Page 15 - Linux Inside τ. 9

Linux Inside

15

Στήλες - OWASP

κούς στον τομέα αυτό. Στο συνέδριο μίλησε για την πορεία και

την εξέλιξη της ασφάλειας λογισμικού τα τελευταία 10 χρόνια,

ενός από τους πλέον αναπτυσσόμενους τομείς της πληροφορι-

κής, όπως λέει ο ίδιος. Η διαδρομή αυτή ξεκίνησε από το βιβλίο

του «Software Security» και το περίφημο Trustworthy Computing

memo του Bill Gates, για να αναφερθεί, μεταξύ άλλων, στα

«Touchpoints», διάφορες επιθέσεις που επηρέασαν τη ζωή μας,

και να καταλήξει στο BSIMM, ένα πλαίσιο ωριμότητας που ο

ίδιος και η ομάδα του έχουν δημιουργήσει για την ασφάλεια λο-

γισμικού. Ο Jacob West είναι υπεύθυνος για την έρευνα στον το-

μέα ασφαλούς λογισμικού της Hewlett Packard, προερχόμενος

από την εταιρεία Fortify. Θεωρείται κι αυτός από τους πρωτερ-

γάτες της ασφάλειας εφαρμογών, με ειδίκευση στη στατική ανά-

λυση. Μαζί με τον Brian Chess έγραψε το βιβλίο «Secure

Programming with Static Analysis», που θεωρείται σταθμός στο

συγκεκριμένο τομέα. Η ομιλία του με τίτλο «Software Security

Goes Mobile» εστίαζε στις mobile εφαρμογές, ο αριθμός και η

χρήση των οποίων αυξάνεται ραγδαία. Ο Jacob στην ομιλία του

εξέτασε τις ομοιότητες και διαφορές των mobile εφαρμογών σε

σχέση με τις κλασικές Web εφαρμογές και αντίστοιχα θα ανέλυ-

σε πώς επαναπροσδιορίζονται τα ζητήματα ασφάλειας στο πε-

δίο των mobile εφαρμογών και, φυσικά, ποια νέα προβλήματα

προκύπτουν. Ο καθηγητής Διομήδης Σπινέλλης δεν χρειάζεται

συστάσεις. Με τεράστιο ερευνητικό έργο στον τομέα του

software engineering, δεν θα μπορούσε να μην έχει ασχοληθεί

και με την ασφάλεια εφαρμογών. Στην ομιλία του αναφέρθηκε

στην έρευνα που κάνει για την αντιμετώπιση των επιθέσεων τύ-

που injection και στο εργαλείο Ensign που έχει αναπτύξει με την

ομάδα του για το σκοπό αυτό.

Ο Duncan Harris είναι υπεύθυνος για τη διασφάλιση των

εφαρμογών της Oracle. Οι περισσότεροι, όταν ακούμε Oracle,

μας έρχεται στο νου η γνωστή βάση δεδομένων. Στην πραγματι-

κότητα, πρόκειται για μία εταιρεία με δεκάδες προϊόντα, μεταξύ

των οποίων η γνωστή βάση, η MySQL, η Java, το Peoplesoft κ.ά.

Κάθε μήνα η Oracle βγάζει δεκάδες patches για τα προϊόντα αυ-

τά – ορισμένες φορές, μάλιστα, ξεπερνούν τα 100. Υπεύθυνος

για τη διαδικασία αυτή είναι ο Duncan Harris, ο οποίος μας μίλη-

σε για τα Secure Coding Standards που έχει υιοθετήσει η

Oracle, καθώς και για τη διαδικασία ελέγχου των εφαρμογών.

Ο Ben Livshits είναι ερευνητής στη Microsoft, με αντικείμενο

έρευνας τις προηγμένες τεχνικές στατικής και δυναμικής ανάλυ-

σης. Στην ομιλία του θα ασχολούνταν με το malware σε επίπεδο

Web εφαρμογών και συγκεκριμένα για τον τρόπο με τον οποίο

malware γραμμένο σε Javascript μπορεί να μολύνει οποιονδή-

ποτε browser. Μάλιστα, παρουσίασε εργαλεία που έχει αναπτύ-

ξει για τον εντοπισμό τέτοιου κακόβουλου λογισμικού.

Ο Χρήστος Παπαθανασίου είναι ερευνητής ασφάλειας εφαρ-

μογών που αυτό τον καιρό συντονίζει την ομάδα penetration

testing για μεγάλο χρηματοπιστωτικό ίδρυμα στην Αγγλία. Πριν

από μερικά χρόνια παρουσίασε στην Defcon το πρώτο rootkit για

Android. Πλέον έχει στρέψει το ενδιαφέρον του από τον kernel

στις εφαρμογές για κινητά. Στην παρουσίασή του μίλησε για τις

νέες ευπάθειες που σχετίζονται με επισφαλείς διαδικασίες ανά-

πτυξης εφαρμογών για κινητές συσκευές. Παράλληλα, αναφέρ-

θηκε εκτενώς στο OWASP Top10 για mobile εφαρμογές. Φυσι-

κά, εκτός από αυτά τα 6 keynotes, υπήρχαν άλλες 30 ομιλίες,

workshops, panels και πολλές συζητήσεις γύρω από την ασφά-

λεια εφαρμογών. Βέβαια, το OWASP AppSec Research δεν είναι

μόνο ομιλίες και ενημέρωση, αλλά και διασκέδαση. Έτσι, υπήρ-

χαν δύο διαγωνισμοί: το κλασικό Capture the Flag, το οποίο, πέ-

ρα από τα παραδοσιακά challenges που στοχεύουν στην ανί-

χνευση αδυναμιών, περιλαμβάνει και ασκήσεις προστασίας ευά-

λωτου κώδικα, και το University Challenge [17], ένας πρωτότυ-

πος διαγωνισμός εκπαιδευτικού χαρακτήρα μεταξύ ομάδων φοι-

τητών από πανεπιστήμια. Και για τους δύο διαγωνισμούς είχαν

εξασφαλιστεί πλούσια δώρα, ενώ οι νικητές τους είχαν την ευ-

καιρία να κάνουν επί τόπου συνέντευξη με το επιτελείο των «κυ-

νηγών ταλέντων» της Cigital. Και αυτό γιατί η Cigital θα διοργά-

νωνε ένα recruiting event, στο οποίο θα παρευρισκόταν ο υπεύ-

θυνος για τον εντοπισμό ταλέντων για όλη την Ευρώπη, αναζη-

τώντας νέα και έμπειρα στελέχη για άμεση πρόσληψη!

Στον τομέα της διασκέδασης είχαμε την ευκαιρία να παρακο-

λουθήσουμε μία σπάνια εμφάνιση του OWASP Band, δηλαδή

του συγκροτήματος που απαρτίζεται από μέλη του OWASP και

το οποίο πραγματοποιεί περιορισμένες μόνο εμφανίσεις σε αντί-

στοιχα συνέδρια, με ρεπερτόριο που κυμαίνεται από Metallica

μέχρι… οποιαδήποτε «παραγγελιά» από το κοινό! Δεν είναι, άλ-

λωστε τυχαίο, το ότι τα περισσότερα μέλη της μπάντας αυτής

έχουν να επιδείξουν δισκογραφική δουλειά!

Τέλος, δεν έλειπε και το επίσημο δείπνο του συνεδρίου, την

Πέμπτη 12/7, στο εντευκτήριο του Πανεπιστημίου «Κωστής Πα-

λαμάς», ένα πανέμορφο, νεοκλασικό κτήριο, που κουβαλά τη δι-

κή του ιστορία. Εκεί είχαμε την ευκαιρία να συζητήσουμε πιο χα-

λαρά, με ομιλητές και συμμετέχοντες. •

Σύνδεσμοι:

[1] http://www.appsecresearch.org

[2] http://www.di.uoa.gr

[3] http://www.appsecresearch.org/training

[4] http://wp.me/P2khvq-9g

[5] http://wp.me/P2khvq-9k

[6] http://wp.me/P2khvq-6Y

[7] http://wp.me/P2khvq-8L

[8] http://wp.me/P2khvq-9e

[9] http://wp.me/P2khvq-9c

[10] http://www.appsecresearch.org/accepted-presentations

[11] http://www.appsecresearch.org/?page_id=206

[12] http://www.appsecresearch.org/jacob-west-software-security-

goes-mobile

[13] http://www.appsecresearch.org/?page_id=143

[14] http://www.appsecresearch.org/from-easysql-to-cpus

[15] http://www.appsecresearch.org/?page_id=279

[16] http://www.appsecresearch.org/?page_id=262

[17] http://www.appsecresearch.org/uni-challenge

[18] http://old.uoa.gr/kkp