OWASPSecurity

Specjaliści z IT po jasnej stronie mocy

Źródło: 

- Chcemy pokazać jak w IT można bronić się przed atakami ciemnej strony mocy - mówił Marek Puchalski z firmy Capgemini podczas warsztatów dotyczących bezpieczeństwa aplikacji webowych. Wraz z Wadimem Dziedzicem instruował m.in. co zrobić, by nasza strona nie została przejęta przez hakera.

Warsztaty pt. „Offensive Application Security: Web Application Security Testing” były ostatnią częścią projektu „Wrocław 2.0.17, czyli miasto w czasach rewolucji IT” zorganizowanego przez wrocławską „Wyborczą”, ARAW oraz firmy z branży informatycznej.

Jedna z nich – Capgemini – zaprosiła chętnych ekspertów na praktyczne spotkanie dotyczące bezpieczeństwa systemów. Wśród uczestników znaleźli się m.in. testerzy, deweloperzy czy architekci oprogramowania.

Dlaczego przyszli? – Kiedyś stworzony przeze mnie system złamano i nie chciałbym, aby kiedykolwiek się to powtórzyło – mówił jeden z uczestników.

Prowadzący warsztaty Marek Puchalski i Wadim Dziedzic z Capgemini nie byli tym zdziwieni. – Deweloperzy czy testerzy często mają braki dotyczące standardów bezpieczeństwa. Ci, którzy atakują takich braków nie mają – mówił Wadim.

Jeszcze przed rozpoczęciem spotkania na monitorze prowadzących wyświetlił się Darth Vader – czarny charakter sagi Gwiezdne Wojny. Eksperci z Capgemini uśmiechali się, że to przypadek, ale jak przyznali hakerów można porównać, do tych, którzy w fikcyjnej opowieści przeszli na ciemną stronę mocy.

– My chcemy pokazać jak w IT można bronić się przed atakami tej ciemnej strony mocy, wykorzystując do tego odpowiednie narzędzia. Dbanie o bezpieczeństwo aplikacji przypomina trochę partię szachów lub układanie kostki rubika. Jest tu potrzebna dogłębna analiza, przewidywanie kolejnych posunięć, czy spoglądanie znacznie głębiej niż przeciętny użytkownik – analizował Marek Puchalski.

W czasie warsztatów, na testowej aplikacji, pokazywał jak można w dość prosty sposób przejąć nad nią kontrolę. Równocześnie prezentował jak się przed atakami bronić. – Badania pokazują, że w 98 procentach aplikacji można znaleźć jakiś błąd, a 17 procent z nich ma błędy, które możemy określić jako śmiertelne. Czasami decyduje o tym jedna linijka kodu – przestrzegał Puchalski.

Uczestników zachęcał, by do kwestii bezpieczeństwa przywiązywali szczególną wagę. I uczulali na nie także swoich przełożonych. – Bezpieczeństwa nie widać, a jego utrzymywanie kosztuje dlatego ciężko rozmawia się o nim z menedżerami. Jednocześnie złamanie zabezpieczeń generuje dla firmy potężne koszty – czasem wręcz rok pracy zespołu, by wrócić do normalności. Dlatego właśnie bezpieczeństwo jest tak istotne – podkreślał Puchalski.