Что о безопасности приложений расскажут на SafeCode29.02.2024 19:30

В декабре мы представили Хабру нашу новую онлайн-конференцию SafeCode. А теперь, когда до неё осталось две недели и программа готова, можем подробнее рассказать, о чём именно будут доклады.

Если ограничиться одной фразой, то на конференции подойдут к application security с разных сторон: от JavaScript до ассемблера, от DevSecOps до ML, от «уязвимости мобильных приложений» до «пентеста веб-приложения».

А полные описания всех докладов — под катом :

Содержание

• Аналитика

• Практика

• Инструменты

• DevSecOps

• ML

• Другое

Аналитика

Ошибки в коде: ожидания и реальность

Используя статический анализатор кода, пользователь может находить в коде вовсе не те ошибки, которые ожидал. Это не хорошо и не плохо, а интересная тема для обсуждения. Особенно с учётом того, что говорить о ней будет @Andrey2008 — Хабру уже известны многие его посты о статическом анализе.

Поговорим о том, почему синтетические тесты врут и почему их сложно составлять. Затронем ложные ожидания при разработке и использовании статических анализаторов кода, а также интересные закономерности в обнаруживаемых ошибках.

Безопасность supply chain: противостоим опасным зависимостям

У цепочки поставок (supply chain) большая площадь для атак. К тому же подобные атаки часто обходят традиционные меры безопасности, что затрудняет их обнаружение и предотвращение.

Разберем, что в ответ на эту проблему предлагают нам мировые стандарты SLSA, OWASP SCVS, CIS SSCSG и попытаемся сузить тему до цепочки поставок сторонних зависимостей. Почему в этот раз ограничим себя этой темой? Если злоумышленник нацеливается на цепочку поставок, он пойдет по пути наименьшего сопротивления, а open source-компоненты — самое слабое звено в этой системе.

Разберем методы и тактики, которые используют злоумышленники для манипуляций с зависимостями, проанализируем репозитории некоторых компонентов, определим их состояние и оценим степень риска компрометации системы через эти зависимости.

Развитие практик стандартизации Secure SDL: от международных лучших практик к «импортозамещенным» требованиям

Практики DevSecOps и AppSec стремительно развиваются, и это порождает объективную потребность в стандартизации. Но есть проблема — различные отраслевые организации, государственные регуляторы, комитеты по стандартизации, неформальные сообщества видят только какую-то часть «слона». Вдобавок существует страновая специфика, а также интересы вендоров и коммерческих организаций в создании собственных практик.

Проходят годы, и хотя стандартов становится больше, проблемы информационной безопасности и оцениваемые риски лишь возрастают. И возникает закономерный вопрос — не пора ли нам стандартизировать стандартизацию? И что можно использовать из существующих практик, с учетом специфики отечественного законодательства, чтобы сфокусироваться на продуктивной работе и не запутаться в предлагаемом многообразии вариантов?

JavaScript как конструктор безопасного языка

За прошедшие несколько лет на конференции HolyJS мы проводили обзор возможностей метапрограммирования в JavaScript. С момента появления языка он считается непригодным для создания безопасного кода. Но на самом деле это уже давно не так, и в этом докладе Виктор покажет, как может выглядеть безопасный код на JavaScript.

Конечно, основной упор будет на типобезопасности (безопасности типов), к которой у сообщества больше всего вопросов. Кроме этого рассмотрим безопасность системы наследования и жизненного цикла — в комплексе обозначим подход к разработке безопасного кода на JavaScript.

Страх и ненависть в мобильных приложениях: какие уязвимости актуальны до сих пор и как их найти?

Поговорим о проблемах безопасности в мире мобильных приложений. Почему их безопасность важна? Почему безопасность мобилок, если не на первом месте, то должна быть вровень с серверной частью системы?

Помимо рассуждений о безопасности поговорим про ряд уязвимостей, которые встречаются в мобильных приложениях. Будут простые уязвимости, которые компания Юрия находит практически в каждом мобильном приложении. Будут и более опасные атаки, которые затрагивают в том числе серверную часть. Также будут наиболее интересные срабатывания, которые было тяжело найти, но о которых крайне интересно рассказать.

Как открыть YouTube в банковском приложении? Как украсть внутренние файлы из приложения без взаимодействия с пользователем? Как обойти биометрическую аутентификацию? Почему компоненты с secure в имени самые уязвимые? Юрий раскажет об этом и о том, как это можно найти и как защититься от всего этого.

Архивы уязвимостей и как их готовить

В мире существует множество баз данных и форматов для хранения уязвимостей. Многие из вас знакомы с такими аббревиатурами, как CVE и CWE. Некоторые слышали о NVD и OWASP, а кто-то, возможно, даже умеет рассчитывать векторы атак по CVSS. Однако в глобальном мире, где программистам важно быстро анализировать свой код и узнавать об уязвимых зависимостях, существует множество баз данных для лучшей агрегации и поиска по существующим проблемам безопасности.

Есть целые комитеты, которые разрабатывают форматы — такие, как OSV — для лучшего представления и репортинга проблем с безопасностью в базах GitHub Advisory, Ubuntu Security Notices, Android Vulnerability Database и других. В итоге очень сложно уследить за всеми новыми аббревиатурами и обновлениями, которые появляются почти ежедневно.

Андрей обобщит знания об уже существующих форматах, схемах и репозиториях для уязвимостей. Он поделится опытом создания нового формата для представления и хранения уязвимостей под названием COSV. Кроме того, Андрей расскажет про личный опыт разработки базы данных уязвимостей, построенной на основе этого формата, которая стала стандартом для China Computing Federation (CCF).

Практика

Секреты в безопасности: предотвращение утечек и компрометаций в большой компании

Хранение паролей в открытом виде может привести к компрометации инфраструктуры компании. Зачастую киберпреступники для своих атак используют именно скомпрометированные секреты: строки подключения к БД, токены, API-ключи, сертификаты и т. д. Именно поэтому важно не хранить секреты в открытом виде и проактивно предотвращать их утечки.

Вы узнаете:

каким образом детектируются секреты в компании;
как выстроен процесс обработки найденных секретов;
как Ольга и команда боролись с фолсой;
как они научились предотвращать компрометацию секретов до их публикации с помощью локального автообновляемого хука.

Будет интересно тимлидам, менеджерам проектов, руководителям подразделений.

Уязвимости бизнес-логики, которые могут стоить вам миллионы

В масштабных проектах с большим количеством микросервисов в процессе развития появляется все больше сложных и трудно анализируемых бизнес-процессов. Продукт обрастает логикой, в том числе и легаси.

Во время доклада вы увидите примеры реальных уязвимостей в рамках жизненного цикла различных продуктов. Получите ответ на вопрос: как минимизировать количество таких ошибок и избавиться от некоторых из них?

Проектируем безопасный сервис аутентификации

Александр рассмотрит проблематику проектирования самописного сервиса аутентификации для большой ИТ-компании. В таком сервисе нужно учесть большое количество аспектов ИБ, а также он должен решать проблему единой точки входа для компании — как для внутренних сотрудников, так и для внешних пользователей продукта.

Как защитить ядро. Поговорим о безопасном коде на kernel space

Ядро операционной системы — это всегда часть TCB, и потому к нему повышены требования безопасности. Однако построить даже базовые практикам SDL совсем не просто.

Анна подробно расскажет, почему безопасный код в ядре стоит дороже, чем в приложении. Поговорим об ограничении инструментов, про применимость практик и специфические аппаратные возможности.

В докладе будут намеки на ассемблер, ведь безопасный код — он «до самого низа».

Ответственное использование авторизационных токенов

Поговорим о токенах в целом, о плюсах и минусах использования каждого типа. Вспомним структуру JSON Web Token, посмотрим на нее со стороны устойчивости к взломам. Обратимся к техническим спецификациям, описывающим процесс аутентификации и авторизации, чтобы понять, какие проблемы могут возникнуть в процессе проектирования таких систем.

Поговорим об известных процессах взлома авторизационных токенов и о том, как такие проблемы решать. Обязательно коснемся процесса проектирования систем аутентификации и авторизации: на что следует обращать внимание, какие компромиссные решения могут быть. Определим основные практики проектирования.

Анализ поверхности атаки приложений и программных систем

Анализ поверхности атаки необходим для тестирования и сертификации ПО. Одна из частей поверхности атаки — это потенциально уязвимые функции и модули, обрабатывающие пользовательский ввод или чувствительные данные. Эти части программного кода могут быть найдены экспертно или с помощью средств статического и динамического анализа.

В докладе — обзор методов анализа кода и их применение для определения поверхности атаки.

Инструменты

Fast recon — быстрая разведка при пентесте веб-приложения

Доклад раскрывает тему проведения быстрой разведки и поиска «низко висящих фруктов». Рассмотрим утилиты для парсинга веб-кэша, используемые для генерации словаря для перебора директорий, с помощью которого ищут директории и файлы, «забытые» на сервере, а также уязвимости SSRF, SQLi и прочие в URL-адресах.
Рассмотрим технику быстрого составления словарей через утилиты subfinder, httpx, anew, hakrawler. На основе полученных данных также рассмотрим расширения Burp Suite для генерации словарей, основанных на истории запросов и конечных точек API.
Главная идея доклада — осветить основные темы, чтобы провести комплексную разведку с быстрыми и результативными проверками. Возможно, после доклада вы захотите поделиться с коллегами из сферы безопасной разработки техниками из пентеста, с помощью которых они могут быстро проверять веб-приложение или внешний периметр. Никита расскажет, что можно проверять защищенность не только сканером, подобным Acunetix.
Будет интересно джунам и мидлам, знакомым с безопасностью приложений с точки зрения аппсека, но не имеющим знаний и навыков пентеста.

Прорубаем окно в DevSecOps, внедряя ASPM

Артем расскажет о том, что такое ASPM идеологически. Рассмотрит систему со стороны пользователя — аппсека и со стороны разработчика, так как однажды они пришел в аппсек, но стал разработчиком ASPM. Поговорим о месте технологии на рынке и о том, какие требования он предъявляет.

Обсудим, почему «вызов из пайплайна GitLab’а — это не оркестратор» и «дашборды бесполезны, если нет функциональности». На своем примере Артем докажет, что ASPM это (не)больно и (не)страшно, но очень важно. Он проведет краткий обзор существующих решений и сравнит их, заострив внимание на наиболее важной функциональности.

На основе собственного опыта, сравнения и воздействия рынка (требований заказчиков) спикер поделится мнением, в каком направлении двигаться разработчикам решений, компаниям, которые решили разрабатывать оркестратор самостоятельно, а также тем, кому только предстоит выбрать, по какому пути они будут развиваться.

Как аппсеки в Авито API собирали

Если у вас монолит — у вас одна точка входа, можно генерировать OpenAPI-файл с описанием всего API. Сразу понятны рейт-лимиты, наличие авторизации легко проверить, даже сходу можно запустить DAST с высоким покрытием. Мир меняется, когда появляется пара тысяч микросервисов, несколько гейтвеев, внутренние и внешние балансеры, сотни доменов — разобраться в том, какие именно ограничения действуют на API-ручку, становится сложно.

Александр расскажет о том, как в компании научились строить дерево роутинга для всего API с покрытием более 95%, реализовали обнаружение небезопасных конфигураций API и научились предоставлять данные по API для динамических сканеров безопасности. Рассмотрим, какие результаты принесла эта система.

DevSecOps

Безопасность контейнерных сред. Как мы встали на путь разработки собственного решения и что из этого получилось

Доклад будет полезен и интересен всем, кто задумывался о выборе сканера уязвимостей для контейнеризации. Вот и в Lamoda Tech подошли к этому вопросу, начав выбирать подходящий инструмент.

Столкнулись с несколькими сложностями: решения вендоров полноценно не поддерживали существующую в компании версию Kubernetes, а опенсорсные решения не до конца отвечали запросам Lamoda Tech. «Почему бы не написать собственное решение?» — подумали они.

Так и сделали. Александр и Игорь расскажут, как реализовывали разработку, поделятся ее итогами и планами на будущее.

Нестандартное применение Kyverno

Сейчас трудно представить безопасный Kubernetes-кластер без использования PolicyEngine. Kyverno — одно из самых популярных решений этого класса.

Политики Kyverno могут валидировать, мутировать, генерировать и удалять Kubernetes-ресурсы, а также проверять подписи образов и артефактов для обеспечения безопасности цепочки поставок. Однако на этих тривиальных способах использования Kyverno его возможности не заканчиваются. Во время доклада вам покажут, что они практически безграничны и могут быть ограничены лишь полетом ваших мыслей и фантазий.

Технологии: Kubernetes, Kyverno. Будет интересно AppSec-/DevSecOps-инженерам, DevOps.

ML

Разглядываем MITRE ATLAS

MITRE ATT&CK — хорошо известный фреймворк для классификации угроз безопасности ПО. А вот его специфичный для ML вариант под названием ATLAS известен гораздо меньше.

Павел считает, что вероятность появления в системах каких-либо элементов машинного обучения будет со временем только возрастать. А следовательно, их разработчикам стоит на ранних стадиях задуматься об обеспечении безопасности ML-based решений.

В докладе будут рассмотрены конкретные примеры уязвимостей из избранных элементов ATLAS-матрицы. В том числе кейс, к добавлению которого Павел приложил свои усилия.

Уязвимости и защита мультимодальных LLM

Евгений представит анализ рисков безопасности, связанных с использованием мультимодальных LLM-технологий в корпоративной среде. Обсудим конкретные случаи использования LLM для разработки продуктов и автоматизации, выявление и митигацию инъекций промптов, а также стратегии противодействия скрытым механизмам атак в виде троянских коней и уязвимостей плагинов.

Вам расскажут, как применять рекомендации OWASP для идентификации уязвимостей в LLM и разработки соответствующих контрмер. Доклад рассчитан на специалистов по информационной безопасности, разработчиков и IT-руководителей, заинтересованных в повышении устойчивости их систем к современным атакам. Участники узнают о практических аспектах защиты LLM и получат рекомендации по эффективной интеграции защитных механизмов в свои IT-системы.

Большой куш: баги в MLOps и моделях машинного обучения, которые приводят к тем самым последствиям

Разработчик «Четыре Пальца» должен был безопасно переправить модели из стадии разработки в production. Однако из-за ряда непродуманных действий — отсутствия проверки кода моделей на уязвимости и безопасной настройки пайплайна — он оказывается втянут в цепь непредвиденных событий: adversarial-атаки, кража модели и ее модификации. Это, в свою очередь, приводит к образованию сложной «интриги» с множеством уязвимостей.

В докладе продемонстрируют методологию проведения пентеста и анализа защищенности для выстроенного MLOps pipeline. Проведут анализ типичных недостатков конфигурации, а также рассмотрят уязвимости моделей машинного обучения, при помощи которых пентестер или злоумышленник может получить «большой куш» — тот самый критический риск, который может причинить большой вред компании. Помимо самих атак будут даны рекомендации по защите от атак на MLOps.

Доклад может быть интересен специалистам по тестированию на проникновение, AppSec-инженерам и DevSecOps.

Люди и карьера

Как вовлечь разработчиков в фикс уязвимостей. Рецепт от СберМаркета

Доклад о том, как организовали систему оценки зрелости команд и создали инструменты для их мотивации и оценки.

Есть разработчики, которые понимают, почему надо фиксить уязвимости. А есть те, кому time to market важнее всего остального. Как поддержать первых и убедить вторых в том, что безопасность нужна? Как понять, что команда лояльна к безопасности или наоборот требует повышенного внимания? Как связать уровень безопасности сервисов и уровень зрелости команд? Нияз ответит на эти вопросы во время выступления.

Другое

WAF — необходимое звено в защите веб-приложений или навязанная коробка? Взгляд интегратора

Web application firewall — отдельное решение для защиты приложений, которое часто воспринимается как «черный ящик». У специалистов, которые не работают с WAF, возникает вопрос, насколько необходимо и эффективно это решение. В ходе дискуссии с коллегами у нас в команде выработалось определенное видение, которым хочет поделиться Аскар.

В докладе Аскар расскажет:

Какие функции защиты обычно возлагают на web application firewall.
Можно ли реализовать защиту другими средствами.
Какие типовые схемы защиты мобильных и веб-приложений встречались в ходе работ в различных организациях.

Напоследок

Что нужно знать, если раньше не участвовали в наших конференциях? Для нас важно, чтобы даже в онлайне они не превращались в одно лишь «смотреть видеопоток». Поэтому, например, после каждого доклада спикера можно как следует помучить вопросами в формате видеосозвона. А кроме докладов, в онлайне происходят и другие активности.

Так что, если откладывать «позже на YouTube записи увижу», пропускаешь часть происходящего. Остаётся напомнить даты: 13–14 марта, онлайн. Все остальные подробности, а также билеты — на сайте.

© Habrahabr.ru