Basic HTML Version
Linux Inside
14
Ο
πως έχουμε πει πολλές φορές μέσα από τη στήλη αυτή,
φέτος το ετήσιο πανευρωπαϊκό συνέδριο του OWASP, το
OWASP AppSec Research [1], φιλοξενήθηκε στη χώρα
μας από το Τμήμα Πληροφορικής και Τηλεπικοινωνιών [2] του
Πανεπιστημίου Αθηνών. Πρόκειται για ένα από τα μεγαλύτερα
events στην Ευρώπη στο χώρο της ασφάλειας, το οποίο αναμε-
νόταν να συγκεντρώσει περισσότερους από 250 ειδικούς από
ολόκληρο τον κόσμο.
Όπως κάθε χρόνο, οι δύο πρώτες μέρες ήταν αφιερωμένες
σε εξειδικευμένες εκπαιδεύσεις [3]. Έμπειροι εκπαιδευτές από
όλο τον κόσμο μοιράστηκαν τις γνώσεις τους σε εξειδικευμένα
και επίκαιρα θέματα, τα οποία σχετίζονται με τον ασφαλή προ-
γραμματισμό και την ασφάλεια λογισμικού. Έτσι, μπορούσε, για
παράδειγμα, να παρακολουθήσει κανείς ένα εισαγωγικό μάθημα
στον ασφαλή προγραμματισμό (Elite Web Defense – How to
build robust and secure Web applications [4]) ή, αν διέθετε ήδη
κάποια σχετική εμπειρία, να εντρυφήσει ακόμα περισσότερο σε
πιο προηγμένα θέματα (Hack Your Own Code: Advanced
training for developers [5]). Και οι δύο αυτές εκπαιδεύσεις απευ-
θύνονταν κυρίως σε προγραμματιστές και αναλυτές.
Όσοι ασχολούνται με την ανάπτυξη εφαρμογών για mobile
πλατφόρμες είχαν τη δυνατότητα να παρακολουθήσουν μία εξει-
δικευμένη διήμερη εκπαίδευση, που κάλυπτε όλα τα θέματα που
αφορούν στην ασφαλή ανάπτυξη εφαρμογών τόσο για Android
όσο και για iOS (Mobile Security: Securing Your Small, Smart
Devices) [6].
Η εκπαίδευση με τίτλο «Application Attack Detection &
Response – A Hands-on Planning Workshop» [7] αποσκοπούσε
στο να δώσει μία νέα διάσταση στην ασφάλεια εφαρμογών. Οι
εκπαιδευόμενοι εντρύφησαν σε προηγμένες τεχνικές εντοπι-
σμού και απόκρισης σε επιθέσεις μέσα από την εφαρμογή, βασι-
σμένοι στην ιδέα του OWASP AppSensor.
Όσοι ήθελαν να μάθουν περισσότερα πράγματα όσον αφορά
στον έλεγχο και τον εντοπισμό ευπαθειών σε εφαρμογές μπο-
ρούσαν να παρακολουθήσουν την εκπαίδευση με τίτλο
«Assessing and Exploiting Web Applications with Samurai-WTF»
[8]. O Justin Searle περιέγραψε σύγχρονες τεχνικές ελέγχου και
έδειξε πώς μπορεί να χρησιμοποιηθεί η σουίτα ανοικτού λογισμι-
κού Samurai-WTF, η οποία περιλαμβάνει όλα τα γνωστά εργα-
λεία, όπως Burp, Beef, SQLMap, JBroFuzz κ.λπ., για τον εντοπι-
σμό στην πράξη αδυναμιών σε Web εφαρμογές.
Η δημιουργία ενός ολοκληρωμένου προγράμματος ασφα-
λούς ανάπτυξης λογισμικού είναι κάτι που απασχολεί όλους
όσοι ασχολούνται με το development: από μικρές startups μέχρι
project managers μεγάλων έργων πληροφορικής. Η εκπαίδευση
με τίτλο: «Building a Software Security Program On Open Source
Tools» [9] απευθυνόταν σε όλους αυτούς. Ξεκινώντας από το
OpenSAMM, που παρουσιάσαμε στο προηγούμενο τεύχος, έδι-
νε έμφαση σε μεθοδολογίες και εργαλεία ανοικτού και ελεύθε-
ρου λογισμικού, που μπορούν να βοηθήσουν κάποιον είτε στο να
βάλει τις βάσεις είτε στο να εξελίξει ένα πρόγραμμα ασφαλούς
ανάπτυξης λογισμικού.
Σημειωτέον, ότι όλες, ανεξαιρέτως, οι εκπαιδεύσεις δεν πε-
ριορίζονταν σε θεωρητικές παρουσιάσεις, αλλά περιλάμβαναν
πρακτική εξάσκηση μέσα από εργαστήρια και ασκήσεις. Πρόκει-
ται, δε, για τις μόνες επίσημες εκπαιδεύσεις που παρέχει το
OWASP σε παγκόσμιο επίπεδο.
Οι επόμενες δύο μέρες ήταν γεμάτες με πάνω από 30 ομιλίες
[10] γύρω από την ασφάλεια λογισμικού και τον ασφαλή προ-
γραμματισμό. Μερικοί από τους ανθρώπους με τη μεγαλύτερη
επιρροή στον τομέα της ασφάλειας εφαρμογών βρέθηκαν ανά-
μεσά μας, για να μοιραστούν μαζί μας τις τελευταίες εξελίξεις.
O Gary McGraw, CTO της εταιρείας Cigital, είναι ένας από
τους πρώτους που μίλησαν για ασφάλεια λογισμικού. Συγγρα-
φέας δεκάδων βιβλίων και άρθρων για το θέμα, ένα εκ των οποί-
ων το πασίγνωστο «Software Security», είναι από τους πλέον ειδι-
Του Κωνσταντίνου Παπαπαναγιώτου/konstantinos@owasp.org
Στήλες - OWASP
OWASP AppSec Research 2012
Από τις 10-13 Ιουλίου διοργανώθηκε το μεγαλύτερο διεθνές συνέδριο ασφάλειας που έγινε ποτέ στην Ελλάδα, το
OWASP AppSec Research 2012.
www.
owasp.org
Οι Gary McGraw, Jacob West και Ben Livshits
ήταν μερικά μόνο από τα μεγαλύτερα ονόματα
στην ασφάλεια εφαρμογών που βρέθηκαν στην
Ελλάδα για το συνέδριο.
Ο Κωνσταντίνος είναι συντονιστής της ελληνικής ομάδας εργασίας του OWASP.