Security Aware Developer – case study

Lepiej zapobiegać niż leczyć – przykład realizacji szkolenia w zespole tworzącym aplikacje dla sektora bankowego

warszta4W jednej z instytucji finansowych, przeprowadziliśmy w 2017 roku serię warsztatów wg programu Security Aware Developer. Warsztaty miały za zadanie przekonać osoby, które rozwijają i utrzymują aplikacje firmy o tym, że warto intensywnie myśleć o bezpieczeństwie już na etapie projektowania i programowania. Równolegle miały pomóc w doborze metod zabezpieczania, które będą najskuteczniejsze w projektach prowadzonych przez te zespoły.

 

Jakie były cele szkolenia?

  • Podniesienie świadomości problemów bezpieczeństwa aplikacji wśród programistów i innych osób biorących udział w procesach tworzenia i rozwijania aplikacji
  • Wypracowanie skutecznych i możliwych do wdrożenia sposobów podniesienia bezpieczeństwa aplikacji bankowych
  • Obniżenie kosztów związanych z testowaniem bezpieczeństwa i usuwaniem podatności przed wdrożeniem produkcyjnym

 

Kto uczestniczył?

  • 2 zespoły 12-osobowe
  • Osoby pracujące na stanowiskach: programista, architekt, PM, tester, devops, manager

 

Z jakich modułów składało się szkolenie?

Moduły szkolenia stanowiły specjalnie przygotowane scenariusze ataku wykorzystujące wiele różnych podatności, poprzez które atakujący osiąga swój cel.

Scenariusz XXEBłąd kontroli dostępu w aplikacji + Nieprawidłowe przetwarzanie plików XML + Możliwość nawiązywania połączeń wychodzących z serwera WWW = Wykradnięcie plików konfiguracyjnych
Scenariusz EskalacjaNadmiarowy moduł aplikacji + Domyślne ustawienia + Zapisywanie wrażliwych danych do logów = Uzyskanie uprawnień administratora aplikacji
Scenariusz XSSBłąd walidacji + Stored XSS w szablonach Angular + Trwała awaria aplikacji
Scenariusz SQLIPrzypadek nieoczywistego SQL Injection, pomimo zastosowania procedur składowanych, czyli opowieść o zaufaniu
Scenariusz BankDefekt w komponencie → Przejęcie kontroli nad frontendem → Modyfikacja JavaScript → Obejście dodatkowej autoryzacji → Kradzież środków z kont
Scenariusz PhishingUzyskanie loginu i hasła do jednego z serwisów developerskich + Nadużycie SSO = Uzyskanie dostępu do kodu źródłowego

 

warszta3Jakie metody / narzędzia wykorzystaliśmy?

  • Ćwiczenia wprowadzające
  • Zadania indywidualne i w zespołach
  • Omówienie scenariuszy ataków
  • Opracowanie zabezpieczeń dla każdego przypadku wg zasady defence in depth
  • Dyskusja nad możliwością wykorzystania zabezpieczeń w projektach firmy
  • Materiały drukowane
  • Wklejki
  • Długopisy i kartki
  • Zabawki z Ikei
  • Dużo kawy 😉

 

Kto prowadził szkolenie?

  • Mateusz Olejarka – starszy specjalista ds. bezpieczeństwa aplikacji w zespole SecuRing

 

Co osiągnęliśmy?

  • Ożywiona dyskusja w trakcie szkolenia
  • Notatki TODO po powrocie do pracy
  • Wymiana wiedzy, w tym bezpośrednio pomiędzy uczestnikami szkolenia
  • Wykrycie niespójności w stosowanych zabezpieczeniach
  • Spisanie wspólnych propozycji do realizacji w projektach
  • Poruszenie przez zespół przykładów problemów, z którymi się na co dzień borykał i przeanalizowanie ich w trakcie szkolenia

 

warszta1Bezpośrednie korzyści dla uczestników:

  • Wiedza merytoryczna i projektowa
  • Zainteresowanie i podniesienie świadomości zespołu w temacie bezpieczeństwa
  • Efektywniejsza współpraca pomiędzy zespołami

 

Korzyści dla organizacji:

  • Wyższa jakość wytwarzanego oprogramowania w zakresie bezpieczeństwa
  • Spis wygenerowanych przez uczestników pomysłów na usprawnienia w obszarze bezpieczeństwa wraz z komentarzem prowadzącego
  • Uczestnicy zadeklarowali chęć indywidualnego podjęcia działań w swoich projektach zainspirowani tym, co się działo na szkoleniu

 

Ocena końcowa szkolenia: 4,9/5 ✭✭✭✭✭

 

Wybrane uwagi z ankiet:

  • Realne przykłady.
  • Fajne ćwiczenia i oryginalny format materiałów.
  • Dało do myślenia.
  • Teraz więcej rozmawiamy w zespole o problemach związanych z bezpieczeństwem.

 

Poznaj więcej szczegółów dotyczących warsztatów Security Aware Developer.

Zorganizuj szkolenie







* pola obowiązkowe

Podanie danych jest dobrowolne. Będziemy wysyłać newsletter do czasu cofnięcia zgody (Możesz cofnąć zgodę w każdym czasie). Dane będą przetwarzane przez okres czasu wskazany w Polityce Prywatności dostępnej pod adresem URL.

Administratorem danych jest SecuRing S.J. z siedzibą ul. Kalwaryjska 65/6, 30-504 Kraków. Mam prawo cofnąć zgodę w każdym czasie (można bezpośrednio kliknąć w e-mailu z newslettera lub wysłać informację na adres e-mail info@SecuRing.pl lub pod numerem telefonu: 12 425 25 75). Mam prawo dostępu do danych, sprostowania, usunięcia lub ograniczenia przetwarzania, prawo sprzeciwu, prawo wniesienia skargi do organu nadzorczego i prawo do przeniesienia danych. Podstawą prawną do przetwarzania danych osobowych jest art. 6 ust.1 lit. a) rozporządzenia o ochronie danych osobowych (RODO).

Administrator korzysta z różnych rozwiązań informatycznych, które pozwalają na sprawniejszą komunikację oraz wysyłkę newslettera (te firmy są tzw. odbiorcami danych/procesorami). Dane nie są przekazywane poza Europejski Obszar Gospodarczy. Firmy te mają podpisane stosowne umowy powierzenia przetwarzania danych osobowych.