«Безопасный код» — понятие широкое. Так что по названию онлайн-конференции SafeCode 2024 может быть непонятно: о чём пойдёт речь в докладах? Для кого это будет?
Для начала стоит подчеркнуть, что конференция не просто «о безопасности», а конкретно «о безопасности приложений». То есть из множества вещей, связанных с security, здесь речь о тематике application security. Какие принципы обеспечения безопасности должны применяться на каждом этапе разработки ПО?
И это конференция не «для безопасников», а «для всех, кто связан с циклом разработки ПО»: ответственных разработчиков, тестировщиков, системных и бизнес-аналитиков, security-чемпионов, DevOps и SRE.
А поскольку конференция уже на следующей неделе, её программа полностью готова. Так что мы публикуем, и можете просто прочитать описания докладов в этом хабрапосте — вот тогда станет совсем ясно, о чём это и интересно ли вам лично.
WEB. Безопасность данных авторизации. Утечет или нет?
Артемий Юрьев
Газпромбанк
В докладе затронуты проблемы конфиденциальности данных авторизации при работе web-приложениями.
Рассматриваются различные механизмы авторизации в системах и веб-сервисах, от basic-авторизации до сложных технических токенов (включая JWT).
Предлагаются методики по аудиту безопасности веб-приложений на предмет возможности утечек с учетом способов их хранения в мобильных устройствах и браузерах.
Приводятся примеры трафика при передаче данных в авторизованной зоне. Какие бывают уязвимости, связанные с Broken access control (OWASP Top-1).
Описываются сценарии атак, применяемые злоумышленниками, и случаи утечек.
Евгений Новиков
Kaspersky
В докладе Евгений предложит подход к фаззингу драйверов KasperskyOS на основе движка libFuzzer. Покажет, каким образом достигаются достаточно сложные состояния, получается высокий процент покрытия кода и находятся те ошибки, которые затруднительно обнаружить с помощью других подходов к обеспечению качества.
AppSecAutomation: как внедрить проверки в жизнь разработчиков и не свести их с ума
Вячеслав Давыдов
Независимый эксперт
Алена Жилина
Независимый эксперт
В докладе:
Рассмотрим, что представляет собой приложение в контексте AppSec.
Разберемся с зоопарком практик и инструментов и обсудим, что вообще со всем этим делать.
Узнаем о подходе спикеров к оркестрации AppSec-инструментов в процессе или on-demand сценариях.
Посмотрим, как упрощают процесс работы с AppSec-инструментами и AppSec-практиками с помощью Kubernetes-оператора.
Прикладная криптография. С чего начать и что учитывать
Анкель Лихтенберг
ИнфоТеКС
При разработке продуктов часто требуется выполнение таких функций, как:
защищенное хранение информации;
авторизация пользователей;
использование электронной подписи и т. д.
Выполнение всех этих функций обеспечивается с помощью криптографических механизмов.
Криптография — это постоянно развивающаяся наука, которая требует от разработчика особого внимания. Поговорим о том, какие существуют способы реализации и использования, какие алгоритмы рекомендуется использовать и почему, где должны храниться ключи и почему именно так. Вам покажут, на что обратить внимание при разработке продукта, в котором необходимо использовать криптографические функции.
Готовим контейнеры полезно и вкусно
Анатолий Карпенко
Luntry
Алексей Федулаев
MTC Web Services
Кто сказал, что готовить контейнеры вкусно и полезно трудно? Вовсе нет, если под рукой у вас наш воркшоп, в основе которого лежит идея, согласно которой полезные контейнеры должны быть доступны всем, а не только безопасникам. Вкусные и полезные контейнеры могут готовить и разработчики, и инженеры эксплуатации, и тестировщики, не тратя на это слишком много усилий и времени.
Независимо от вашего уровня кулинарного мастерства этот воркшоп поможет вам создавать полезные и вкусные контейнеры день за днем, используя качественные базовые образы, свежие пакеты и правильные рецепты конфигураций. Все рецепты успешно прошли испытание временем, в них учтены различные тонкости и нюансы, благодаря которым контейнерам можно придать нужные вам безопасные свойства.
Attack, Defend, Repeat: цикличность, история и эволюция бинарных атак и защит
Сергей Игнатов
ИСП РАН
Рассмотрим эволюцию методов защиты от бинарных уязвимостей, таких как переполнение буфера и повреждение памяти. На протяжении многих лет атакующие и защитники вели бесконечную «игру в кошки-мышки», что приводило к развитию все более сложных методов защиты. В ходе доклада вам расскажут, как методы защиты памяти прошли путь от неисполняемого стека до современных решений, таких как Control Flow Integrity (CFI) и ARMv8 Memory Tagging Extension (MTE).
Мы изучим, какие защитные технологии формируют сегодняшний ландшафт, обсудим их возможности для дальнейшего развития и способы усиления перед новыми вызовами. В конце доклада у вас появится больше понимания о ключевых инструментах и подходах для повышения безопасности ваших систем и о грядущих угрозах, требующих решения.
Как работать с PVS-Studio в Visual Studio
Евгения Елтукова
PVS-Studio
PVS-Studio — статический анализатор кода для поиска опечаток, логических ошибок и потенциальных уязвимостей в коде программ, написанных на языках C, C++, C#, Java. В этом видео Евгения познакомит вас с плагином PVS-Studio для среды разработки Microsoft Visual Studio.
Пройдем весь путь работы с анализатором: от скачивания плагина до работы с результатами анализа. Вы узнаете:
как запускать анализ;
какие способы сортировки предупреждений предлагает плагин;
как быстро посмотреть самые достоверные предупреждения;
что делать с ложноположительными срабатываниями;
какие настройки сделают отчет анализатора более точным.
Посторонним вход воспрещен: ошибки аутентификации и авторизации
Анна Куренова
ATI.SU
Что собой кратко представляет вход в систему:
Идентификация пользователя — проверка, что пользователь существует в системе.
Аутентификация — проверка подлинности (пароля, токена и т. д.).
Авторизация — предоставление доступа.
Рассмотрим проблемы безопасности этого процесса, найденные в ходе Bug Bounty.
Это логические проблемы:
Изменения аутентификационных данных.
Обход этапов аутентификации — 2FA
Проблемы авторизации.
Разберемся, как этих уязвимостей можно было избежать на этапе проектирования и разработки.
Эволюция угроз Gen AI и адаптация security фреймворков
Евгений Кокуйкин
Raft
Евгений рассмотрит ключевые изменения в классификации рисков, связанных с внедрением генеративного ИИ. Подробно остановимся на изменениях во фреймворке оценки безопасности моделей Llama, проанализируем, какие риски вендоры выделяют в первую очередь и какие пробелы остаются незакрытыми.
Особое внимание уделим решениям по защите, предлагаемым CYBERSECEVAL 3, и тому, как они помогают минимизировать угрозы. Кроме того, рассмотрим другой важный фреймворк — OWASP Top 10 LLM — и то, как его обновленные версии учитывают развитие моделей и появление новых типов рисков.
Модельные варианты ошибок, или Как статические анализаторы находят ошибки, которые не могут искать
Андрей Карпов
PVS-Studio
ГОСТ Р 71207, касающийся статического анализа кода, вводит термин «модельный вариант» ошибок. Андрею как разработчику статического анализатора это понятие кажется очень интересным и важным. Дело в том, что невозможно в общем виде искать такие ошибки, как неопределенное поведение, разыменование нулевых указателей или опечатки. Но искать их нужно.
Как же создатели анализаторов выходят из этой ситуации? Как раз с помощью понятия модельных вариантов ошибок (даже не зная, что они так называются), сводя поиск ошибки общего типа к задаче поиска ошибок множества подтипов.
Давайте заглянем внутрь PVS-Studio и посмотрим, как происходит поиск ошибок, несмотря на технологические ограничения методологии статического анализа.
Взломай SafeCode вместе с хакером
Алексей Морозов
ecom.tech
Как хакеры вживую ломают ресурсы? На этот вопрос ответим на мастер-классе. Возьмем живой сайт и попробуем найти как можно больше уязвимостей. В процессе Алексей будет рассказывать про инструменты и способы, используемые для взлома сайта конференции.
Анализ поведения как способ контроля безопасности frontend-приложений в DevSecOps
Михаил Парфенов
DPA Analytics
JavaScript-приложения, выполняемые в браузерах пользователей, содержат критичную информацию и используются для атак на пользователей. При этом браузер клиента является слепой зоной для безопасности.
Анализ поведения фронтенд-приложения перед релизом в DevSecOps и разбор отклонений от зафиксированного профиля позволяют выпускать приложения по принципу Secure by Design. Дополнительно мы сможем обнаружить НДВ и вредоносное поведение JavaScript-кода в прямых и транзитивных зависимостях.
Поговорим о составляющих профиля поведения фронтенд-приложения, понятии Software Bill of Behavior (SBOB), методах его автоматизированного сбора и подходе Frontend Application Security Testing (FAST).
ВДНХ
«ВДНХ» — это отдельный тематический блок. В нём собраны не доклады в привычном формате, а видеоролики об AppSec-решениях, которые применяются в отечественных IT-компаниях:
Подходы к защите контейнерных сред и приложений
iТорри Team
ТОРЭКС
Сканирование образов — важный элемент процесса защиты контейнерных сред и приложений, но, к сожалению, не позволяет обеспечить защиту приложения на всем его жизненном цикле.
Если вы уже озаботились поиском уязвимостей образов, которые используют ваши разработчики, то самое время задуматься о контроле безопасности настроек самой инфраструктуры (security posture management), а также о защите уже запущенных приложений в режиме реального времени (runtime protection).
Эффективная защита может быть выстроена как с помощью набора различных инструментов, закрывающих отдельные задачи, так и с помощью специализированных программных платформ класса Cloud Native Security Platform.
Выстраивая систему защиту контейнеров, важно помнить, что она должна базироваться на трех основных принципах:
проверка образов;
контроль настроек инфраструктуры;
контроль приложений в режиме реального времени.
Пример практического использования Natch для анализа
Иван Васильев
ИСП РАН
Видео затрагивает важную тему тестирования программных систем, особенно когда речь идет о выявлении уязвимых мест. Поскольку тестирование всего кода — задача трудоемкая, акцент стоит делать на анализе поверхности атаки. В этом помогает Natch — инструмент динамического анализа на базе эмулятора QEMU.
На примере программы ONLYOFFICE Иван показывает, как Natch фиксирует взаимодействия системы с данными. После этого SNatch — компонент для визуализации — помогает разобрать, как процессы и модули работают с чувствительными данными. С его помощью можно легко понять, где могут скрываться уязвимости, благодаря различным графикам и отчетам.
Пример с ONLYOFFICE демонстрирует, как Natch помогает находить проблемные участки в ПО без глубокого изучения кода. Такой подход упрощает фаззинг-тестирование и делает процесс тестирования более эффективным, что в итоге повышает безопасность программных продуктов.
Как работать с PVS-Studio в Visual Studio
Евгения Елтукова
PVS-Studio
PVS-Studio — статический анализатор кода для поиска опечаток, логических ошибок и потенциальных уязвимостей в коде программ, написанных на языках C, C++, C#, Java. В этом видео Евгения познакомит вас с плагином PVS-Studio для среды разработки Microsoft Visual Studio.
Пройдем весь путь работы с анализатором: от скачивания плагина до работы с результатами анализа. Вы узнаете:
как запускать анализ;
какие способы сортировки предупреждений предлагает плагин;
как быстро посмотреть самые достоверные предупреждения;
что делать с ложноположительными срабатываниями;
какие настройки сделают отчет анализатора более точным.
Security observability в Kubernetes
Сергей Канибор
Luntry
DevSecOps — это процесс. И сегодня в процессе обеспечения безопасности задействована не одна команда, а множество, и каждая должна вносить свой вклад быстро, эффективно и надежно (не мешая и не ломая ничего другим).
Кто-то выстраивает пайплайн безопасной разработки, кто-то харденит инфраструктуру Kubernetes, кто-то мониторит происходящее в контейнерах и т. д. Из видеоролика вы узнаете, как Luntry может помочь разработчикам, QA-специалистам, системным аналитикам, Ops/DevOps/DevSecOps, командам ИБ и SOC строить и поддерживать надежную и безопасную инфраструктуру.
Тестируем и сравниваем WAF за 15 минут
Лев Палей
Вебмониторэкс
В этом видео разберем основные цели тестирования WAF, включая выявление уязвимостей и оценку эффективности защиты. Вы узнаете о типичных ошибках, с которыми сталкиваются при тестировании WAF, а также о том, как их избежать. Лев поделится с вами рекомендациями по источникам данных для составления тестов, чтобы ваши проверки были максимально информативными и результативными.
Особое внимание уделим методам проверки качества парсинга и декодирования запросов WAF. Вы увидите, как некорректная обработка запросов может привести к уязвимостям. Кроме того, познакомимся со специализированными утилитами для тестирования WAF, которые помогут проводить проверки более эффективно и систематически.
Интервью
А ещё, помимо докладов-монологов, будут и три диалога:
Денис Макрушин
В главной студии SafeCode 2024 Autumn — Денис Макрушин, независимый эксперт по информационной безопасности, бывший технический директор МТС, автор Telegram-канала про кибербезопасность, технологии и людей и новый участник Программного комитета конференции.
Поговорим о том, как для Дениса прошел первый сезон. Также обсудим набор программы: как он происходит, на что Программный комитет обращает внимание при рассмотрении заявок, какие особенности есть у программы в этом сезоне, что нужно знать спикерам, желающим принять участие в конференции.
Никита Соболев
wemake.services
Никита — full time open source-разработчик и мейнтейнер проекта СPython. В интервью обсудим:
Профессиональный путь Никиты: с чего начинал, какие языки и технологии использует.
Как совмещать участие в open source-проектах, основную работу и личную жизнь.
Подходы к оценке фич, которые разработчики предлагают добавить в Python, и распределение задач.
Споры при разработке новой фичи и как их «разруливать».
Фичи, которых, по мнению Никиты, не хватает в Python.
Определение стратегии развития Python и создание стандартов языка.
Вопросы безопасности Python и open-source проектов в целом. OSS-Fuzz от Google и Bug Bounty от HackerOne.
Интервью с Сергеем Головановым
Сергей Голованов
Kaspersky
Сергей — главный эксперт по безопасности в Kaspersky. 20 лет в кибербезе научили его не удивляться ничему.
В формате интервью Сергей расскажет, как хакеры видят ошибки в коде, какие проблемы безопасности встречаются чаще всего при расследовании киберинцидентов, и поделится опытом анализа уязвимостей.
Заключение
Остальная информация — на сайте SafeCode, билеты можно приобрести там же, и сама конференция пройдёт на этом сайте.
Кто-то может спросить: «Зачем онлайн-конференции, когда офлайн уже давно вернулся после пандемии? Полезные видеозаписи в интернете и без конференции можно смотреть».
Но во-первых, мы стараемся, чтобы этот опыт отличался от простого просмотра записей. Например, после любого доклада участники могут как следует расспросить спикера — такого при простом просмотре записей нет.
А во-вторых, мы видим, что потребность в онлайне есть: многим людям удобно, когда к конференции можно подключиться откуда угодно, поставить доклад на паузу и так далее. И посещение офлайн-конференции приходится как следует планировать заранее — а вот принять решение про онлайн-конференцию можно хоть в последний день.
Если вам для такого решения нужна ещё какая-то информация, которой на сайте нет — смело задавайте вопросы в комментариях.