Zespół Bezpieczeństwa PCSS

23.06.2010. Zespół Bezpieczeństwa PCSS odegrał kluczową rolę w przygotowaniu dwudniowego, kompleksowego szkolenia, obejmującego tematykę tworzenia bezpiecznego oprogramowania. Szkolenie zostało zorganizowane w Poznaniu dla uczestników jednego z największych europejskich projektów naukowo - badawczych, GN3. Poznańskie Centrum Superkomputerowo-Sieciowe, jako operator krajowej szerokopasmowej sieci naukowej PIONIER, jest jedyną polską jednostką biorącą udział w projekcie.

Szkolenie zrealizowano w ramach usługi GÉANT Security Expertise Delivery (SED), będącej jednym z obszarów prac zadania 4 pakietu roboczego SA2 (Usługi Wielodomenowe - bezpieczeństwo). Celem uruchomienia usługi było dostarczenie wiedzy zorientowanej na bezpieczeństwo teleinformatyczne dla osób tworzących lub adaptujących usługi wielodomenowe w ramach projektu. Duży wkład w organizację szkolenia miał również Peter Webster (DANTE) z Biura Projektu. Wykłady prowadzili: Milan Potocnik z Centrum Obliczeniowego Uniwersytetu w Belgradzie oraz Tomasz Nowak i Gerard Frankowski z Zespołu Bezpieczeństwa PCSS.

W szkoleniu wzięło udział 20 osób (bezpośrednio) oraz dalszych kilkadziesiąt za pośrednictwem systemu wideokonferencji. Przygotowano także dodatkową salę wideokonferencyjną dla chętnych w PCSS.

W pierwszym dniu szkolenia zaprezentowaliśmy konkretne straty i zagrożenia związane z wytwarzaniem oprogramowania zawierającego błędy bezpieczeństwa. Później nastąpił przegląd dobrych praktyk bezpieczeństwa (jak np. prawidłowe uwierzytelnianie, unikanie wycieku informacji, odpowiednia obsługa błędów, wpływ otoczenia aplikacji na jej bezpieczeństwo). Po południu odbyły się m.in. wykłady z ochrony Web Services, wykorzystania infrastruktury klucza publicznego, zaprezentowano także jedną z usług projektowych.

Drugi dzień szkolenia stał pod znakiem poszczególnych typów podatności oprogramowania. Omówiono następujące zagrożenia: wykorzystanie tzw. niebezpiecznych funkcji, obsługa wrażliwych danych, przepełnienia bufora, wycieki pamięci i zasobów, sytuacje wyścigu, dereferencja wskaźnika NULL, błędy ciągów formatujących, przewinięcia licznika, błąd ,,płotu i słupków". W odniesieniu do kodu Javy przygotowano prezentacje na temat nieprawidłowej obsługi wyjątków, nieoptymalnych wzorców kodowania i błędów w dostępie do klas. Wreszcie aplikacje webowe - oczywiście ataki XSS i SQL Injection, jak również wstrzykiwanie poleceń, wycieki informacji czy Path Traversal.

Ostatni, krótszy już blok szkoleniowy, poświęcono analizie kodu źródłowego przy pomocy kilku prostych w użyciu i dostępnych bez opłat skanerów kodu Javy, C/C++ oraz PHP. Po omówieniu zakresu przydatności tych narzędzi dla programistów, krótko zaprezentowano kilka z nich. Choć całość zorganizowano w formie wykładu, szkolenie zakończyło się krótkim konkursem praktycznym z analizy kodu.

Szkolenie było otwarte dla uczestników projektu GN3, jednak w związku z dużą przydatnością poruszanej tematyki dla wszystkich programistów, udostępniamy poniżej do pobrania pliki PDF, zawierające (częściowo zagregowane) prezentacje, przygotowane na szkolenie. Materiały dostępne są tylko w języku angielskim.

Dzień 1:

• Wprowadzenie (349 kB)
• Gerard Frankowski: Bezpieczne programowanie w różnych aspektach (687 kB)
• Gerard Frankowski: Wysokopoziomowe zabezpieczanie aplikacji (1,0 MB)
• Milan Potocnik: Bezpieczeństwo w systemach rozproszonych o dużym stopniu złożoności (792 kB)
• Tomasz Nowak: Bezpieczeństwo Web Services (1,2 MB)
• Milan Potocnik: Bezpieczeństwo Javy dla programistów (156 kB)
• Gerard Frankowski: Znaczenie filtrowania danych (502 kB)

  Dzień 2:

• Gerard Frankowski, Tomasz Nowak: Podatności bezpieczeństwa kodu źródłowego - cz. 1 (2,5 MB)
• Gerard Frankowski, Tomasz Nowak: Podatności bezpieczeństwa kodu źródłowego - cz. 2: aplikacje webowe (2,1 MB)
• Gerard Frankowski, Tomasz Nowak: Automatyczna analiza kodu źródłowego dla programistów (1,6 MB)

Zaangażowanie specjalistów z Zespołu Bezpieczeństwa PCSS jako ekspertów szkoleniowych jest z pewnością docenieniem roli, jaką Poznańskie Centrum Superkomputerowo-Sieciowe odgrywa w zakresie bezpieczeństwa w europejskich projektach naukowo-badawczych. Przyjemnie nam poinformować, że bardzo pozytywne opinie zebraliśmy również w wyniku analizy ankiet wypełnianych przez uczestników szkolenia.