Έτοιμοι για το OWASP AppSec Research 2012;

dimitris | Δευ, 07/09/2012 - 21:56 | 14' | 0

Από την Τρίτη μέχρι την Παρασκευή διοργανώνεταιτο μεγαλύτερο διεθνές συνέδριο ασφάλειας που έγινε ποτέ στην Ελλάδα, το OWASP AppSec Research 2012.
Του Κωνσταντίνου Παπαπαναγιώτου

Όπως έχει αναφερθεί πολλές φορές στο περιοδικό, το ετήσιο πανευρωπαϊκό συνέδριο του OWASP, το OWASP AppSec Research [1] φιλοξενείται στη χώρα μας από το Τμήμα Πληροφορικής και Τηλεπικοινωνιών [2] του Πανεπιστημίου Αθηνών. Πρόκειται για ένα από τα μεγαλύτερα events στην Ευρώπη στο χώρο της ασφάλειας και αναμένεται να συγκεντρώσει περισσότερους από 250 ειδικούς απ’ όλο τον κόσμο.

Όπως κάθε χρόνο, οι δύο πρώτες μέρες αφιερώνονται σε εξειδικευμένες εκπαιδεύσεις [3]. Έμπειροι εκπαιδευτές από όλο τον κόσμο θα μοιραστούν τις γνώσεις τους σε εξειδικευμένα και επίκαιρα θέματα, που σχετίζονται με τον ασφαλή προγραμματισμό και την ασφάλεια λογισμικού. Έτσι, μπορεί για παράδειγμα να παρακολουθήσει κανείς ένα εισαγωγικό μάθημα στον ασφαλή προγραμματισμό (Elite Web Defense – How to build robust and secure web applications [4]) ή αν διαθέτει ήδη κάποια σχετική εμπειρία, να εντρυφήσει ακόμα περισσότερο σε πιο προηγμένα θέματα (Hack Your Own Code: Advanced training for developers [5]). Και οι δύο αυτές εκπαιδεύσεις απευθύνονται κυρίως σε προγραμματιστές και αναλυτές.

Όσοι ασχολούνται με την ανάπτυξη εφαρμογών για mobile πλατφόρμες μπορούν να παρακολουθήσουν μια εξειδικευμένη διήμερη εκπαίδευση που καλύπτει όλα τα θέματα που αφορούν την ασφαλή ανάπτυξη εφαρμογών τόσο για Android όσο και για iOS. (Mobile Security: Securing Your Small, Smart Devices [6]).

Η εκπαίδευση με τίτλο “Application Attack Detection & Response – A Hands-on Planning Workshop” [7] αποσκοπεί στο να δώσει μία νέα διάσταση στην ασφάλεια εφαρμογών. Οι εκπαιδευόμενοι θα εντρυφήσουν σε προηγμένες τεχνικές εντοπισμού και απόκρισης σε επιθέσεις μέσα από την εφαρμογή, βασισμένοι στην ιδέα του OWASP AppSensor.

Όσοι θέλουν να μάθουν περισσότερα πράγματα όσον αφορά τον έλεγχο και τον εντοπισμό ευπαθειών σε εφαρμογές μπορούν να παρακολουθήσουν την εκπαίδευση με τίτλο “Assessing and Exploiting Web Applications with Samurai-WTF” [8]. O Justin Searle θα περιγράψει σύγχρονες τεχνικές ελέγχου και θα δείξει πώς μπορεί να χρησιμοποιήσει κανείς τη σουίτα ανοικτού λογισμικού Samurai-WTF που περιλαμβάνει όλα τα γνωστά εργαλεία όπως Burp, Beef, SQLMap, JBroFuzz, κλπ., για να εντοπίσει στην πράξη αδυναμίες σε web εφαρμογές.

Η δημιουργία ενός ολοκληρωμένου προγράμματος ασφαλούς ανάπτυξης λογισμικού είναι κάτι που απασχολεί όλους όσους ασχολούνται με το development: από μικρές startups μέχρι project managers μεγάλων έργων πληροφορικής. Η εκπαίδευση με τίτλο: “Building a Software Security Program On Open Source Tools” [9] απευθύνεται σε όλους αυτούς. Ξεκινώντας από το OpenSAMM που παρουσιάσαμε στο προηγούμενο τεύχος, δίνει έμφαση σε μεθοδολογίες και εργαλεία ανοικτού και ελεύθερου λογισμικού που μπορούν να βοηθήσουν κάποιον είτε στο να βάλει τις βάσεις είτε στο να εξελίξει ένα πρόγραμμα ασφαλούς ανάπτυξης λογισμικού.

Σημειωτέον, ότι όλες ανεξαιρέτως οι εκπαιδεύσεις δεν περιορίζονται σε θεωρητικές παρουσιάσεις αλλά περιλαμβάνουν πρακτική εξάσκηση μέσα από εργαστήρια και ασκήσεις. Πρόκειται δε για τις μόνες, επίσημες εκπαιδεύσεις που παρέχει το OWASP σε παγκόσμιο επίπεδο.

Οι επόμενες δύο μέρες περιλαμβάνουν πάνω από 30 ομιλίες [10] γύρω από την ασφάλεια λογισμικού και τον ασφαλή προγραμματισμό. Μερικοί από τους ανθρώπους με τη μεγαλύτερη επιρροή στον τομέα της ασφάλειας εφαρμογών θα βρεθούν ανάμεσά μας για να μοιραστούν μαζί μας τις τελευταίες εξελίξεις.
O Gary McGraw, CTO της εταιρίας Cigital, είναι ένας από τους πρώτους μου μίλησαν για ασφάλεια λογισμικού. Συγγραφέας δεκάδων βιβλίων και άρθρων για το θέμα, ένα εκ των οποίων το «θρυλικό» Software Security, είναι από τους πλέον ειδικούς στον τομέα αυτό. Στο συνέδριο θα μας μιλήσει για την πορεία και την εξέλιξη της ασφάλειας λογισμικού τα τελευταία 10 χρόνια, ενός από τους πλέον αναπτυσσόμενους τομείς της πληροφορικής όπως λέει ο ίδιος. Η διαδρομή αυτή θα ξεκινήσει από το βιβλίο του “Software Security” και το περίφημο Trustworthy Computing memo του Bill Gates για να αναφερθεί μεταξύ άλλων στα “Touchpoints”, διάφορες επιθέσεις που επηρέασαν τη ζωή μας και να καταλήξει στο BSIMM, ένα πλαίσιο ωριμότητας που αυτός και η ομάδα του έχουν δημιουργήσει για την ασφάλεια λογισμικού.

Ο Jacob West είναι υπεύθυνος για την έρευνα στον τομέα ασφαλούς λογισμικού της Hewlett Packard, προερχόμενος από την εταιρία Fortify. Θεωρείται κι αυτός από τους πρωτεργάτες της ασφάλειας εφαρμογών, με ειδίκευση στην στατική ανάλυση. Δεν είναι τυχαίο το γεγονός ότι μαζί με τον Brian Chess έγραψε το βιβλίο «Secure Programming with Static Analysis» που θεωρείται σταθμός στο συγκεκριμένο τομέα. Η ομιλία του με τίτλο «Software Security Goes Mobile» εστιάζει στις mobile εφαρμογές, ο αριθμός και η χρήση των οποίων αυξάνεται ραγδαία. Ο Jacob στην ομιλία του θα εξετάσει τις ομοιότητες και διαφορές των Mobile εφαρμογών σε σχέση με τις κλασικές web εφαρμογές και αντίστοιχα θα αναλύσει πώς επαναπροσδιορίζονται τα ζητήματα ασφάλειας στο πεδίο των mobile εφαρμογών και φυσικά ποια νέα προβλήματα προκύπτουν.

Ο Καθηγητής Διομήδης Σπινέλλης δεν χρειάζεται συστάσεις. Με τεράστιο ερευνητικό έργο στον τομέα του software engineering, δεν θα μπορούσε να μην έχει ασχοληθεί και με την ασφάλεια εφαρμογών. Στην ομιλία του θα αναφερθεί στην έρευνα που κάνει για την αντιμετώπιση των επιθέσεων τύπου injection και στο εργαλείο Ensign που έχει αναπτύξει με την ομάδα του για το σκοπό αυτό.

Ο Duncan Harris είναι υπεύθυνος για τη διασφάλιση των εφαρμογών της Oracle. Οι περισσότεροι όταν ακούμε Oracle μας έρχεται στο νου η γνωστή βάση δεδομένων. Στην πραγματικότητα πρόκειται για μια εταιρία με δεκάδες προϊόντα μεταξύ των οποίων η γνωστή βάση, η MySQL, η Java, το Peoplesoft, κλπ. Κάθε μήνα η Oracle βγάζει δεκάδες patches για τα προϊόντα αυτά και σε ορισμένες φορές μάλιστα ξεπερνάνε τα 100. Υπεύθυνος για τη διαδικασία αυτή είναι ο Duncan Harris, ο οποίος θα μας μιλήσει για τα Secure Coding Standards που έχει υιοθετήσει η Oracle καθώς και για τη διαδικασία ελέγχου των εφαρμογών.

Ο Ben Livshits είναι ερευνητής στη Microsoft, με αντικείμενο έρευνας τις προηγμένες τεχνικές στατικής και δυναμικής ανάλυσης. Στην ομιλία του θα μας μιλήσει για το malware σε επίπεδο web εφαρμογών και συγκεκριμένα για τον τρόπο με τον οποίο malware γραμμένο σε Javascript μπορεί να μολύνει οποιονδήποτε browser. Μάλιστα, θα παρουσιάσει εργαλεία που έχει αναπτύξει για τον εντοπισμό τέτοιου είδους κακόβουλου λογισμικού.

Ο Χρήστος Παπαθανασίου είναι ερευνητής ασφάλειας εφαρμογών που αυτό τον καιρό συντονίζει την ομάδα penetration testing για μεγάλο χρηματοπιστωτικό ίδρυμα στην Αγγλία. Πριν από μερικά χρόνια παρουσίασε στη Defcon το πρώτο rootkit για Android. Πλέον έχει στρέψει το ενδιαφέρον του από τον kernel στις εφαρμογές για κινητά. Στην παρουσίασή του θα έχουμε την ευκαιρία να δούμε νέες ευπάθειες που  σχετίζονται με επισφαλείς διαδικασίες ανάπτυξης εφαρμογών για κινητές συσκευές. Παράλληλα θα αναφερθεί εκτενώς στο OWASP Top10 για mobile εφαρμογές.

Φυσικά πέρα από αυτές τα 6 keynotes θα υπάρχουν άλλες 30 ομιλίες, workshops, panels και πολλές συζητήσεις γύρω από την ασφάλεια εφαρμογών. Βέβαια, το OWASP AppSec Research δεν είναι μόνο ομιλίες και ενημέρωση αλλά και διασκέδαση. Έτσι, θα υπάρχουν 2 διαγωνισμοί: το κλασικό Capture the Flag το οποίο πέρα από τα παραδοσιακά challenges που στοχεύουν στην ανίχνευση αδυναμιών θα περιλαμβάνει και ασκήσεις προστασίας ευάλωτου κώδικα, και το University Challenge [17], ένας πρωτότυπος διαγωνισμός εκπαιδευτικού χαρακτήρα μεταξύ ομάδων φοιτητών από πανεπιστήμια. Και για τους δύο διαγωνισμούς έχουμε εξασφαλίσει πλούσια δώρα, ενώ οι νικητές τους θα έχουν την ευκαιρία να κάνουν επί τόπου συνέντευξη με το «επιτελείο» των «κυνηγών ταλέντων” της Cigital. Και αυτό γιατί η Cigital θα διοργανώσει ένα recruiting event, στο οποίο θα παρευρεθεί ο υπεύθυνος για τον εντοπισμό ταλέντων για όλη την Ευρώπη, αναζητώντας νέα αλλά και έμπειρα στελέχη για άμεση πρόσληψη!

Στον τομέα της διασκέδασης, θα έχουμε την ευκαιρία να παρακολουθήσουμε μία σπάνια εμφάνιση του OWASP Band, του συγκροτήματος δηλαδή που απαρτίζεται από μέλη του OWASP και πραγματοποιεί περιορισμένες μόνο εμφανίσεις σε αντίστοιχα συνέδρια με ρεπερτόριο που κυμαίνεται από Metallica μέχρι… οποιαδήποτε «παραγγελιά» απ’ το κοινό. Δεν είναι άλλωστε τυχαίο ότι τα περισσότερα μέλη της μπάντας αυτής έχουν να επιδείξουν δισκογραφική δουλειά!

Φυσικά, δε θα λείπει και το επίσημο δείπνο του συνεδρίου, την Πέμπτη 12/7 το βράδυ, στο εντευκτήριο του πανεπιστημίου «Κωστής Παλαμάς», ένα πανέμορφο, νεοκλασικό κτήριο που κουβαλά τη δική του ιστορία. Εκεί, θα έχουμε την ευκαιρία να συζητήσουμε πιο χαλαρά, με ομιλητές και συμμετέχοντες,

ΣΥΝΔΕΣΜΟΙ:
[1] http://www.appsecresearch.org
[2] http://www.di.uoa.gr
[3] http://www.appsecresearch.org/training
[4] http://wp.me/P2khvq-9g
[5] http://wp.me/P2khvq-9k
[6]  http://wp.me/P2khvq-6Y
[7] http://wp.me/P2khvq-8L
[8] http://wp.me/P2khvq-9e
[9] http://wp.me/P2khvq-9c
[10] http://www.appsecresearch.org/accepted-presentations/
[11] http://www.appsecresearch.org/?page_id=206
[12] http://www.appsecresearch.org/jacob-west-software-security-goes-mobile/
[13] http://www.appsecresearch.org/?page_id=143
[14] http://www.appsecresearch.org/from-easysql-to-cpus/
[15] http://www.appsecresearch.org/?page_id=279
[16] http://www.appsecresearch.org/?page_id=262
[17] http://www.appsecresearch.org/uni-challenge/
[18] http://old.uoa.gr/kkp/


Ο Κωνσταντίνος είναι συντονιστής της Ελληνικής ομάδας εργασίας του OWASP

Δώσε αστέρια!