, а вот про memory unsafety и масштаб UB — немногие), etc. Первая проблема сейчас решается сообществом: разрабатываются безопасные языки типа Rust и простые, понятные библиотеки типа TweetNaCl. Остаётся вторая проблема, ибо хорошим инструментам надо ещё научить, как и соответствующему мышлению.

Поэтому мы и проводим митап по информационной безопасности Security by Default. 

Что значит Security by Default?

Мы говорим "SbD" вместо "ИБ" потому что последнее часто ассоциируется с (1) злыми безопасниками, которые, кажется, существуют только для того, чтобы портить жизнь обычному разработчику и (2) с CTF-ами и культурой хацкинга.

Мы же говорим скорее про безопасность по умолчанию: как инструментов (машина, которая может сама затормозить перед неминуемым столкновением, включенный после установки ОС firewall, язык с memory safety), так и в мышлении людей (задумываться про не пост-фактум).

Мы разбили программу митапа на несколько блоков:

  • Индустрия: здесь бывалые эксперты из больших компаний расскажут о своём опыте факапов (и обозрят индустрию), и о том, как корпорации наводят безопасность в своих проектах. Также мы обсудим инструментарий, делающий разработку (более) безопасной: от фаззинга до сильных систем типов.
    Примеры тем обсуждения:

    • Stuxnet, вредонос, уничтоживший 20% ядерных центрифуг Ирана через SCADA.
    • Компрометация всей базы данных (ФИО, фотографии, финансовые данные, etc.) Ashley Madison, дейтинг-сайта для женатых мужчин.
    • Remote Code Execution на Pornhub.
    • Фаззинг dnsmasq с нахождением полезного stack overflow.
    • Как работает "fearless concurrency" Rust на практике.
    • Как правильно готовить криптографию.
    • Проектирование безопасных интерфейсов: от браузера до мессенджера.
  • Личная безопасность: поговорим, как контролировать свои данные (Digital Fingerprint), обсудим правовой вопрос (как засудить за abuse) и вопрос "я осознал проблему, что делать?".
    Темы обсуждений:

  • Безопасность в маленьких проектах: разберём кейсы участников и послушаем опытных стартаподелов. Обсудим простые стратегии уменьшения рисков.

В рамках митапа выступят популярные авторы Хабра, представители компаний КРОК и Лаборатория Касперского, организаторы Cryptoparty.

Запланированы следующие доклады:

  • Антивирусная индустрия: то, что вы не знали или боялись спросить (Станислав Шевченко)
  • Обзор индустрии ИБ и ее составных частей (Павел Луцик)
  • Это не фича, это баг: как создавать более безопасный софт (Иван Маркин)
  • Как с мессенджерами всё плохо, чем это угрожает и что с этим делать (Павел Жовнер)
  • Rust как манна небесная системного программирования (Дмитрий Волков)

Ждем всех, кого интересует тема ИБ на любом уровне: от школьников до экспертов.

Регистрация

Рекомендуемые события

Организуете события? Обратите внимание на TimePad!

Профессиональная билетная система, статистика продаж 24/7, выгрузка списков участников, встроенные инструменты продвижения, личный кабинет для самостоятельного управления и еще много чего интересного.

Узнать больше