Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Техника и тактика работы с поисковиком и посетителем / Евгений Трофименко 14 ...Eugene Trofimenko
http://promosite.ru/articles/report-optimization-2002.php
Доклад на конференции "Стратегия продвижения сайта в поисковых системах 2002" (файл). Поисковая машина и ее пользователь - как бы две разные личности, которые имеют разные мнения о вашем сайте, и вам хочется создать наилучшее мнение о сайте у обоих этих личностей одновременно.
Презентация для вебинара от 22.04.2014. Запись вебинара на Youtube: http://www.youtube.com/watch?v=3ZBLXqOW8mQ&hd=1
Эксперт по информационной безопасности Григорий Земсков – об эффективных методах предотвращения взлома сайта, кражи конфиденциальных данных и заражения вирусами, а также о том, что следует предпринять, если ваш сайт взломали.
www.vk.com/siteprotect - группа ВК “Безопасность сайтов”
twitter.com/revisium - Твиттер компании Revisium
facebook.com/Revisium - страница Revisium в Facebook
www.revisium.com/ru/blog/ - блог Revisium (rss подписка)
Андрей Ковалев - Безопасность сайта: мифы и реальностьYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
«Взломать за 60 секунд», Артем Кулаков, RedmadrobotMail.ru Group
Мобильные приложения плотно вошли в нашу жизнь, и с каждым годом их популярность растет. Приложениям доступно все больше информации о нас, и стоимость этой информации тоже повышается. Как и зачем взламывают приложения? Почему защита чаще всего оказывается неэффективной? Об этом пойдет речь в докладе.
Мониторинг веб-проектов real-time мониторинг и аналитика, поиск ошибок и боев...Ontico
Многие веб-студии не имеют в своем штате системных администраторов. И зачастую узнают о проблемах с запущенными проектами уже после того, как они случились.
В докладе рассмотрим:
- Явные и не очень потери на медленном / недоступном сайте.
- Общие принципы внедрения систем real-time мониторинга.
- Мониторинг нетипичных характеристик (наличие бэкапов, делегирование домена и т.п.).
- Автоматизацию типовых реакций на алерты.
- Зачем нужна аналитика в мониторинге (пробуем предугадать проблемы до того, как они случатся).
- Инструменты и общие подходы быстрого поиска "узких" мест.
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт».
https://academy.yandex.ru/events/webmasters_school/yawebm2015/
Актуальные типы угроз и динамика их развития
Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым.
Управление рисками безопасности веб-сайтов
Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты.
Доступный инструментарий и ��етодики для обеспечения безопасности
Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
Как и зачем взламывают сайты, как монетизируют взломанные сайты. Ошибки, заблуждения веб-специалистов или владельцев сайтов про безопасность. Как защищать сайты от взлома.
One-cloud — система управления дата-центром в Одноклассниках / Олег Анастасье...Ontico
HighLoad++ 2017
Зал «Калининград», 8 ноября, 15:00
Тезисы:
http://www.highload.ru/2017/abstracts/2964.html
Одноклассники состоят из более чем восьми тысяч железных серверов, расположенных в нескольких дата-центрах. Каждая из этих машин была специализированной под конкретную задачу - как для обеспечения изоляции отказов, так и для обеспечения автоматизированного управления инфраструктурой.
...
Масштабируя DNS / Артем Гавриченков (Qrator Labs)Ontico
HighLoad++ 2017
Зал «Калининград», 8 ноября, 16:00
Тезисы:
http://www.highload.ru/2017/abstracts/3032.html
Протокол DNS на семь лет старше, чем Всемирная паутина. Стандарты RFC 882 и 883, определяющие основную функциональность системы доменных имён, появились в конце 1983 года, а первая реализация последовала уже годом позже. Естественно, что у технологии столь старой и при этом по сей день активнейшим образом используемой просто не могли не накопиться особенности, неочевидные обыкновенным пользователям.
...
Создание BigData-платформы для ФГУП Почта России / Андрей Бащенко (Luxoft)Ontico
HighLoad++ 2017
Зал «Калининград», 8 ноября, 13:00
Тезисы:
http://www.highload.ru/2017/abstracts/3010.html
В этом докладе я расскажу, как BigData-платформа помогает трансформировать Почту России, как мы управляем построением и развитием платформы. Расскажу про найденные удачные решения, например, как разбиение на продукты с понятными SLA и интерфейсами между ними помогло нам сохранять управляемость с ростом масштабов проекта.
...
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 10:00
Тезисы:
http://www.highload.ru/2017/abstracts/2914.html
Казалось бы, что нужно для организации тестового окружения? Тестовая железка и копия боевого окружения - и тестовый сервер готов. Но как быть, когда проект сложный? А когда большой? А если нужно тестировать одновременно много версий? А если все это вместе?
Организация тестирования большого развивающегося проекта, где одновременно в разработке и тестировании около полусотни фич - достаточно непростая задача. Ситуация обычно осложняется тем, что иногда есть желание потрогать еще не полностью готовый функционал. В таких ситуациях часто возникает вопрос: "А куда это можно накатить и где покликать?"
...
Новые технологии репликации данных в PostgreSQL / Александр Алексеев (Postgre...Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 18:00
Тезисы:
http://www.highload.ru/2017/abstracts/2854.html
Из этого доклада вы узнаете о возможностях репликации и автофейловера PostgreSQL, в том числе о возможностях, ставших доступных в PostgreSQL 10.
Среди прочих, будет затронуты следующие темы:
* Виды репликации и решаемые с ее помощью проблемы.
* Настройка потоковой репликации.
* Настройка логической репликации.
* Настройка автофейловера / HA средствами Stolon и Consul.
После прослушивания доклада вы сможете самостоятельно настраивать репликацию и автофейловер PostgreSQL.
PostgreSQL Configuration for Humans / Alvaro Hernandez (OnGres)Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 17:00
Тезисы:
http://www.highload.ru/2017/abstracts/3096.html
PostgreSQL is the world’s most advanced open source database. Indeed! With around 270 configuration parameters in postgresql.conf, plus all the knobs in pg_hba.conf, it is definitely ADVANCED!
How many parameters do you tune? 1? 8? 32? Anyone ever tuned more than 64?
No tuning means below par performance. But how to start? Which parameters to tune? What are the appropriate values? Is there a tool --not just an editor like vim or emacs-- to help users manage the 700-line postgresql.conf file?
Join this talk to understand the performance advantages of appropriately tuning your postgresql.conf file, showcase a new free tool to make PostgreSQL configuration possible for HUMANS, and learn the best practices for tuning several relevant postgresql.conf parameters.
Inexpensive Datamasking for MySQL with ProxySQL — Data Anonymization for Deve...Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 16:00
Тезисы:
http://www.highload.ru/2017/abstracts/3115.html
During this session we will cover the last development in ProxySQL to support regular expressions (RE2 and PCRE) and how we can use this strong technique in correlation with ProxySQL's query rules to anonymize live data quickly and transparently. We will explain the mechanism and how to generate these rules quickly. We show live demo with all challenges we got from the Community and we finish the session by an interactive brainstorm testing queries from the audience.
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 15:00
Тезисы:
http://www.highload.ru/2017/abstracts/2957.html
Расскажем о нашем опыте разработки модуля межсетевого экрана для MySQL с использованием генератора парсеров ANTLR и языка Kotlin.
Подробно рассмотрим следующие вопросы:
— когда и почему целесообразно использовать ANTLR;
— особенности разработки ANTLR-грамматики для MySQL;
— сравнение производительности рантаймов для ANTLR в рамках задачи синтаксического анализа MySQL (C#, Java, Kotlin, Go, Python, PyPy, C++);
— вспомогательные DSL;
— микросервисная архитектура модуля экранирования SQL;
— полученные результаты.
ProxySQL Use Case Scenarios / Alkin Tezuysal (Percona)Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 14:00
Тезисы:
http://www.highload.ru/2017/abstracts/3114.html
ProxySQL aims to be the most powerful proxy in the MySQL ecosystem. It is protocol-aware and able to provide high availability (HA) and high performance with no changes in the application, using several built-in features and integration with clustering software. During this session we will quickly introduce its main features, so to better understand how it works. We will then describe multiple use case scenarios in which ProxySQL empowers large MySQL installations to provide HA with zero downtime, read/write split, query rewrite, sharding, query caching, and multiplexing using SSL across data centers.
MySQL Replication — Advanced Features / Петр Зайцев (Percona)Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 13:00
Тезисы:
http://www.highload.ru/2017/abstracts/2954.html
MySQL Replication is powerful and has added a lot of advanced features through the years. In this presentation we will look into replication technology in MySQL 5.7 and variants focusing on advanced features, what do they mean, when to use them and when not, Including.
When should you use STATEMENT, ROW or MIXED binary log format?
What is GTID in MySQL and MariaDB and why do you want to use them?
What is semi-sync replication and how is it different from lossless semi-sync?
...
Внутренний open-source. Как разрабатывать мобильное приложение большим количе...Ontico
HighLoad++ 2017
Зал «Кейптаун», 8 ноября, 12:00
Тезисы:
http://www.highload.ru/2017/abstracts/3120.html
Количество разработчиков мобильных приложений Сбербанк Онлайн с начала 2016 года выросло на порядок. Для того чтобы продолжать выпускать качественный продукт, мы кардинально перестраиваем процесс разработки.
Количество внутренних заказчиков тех или иных доработок в какой-то момент выросло настолько, что разработчики стали узким местом. Мы внедрили культуру разработки, которую можно условно назвать "внутренним open-source", сохранив за собой контроль над архитектурой и качеством проекта, но позволив разрабатывать новые фичи всем желающим.
...
Подробно о том, как Causal Consistency реализовано в MongoDB / Михаил Тюленев...Ontico
HighLoad++ 2017
Зал «Мумбай», 8 ноября, 18:00
Тезисы:
http://www.highload.ru/2017/abstracts/2836.html
При использовании Eventually Consistent распределенных баз данных нет гарантий, что чтение возвращает результаты последних изменений данных, если чтение и запись производятся на разных узлах. Это ограничивает пропускную способность системы. Поддержка свойства Causal Consistency снимает это ограничение, что позволяет улучшить масштабируемость, не требуя изменений в коде приложения.
...
Балансировка на скорости проводов. Без ASIC, без ограничений. Решения NFWare ...Ontico
HighLoad++ 2017
Зал «Мумбай», 8 ноября, 16:00
Тезисы:
http://www.highload.ru/2017/abstracts/2858.html
Аудитория Одноклассников превышает 73 миллиона человек в России, СНГ и странах дальнего зарубежья. При этом ОК.ru - первая социальная сеть по просмотрам видео в рунете и крупнейшая сервисная платформа.
Качественный и количественный рост DDoS-атак за последние годы превращает их в одну из первоочередных проблем для крупнейших интернет-ресурсов. В зависимости от вектора атаки “узким” местом становится та или иная часть инфраструктуры. В частности, при SYN-flood первый удар приходится на систему балансировки трафика. От ее производительности зависит успех в противостоянии атаке.
...
Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs)Ontico
HighLoad++ 2017
Зал «Мумбай», 8 ноября, 15:00
Тезисы:
http://www.highload.ru/2017/abstracts/3008.html
Никогда не было и вот снова случилось! Компания Google в результате перенаправления трафика сделала недостпуными в Японии несколько тысяч различных сервисов, большинство из которых никак не связано с самой компанией Google. Однако, подобные инциденты происходят с завидной регулярностью, вот только не всегда попадают в большие СМИ. У таких инцидентов могут быть разные причины, начиная от ошибок сетевых инженеров и заканчивая государственным регулированием.
...
И тогда наверняка вдруг запляшут облака! / Алексей Сушков (ПЕТЕР-СЕРВИС)Ontico
HighLoad++ 2017
Зал «Мумбай», 8 ноября, 14:00
Тезисы:
http://www.highload.ru/2017/abstracts/2925.html
Облака и виртуализация – современные тренды развития IT-технологий. Операторы связи строят свои TelcoClouds на стандартах NFV (Network Functions Virtualization) и SDN (Software-Defined Networking). В докладе начнем с основ виртуализации, далее разберемся, для чего используются NFV и SDN, потом полетим к облакам и вернемся на землю для решения практических задач!
...
Как мы заставили Druid работать в Одноклассниках / Юрий Невиницин (OK.RU)Ontico
HighLoad++ 2017
Зал «Мумбай», 8 ноября, 10:00
Тезисы:
http://www.highload.ru/2017/abstracts/3045.html
Как мы заставили Druid работать в Одноклассниках.
«Druid is a high-performance, column-oriented, distributed data store» http://druid.io.
Мы расскажем о том, как, внедрив Druid, мы справились с ситуацией, когда MSSQL-based система статистики на 50 терабайт стала:
- медленной: средняя скорость ответа была в разы меньше требуемой (и увеличилась в 20 раз);
- нестабильной: в час пик статистика отставала до получаса (теперь ничего не отстает);
- дорогой: изменилась политика лицензирования Microsoft, расходы на лицензии могли составить миллионы долларов.
...
Разгоняем ASP.NET Core / Илья Вербицкий (WebStoating s.r.o.)Ontico
HighLoad++ 2017
Зал «Рио-де-Жанейро», 8 ноября, 18:00
Тезисы:
http://www.highload.ru/2017/abstracts/2905.html
Прошло более года с того момента, как Microsoft выпустила первую версию своего нового фреймворка для разработки web-приложений ASP.NET Core, и с каждым днем он находит все больше поклонников. ASP.NET Core базируется на платформе .NET Core, кроссплатформенной версии платформы .NET c открытым исходным кодом. Теперь у С#-разработчиков появилась возможность использовать Mac в качестве среды разработки, и запускать приложения на Linux или внутри Docker-контейнеров.
...
100500 способов кэширования в Oracle Database или как достичь максимальной ск...Ontico
HighLoad++ 2017
Зал «Рио-де-Жанейро», 8 ноября, 14:00
Тезисы:
http://www.highload.ru/2017/abstracts/2913.html
Изначально будут раскрыты базовые причины, которые заставили появиться такой части механизма СУБД, как кэш результатов, и почему в ряде СУБД он есть или отсутствует.
Будут рассмотрены различные варианты кэширования результатов как sql-запросов, так и результатов хранимой в БД бизнес-логики. Произведено сравнение способов кэширования (программируемые вручную кэши, стандартный функционал) и даны рекомендации, когда и в каких случаях данные способы оптимальны, а порой опасны.
...
Apache Ignite Persistence: зачем Persistence для In-Memory, и как он работает...Ontico
HighLoad++ 2017
Зал «Рио-де-Жанейро», 8 ноября, 13:00
Тезисы:
http://www.highload.ru/2017/abstracts/2947.html
Apache Ignite — Open Source платформа для высокопроизводительной распределенной работы с большими данными с применением SQL или Java/.NET/C++ API. Ignite используют в самых разных отраслях. Сбербанк, ING, RingCentral, Microsoft, e-Therapeutics — все эти компании применяют решения на основе Ignite. Размеры кластеров разнятся от всего одного узла до нескольких сотен, узлы могут быть расположены в одном ЦОД-е или в нескольких геораспределенных.
...
HighLoad++ 2017
Зал «Рио-де-Жанейро», 8 ноября, 12:00
Тезисы:
http://www.highload.ru/2017/abstracts/3005.html
Когда мы говорим о нагруженных системах и базах данных с большим числом параллельных коннектов, особый интерес представляет практика эксплуатации и сопровождения таких проектов. В том числе инструменты и механизмы СУБД, которые могут быть использованы DBA и DevOps-инженерами для решения задач мониторинга жизнедеятельности базы данных и ранней диагностики возможных проблем.
...
2. в сутки Яндекс находит более 1400 новых заражений сайтов
всего Яндексу известно более 230k заражённых сайтов
за год было 121 случай заражения сайтов, которые знают все
обычные массовые заражения
2
3. (в 99% случаев пользователи не переходят на заражённые сайты, на выдаче – по
10 документов)
2 массовых заражения со взломами, 1 партнёрская система, заражающая
пользователей через свои блоки на «выгодных» для сайтов условиях
3
4. пользователям
не терять деньги (кража, мошенничество), ценные данные, время на
лечение компьютеров, репутацию
интернету
существовать (быть полезным для людей), без DDoS’ов, накрутки, спама
интернет-индустрия сможет получать больше денег, если в интернете
станет безопаснее (онлайн-банкинг, электронные платёжные системы,
веб-магазины)
злоумышленникам
пойти заниматься чем-нибудь полезным
4
5. сайту – чтобы его трафик, пользователи (→ деньги) не доставались другим
не редиректить на другие сайты
не заражать компьютеры пользователей
не показывать чужих ссылок и рекламы
не терять имидж и доверие
заражение – 99% трафика, поисковый спам до – 100% трафика
поисковой системе – чтобы было, чем отвечать на запросы пользователей
заражённые, испорченные, перенаправляющие сайты – это плохой ответ
5
8. контроль ввода данных (WAF) – защита от атак XSS, Injection
контроль операций ( Insecure Direct Object References ) – защита от IDOR, CSRF,
закрытие доступа к админкам, бэкапам, SVN
обновлять CMS и серверное ПО, минимум «кустарных» модулей, отключать
лишнее, следить за новостями об уязвимостях своей CMS
Пример другого серверного ПО – OpenX, phpMyAdmin
сложный пароль от веб-сервера (FTP, SSH, админ-панели хостинга, CMS)
8
9. компьютер вебмастера – тоже защищён от malware
минимум служебных данных (например, версия сервера или CMS)
анти-кликджекинг
Js-проверки
if (top != window) top.location = window.location
top.location = 'http://example.com'
HTTP-Header
X-FRAME-OPTIONS SAMEORIGIN
X-FRAME-OPTIONS DENY
9
10. блоки и реклама
избегать «уникальных предложений» (подозрительно высокая плата за
счётчики и блоки, монетизация мобильного трафика) – вместо денег
отсутствие трафика и потеря позиций в поисковых системах
использовать партнёрские программы со скрытыми блоками – опасно
блоки и реклама – только от проверенных систем
по возможности принимать только статический контент (ссылки,
картинки. Не скрипты и не фреймы)
о новых партнерках – искать отзывы, проверять, что через них приходит
рассказ про траффбиз
дистрибутивы
осторожнее с дистрибутивами CMS из сомнительных источников,
виджетами и чужими библиотеками
случай с DLE
постоянные проблемы с wordpress-темами
10
11. всякие радио-виджеты для ucoz
контроль служебного доступа
рассказ про утечку базы FTP
та же ситуация с различными фрилансерами – периодически приходят
жалобы на заражения после их работы (особенно если их обидели, ну и
утечь может от них)
качественный хостинг
телекомы тоже страдают (см. статью в блоге)
10
12. валидация данных
нет javascript в <script>, тегах, гиперссылках
нет <iframe>, <object>, <embed>, список разрешённых HTML-тегов
11
14. В двух словах:
На зараженном сайте происходит подгрузка/перенаправление на систему
распределения траффика, цель которой
– отфильтровать потенциальных жертв по критериям:
1. Уникальный заход (1 перенаправление на 1 ip, cookie итп).
2. Уязвимые версии операционной системы, браузера и прочего ПО, например
flash, acrobat, JRE.
3. Проверка подгрузки с зараженного сайта с реферером поисковой выдачи.
4. Различные попытки отсева запросов поисковых роботов и антивирусных
систем.
5. Дополнительные критерии, например время суток.
Если все критерии пройдены – перенаправление на связвку эксплоитов для
заданных ОС и ПО.
Задача связки эксплоитов – установить в ОС вредоносное ПО ( бинарный файл ).
Действия вредоносного ПО внутри ОС зараженного компьютера – тема для
отдельной презентации.
13
15. по возможности посмотреть через прокси / попросить товарища посмотреть из
дома
тестовый стенд
Windows XP на виртуальной машине, IE+FF+Chrome+Opera без cookies и
истории посещений
Желательно IE6 и не последние версии Java, Acrobat Reader, Flash
после каждого просмотра страницы – revert к исходному образу
14
21. 0. в коде
<?php
header(“Location: evil.com”);
?>
в настройках веб-сервера или интерпретатора
.htaccess
php_value auto_append_file “tmpevil.txt«
если сайт статический
на соседнем сайте shared-хостинга, а также, вероятнее всего,
утечка реквизитов доступа, либо заражение всего сервера
если серверный редирект, в т.ч. работающий только для мобильных – .htaccess,
в т.ч. конструкции для mod_rewrite
если строки в конце страниц – в шаблонах CMS
20
22. если до или после обычного блока <html> – возможно, в настройках веб-
сервера или интерпретатора
20
27. вообще надо сказать, что хорошо помимо, регистрации стандартных абуз-
адресов, указать их на сайте в разделе контакты и удостовериться, что
администратор регулярно обрабатывает сообщения в них (просто формально
класть в issue tracker недостаточно)
трафик сайта и статистика переходов: Метрика
аномалии
книга жалоб для пользователей
нужно поддерживать форму для отправки жалоб и/или указать email-адреса
администратора
25
31. мы стараемся для вас, и помогаем вам вылечить ваши сайты
мы понимаем, что потеря трафика – это плохо для сайта, но не давать
пользователям заразиться - важнее
Яндекс размечает, только если действительно обнаружил malware, точность – от
99.5% до 99.98% (для разных детекторов разная)
ваш сайт тоже может заразиться самым неожиданным способом, если вы не
нашли malware на сайте – поищите ещё раз
если антивирусы не находят – это тоже не значит, что malware нет
мы не реагируем только по факту обфускации, или если блок находится в
неположенном месте, а детектируем именно вредоносный код
бывает, что нас пытаются обмануть, но это нам очень хорошо видно, не надо
тратить на это время
29