LVIV.COM

OWASP Ukraine 2017: як дбати про інформаційну та кібербезпеку?

Ділись, Бро

Лілія Матвіїв

Наприкінці листопада Львівський осередок світової організації OWASP провів третю щорічну конференцію OWASP Ukraine 2017. Фахівці та експерти з питань безпеки зібралися з дослідниками, розробниками та інженерами, а також з власниками бізнесу, щоб обмінятися досвідом.


Спікери зі всієї України розповіли про безпеку IoT, соціальну інженерію, масштабні хакерські атаки та нещодавні загрози.

Цікавими були експерименти з car hacking, практичні поради з безпеки Android App, зв'язок продуктового дизайну та безпеки гаджета, а також навіть про те, як можна хакнути бензозаправку.

З чого все почалось?

"В 90-ті, коли інтернет з'явився в усіх цивілізованих країнах, веб перетворився з академічного інструменту в комерційний, а хакінг став масовим захопленням технічно обізнаної молоді," - пише один з доповідачів, співзасновник Berezha Security  Влад Стиран, у своєму Facebook.

"Хакери знаходили вразливості пачками, дехто використовував їх для розваг, дехто почав тупо рубати з цього бабло. Місія хакерів полягає в тому, щоб люди, від безпеки чиїх систем залежить безпека інших людей, а саме нас з вами, буквально нервували та намагалися захиститися якнайкраще", - розповідає він.

Володимир також вважає, що слід розрізняти поняття хакерів та кібер-злочинців.

"Хакер у комп'ютерному сенсі – це людина, яка докладає неабияких зусиль, знань та навичок задля розв'язання складної проблеми. Коли йдеться про безпеку, то хакери вивчають системи і намагаються використати їх у спосіб, який не передбачався творцями цих систем", - наголошує лідер OWASP Kyiv.

На думку Володимира Стирана, після масштабної атаки вірусу Petya українці ще не засвоїли уроку. Тому принципи безпеки, особливо в українських ІТ-компаніях, потрібно пріоритетизувати. 

"Візьмемо для прикладу додаток Grammarly Keyboard. Якщо ви оберете автентифікуватися в ньому за допомогою облікового запису Facebook, в певний момент він попросить у вас відкрити доступ до вашого профілю. Тоді слід натиснути на посилання "Know more" - і відкриється список усіх дозволів, які ви надаєте додатку. Звичайно, треба зняти відмітку з усього, з чого її можливо зняти, і лише тоді продовжити", - наголошує Влад.

Протягом усього дня учасники також мали практичний стенд із замком - слід було розкодувати ключі і підібрати замок. Біля цього столу ламали мізки чимало відвідувачів аж до самого кінця конференції.

В меморіз

Фахівець з CyberSecurity Назар Тимошик з UnderDefense LLC порадив використовувати для безпеки безкоштовний інструмент Splunk.

"Коли ми говоримо про багатьох клієнтів, які є в українських ІТ-компаніях, ми маємо на увазі mod_security (Mod Security App for Splunk). Особливо це корисно буде девелоперам і тестерам", - зазначив він.

Також є так звана "машина часу" - чи не хакали вас від сьогодні в минуле? Це обов'язково варто досліджувати.

"Як називається процес, коли вам посеред ночі пишуть, що вас хакнули? - Бардак! - "Аджайл"!

"500, 400 помилка - це ок. Страшно, коли в хакера щось вийшло. Тобто 200-ті."

"Ті, хто ламають, входять в історію. А ті, хто захищають, залишаються в капішонах, в тіні."

Проте, Назар Тимошик вважає, що завжди є запит на працівників, які вміють врятувати світ.

Також він наголосив, що на практиці витягувати логи з Докера швидко не завжди вдається, тож треба просити "пілоти", якими будете користуватись.

Влад Стиран, співзасновник Berezha Security  

"Ця львівська конференція - це велика щорічна подія. В Києві з OWASP Kyiv ми проводимо низку заходів, безкоштовних зустрічей та мітапів без зовнішнього спонсора. Намагаємось ділитись знаннями та досвідом з якомога більшою кількістю охочих.

Справа в тому, що фахівець з інформаційної безпеки — це окрема професія, а не просто програміст. Є дуже велика потреба в кваліфікованих спеціалістах. А в Україні зараз всі або джуни, або сіньйори. Мідли часто виїжджають працювати закордон.

Інформаційна безпека в Україні - це нова галузь, тут поки-що дуже легко бути "шарлатаном". Якщо не помилялись би програмісти, пишучи код, умовно кажучи, не було б загрози. Ми з колегами склали пам’ятку "Як не стати кібержертвою", яку рекомендуємо тим, хто займається питаннями безпеки", - розповів Володимир Стиран.

Ігор Блюменталь, Application Security Specialist

"Я доповідав про WebSocket, оскільки технологія WebSocket досі є актуальною, проте з власного досвіду я розумію, що велика частина як девелоперів, так і спеціалістів з інформаційної безпеки не до кінця розуміють, як з нею працювати.

По-перше, треба пам’ятати, що WebSocket - це окремий протокол, а не надбудова над HTTP. Тому слід ознайомитися з рекомендаціями з безпеки саме для вебсокетів. Також завжди треба пам’ятати, що жодним даним, які отримали від користувача, не можна довіряти.

Одним з векторів атак на додатки з вебсокетами, що були реалізовані некоректно, є можливість виконувати дії від імені користувача, а також читати конфіденційну інформацію. На жаль, користувач не зможе себе захистити самостійно, тому все цілком залежить від розробника.

Україні зараз, перш за все, необхідно визначитися з тим, які саме інформаційні ресурси потребують захисту, хто саме і яким чином повинен цей захист забезпечувати для кожного з ресурсів, і яка відповідальність настане за неналежне виконання цих обов’язків.

Дізнався, що у Львові є достатньо велика кількість не-сек'юриті спеціалістів, які цікавляться безпекою. Це тішить."

Що далі?

У Львові конференція відбулась за підтримки компанії SoftServe. Наступні зустрічі пройдуть 2 грудня у Києві та будуть транслюватись онлайн. Окрім трансляції, доповідачам можна буде поставити запитання в Facebook та Twitter з хеш-тегом #owaspKyiv.

 

Зараз читають