Devoxx 2015-barbus-et-barbares

4 176 vues

Publié le

Conf Devoxx 2015
L'abstract était :

C'est un audit de sécurité partiel, partial mais participatif que François et Romain vous proposent dans cette session; l'audit d'une application web SpringBoot/JHipster

Y seront illustrés et débattus concepts & techniques couvrant l'ensemble du cycle de vie du développement logiciel comme

la sécurisation de la chaine d'intégration continue
la gestion des secrets de conf
la sécurisation de la jvm
la gestion d'identité et d'autorisation avec SAML & oAuth2
Le but: vous sensibiliser, vous armer contre les cyber-attaques des hordes barbares, vous développeurs Java, barbus ou pas.

Publié dans : Logiciels
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
4 176
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1 759
Actions
Partages
0
Téléchargements
27
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Devoxx 2015-barbus-et-barbares

  1. 1. #barbusdevoxx Barbus & Barbares
  2. 2. @rpelisse Romain
  3. 3. @francoisledroff François
  4. 4. #barbusdevoxx UnAuditdesécurité? • Audit
  5. 5. #barbusdevoxx Non • Audit ?
  6. 6. #barbusdevoxx LaSécuritéc’esttoi SEC-UR-IT-Y
  7. 7. #barbusdevoxx Quelles Menaces ? Threat Modeling
  8. 8. #barbusdevoxx Identifierlesmenaces STRIDE •  SpoofingIdentity •  TamperingwithData •  Repudiation •  InformationDisclosure •  DenialofService •  ElevationofPrivilege
  9. 9. #barbusdevoxx Prioritiserlesmenaces DREAD •  DamagePotential •  Reproducibility •  Exploitability •  AffectedUsers •  Discoverability
  10. 10. #barbusdevoxx Notre Cas d’étude
  11. 11. #barbusdevoxx jHipster jHipsterhttps://jhipster.github.io/
  12. 12. #barbusdevoxx YojHipster
  13. 13. #barbusdevoxx SpringSecurity •  VariousAuthsupport –  OAuth1&OAuth2 –  SAML –  Kerberos –  etc •  Role •  HSTS •  XFrameOption/XSS •  CRSFProtection •  SecurityAuditor
  14. 14. #barbusdevoxx En Intranet
  15. 15. #barbusdevoxx EnIntranet "Theonlysecurecomputerisonewithnopower, lockedinaroom,withnouser.” http://www.arnoldit.com/articles/10intranetSecAug2002.htm
  16. 16. #barbusdevoxx Firewall Muraille? ligneMaginot?
  17. 17. #barbusdevoxx ReverseProxy Legrand nettoyage
  18. 18. #barbusdevoxx Nos Données
  19. 19. #barbusdevoxx Nosdonnées? •  PII •  Internal •  Confidential •  Restricted Yaplusqu’àchiffrer
  20. 20. #barbusdevoxx Chiffrerlefront https&SSLc’estbien…mais •  lesclefs –  doiventêtre •  protégées •  longues –  peuventêtre •  cassées •  subtilisées •  choisistesalgos –  HeardofPOODLE? •  lesclients –  deconfiance?
  21. 21. #barbusdevoxx Chiffrerleback • SécuriserMongo – Authentication – RoleBasedAccessControl •  https://github.com/jhipster/generator-jhipster/issues/733 – Audit • SSLwithMongo
  22. 22. #barbusdevoxx Chiffrageaurepos Chiffrer • auniveaudel’applicatif • auniveaudustockage
  23. 23. #barbusdevoxx Auth Authentification & Autorisation
  24. 24. #barbusdevoxx VotremotdePasse? http://xkcd.com/936/
  25. 25. #barbusdevoxx 1MotdePasse?
  26. 26. #barbusdevoxx 156motsdepasse?
  27. 27. #barbusdevoxx 1chien?
  28. 28. #barbusdevoxx Dessecrets?
  29. 29. #barbusdevoxx 100% 100%desattaquesen2014 impliquentdesmotsdepassedérobés http://www.idtheftcenter.org/ Notrebut: •  N’êtrequ’unfournisseurdeservice •  Identifierunfournissseurd’identité,deconfiance •  S’yinterfacer
  30. 30. #barbusdevoxx 1IDP?
  31. 31. #barbusdevoxx SAML • SAML – unstandard • SSOdunavigateur • http://www.ssocircle.com • Justeunstandard
  32. 32. #barbusdevoxx SAML
  33. 33. #barbusdevoxx SAML&JHipster • SupportdansSpringSecurity • PasdeSupportdansJHipster – #695 – FrancoisàquandunPR?
  34. 34. #barbusdevoxx Click?
  35. 35. http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/
  36. 36. #barbusdevoxx 2FAtwofactorauth.org
  37. 37. #barbusdevoxx SAML2+OAuth2 • SAMLv2 • enterpriseSSO • OAuthv2 • Autoriserl’accèsàdesdonnées,àuneAPI • Etablirunechainedeconfianceentreuneapp etunfournisseurdeservice
  38. 38. #barbusdevoxx Autresoptions • OAuth1.0 • Kerberos • Radius • X509auth • Combinationsoftheabove – includingSAML&OAuth2.0
  39. 39. #barbusdevoxx Intégration Continue & Gestion des Secrets
  40. 40. #barbusdevoxx Ségrégationdessecrets? https://github.com/francoisledroff/devoxx2015/search?utf8=%E2%9C%93&q=secret https://www.google.ie/search?q=%22.git%22+intitle:%22Index+of%22&gws_rd=cr,ssl&ei=hTMRVfHtONbXapDogrgG
  41. 41. #barbusdevoxx Ségrégationdessecrets? https://twitter.com/capotribu/status/550079317368381441 http://www.devfactor.net/2014/12/30/2375-amazon-mistake/
  42. 42. #barbusdevoxx GestiondesSecrets https://twitter.com/jtimberman/status/568124542553423872
  43. 43. #barbusdevoxx UX/Dev/QA/Ops dev QA prod stage Chef-server https RSAprivatekey Auth chef-client chef-client chef-client chef-client https RSAprivatekeyAuth •  Chefencrypteddatabags •  Encryptedfor •  adminusers •  whitelistednodes •  Managedbychef-vaultrubygem Chef-vault
  44. 44. #barbusdevoxx Git UX/Dev/QA/Ops dev QA prod stage Chef-server https RSAprivatekey Auth chef-client chef-client chef-client chef-client https RSAprivatekeyAuth •  Elasticité? •  Utiliserdesrepogitprivés? •  Ségrégationdelaproduction parorganisation? •  SécuriserleChefServer Chef-vault? Nonprodorganization prodorganization
  45. 45. #barbusdevoxx Jenkinssécurisé • Sécurisetesjenkins – SAMLestaussiuneoption • Cloudbees • Automatise – Shortlive https://twitter.com/morlhon/status/554899543150850048
  46. 46. #barbusdevoxx workstation Git github ArtifactRepository webjarrubygem Chef-server nodes RSAkeyAuth ssh https maven redhat RSAkeyAuth Gestionsécuriséedesdépendances opscode npm
  47. 47. #barbusdevoxx Et le Cloud ?
  48. 48. NETFLIX  
  49. 49. #barbusdevoxx Prêt à te faire hacker?
  50. 50. #barbusdevoxx Allolespompiers?
  51. 51. #barbusdevoxx Yalamaisonquibrûle Détecteurdefumée – HSM – IDS •  Portecoupe-feu – SELinux – SecurityManager
  52. 52. #barbusdevoxx DeDevOpsàDevSec
  53. 53. #barbusdevoxx Ce qu’il fallait retenir
  54. 54. #barbusdevoxx Cequ’ilfallaitretenir • Lasecuritec'esttoi • Penses-y • T’esjamaisàl'abri – tesdonnéesnonplus • Gèretessecrets • Passeàl’authenticationforte
  55. 55. #barbusdevoxx Cequ’ilfallaitretenir • l'expérienceutilisateurn'estpasun prétextepourunemauvaisesécurité • n'oubliepasl'extensiondudomainedela lutte • traitetesserveurscommedubétail • soisprêt(e)àcombattrelefeu
  56. 56. #barbusdevoxx @francoisledroff @rpelisse Desquestions?Vraiment? Pourtantc’étaitclairnon?

×