Standoff
Bug Bounty
Исследуйте свои системы с помощью этичных хакеров
Флакон ИскраБар, Москва
Глядя на холодный осенний пейзаж за окном, пожалуй, не поверишь, что еще месяц назад больше сотни разномастных разработчиков, неслучайно собравшихся в одном месте, по доброй воле устроили себе многочасовой рабочий солярий на жаркой солнечной крыше. Никто не жаловался: все пили лимонад (на горизонте маячило пиво), слушали суровые доклады про взлом приложений, их же защиту и разные полезные утилиты, задавали вопросы, общались в кулуарах. Внизу, по Большой Новодмитровской, изредка туда-сюда проезжал одинокий байкер, разбавлявший беседу о безопасной разработке музыкальными хитами девяностых. К концу вечера запахло жареным — нет, это не разработчики сцепились в споре, какой язык круче, а повар наконец выложил на решетку гриля аппетитные колбаски.
Так прошел PDUG Picnic 2016 — неформальная тусовка для разработчиков, которые на досуге всерьез задумываются о том, безопасен ли код, который они пишут.
#SLIDER#PDUG-сообщество: от сотворения до наших дней
Первую встречу Positive Development User Group мы провели еще в мае: тогда временным домом для участников стала и без того бурлящая событиями площадка PHDays VI. За основу был взят двухдневный семинар Тимура Юнусова и Владимира Кочеткова, посвященный взлому и защите приложений, который прошел осенью 2015 года в нашем офисе. С оптимизированной программой, которая тоже была принята на ура, выступил Володя Кочетков, рассказавший о проектировании и разработке безопасных приложений, а помог ему Леша Гончаров со своими задачками по ненормальному программированию. Аудитория попалась благодарная: было много вопросов, дискуссий и даже споров, что еще раз доказывало: интерес к теме есть, причем недюжинный.
Так идея собрать вокруг темы безопасной разработки открытое сообщество обрела реальное воплощение.
PDUG Picnic успешно подхватил эстафетную палочку: 117 участников, 4 доклада, бессчетное количество вопросов, еды и пива — даже очень сухая статистика выглядит воодушевляюще. Не обошлось, правда, без вмешательства злодейки-судьбы: изначально докладов планировалось пять, но буквально за день до выступления Володя Кочетков потерял голос и смог только ответить на несколько вопросов от аудитории под занавес встречи. Тем не менее форс-мажор оказался условно безболезненным: оставшиеся спикеры получили по кусочку дополнительного времени.
Собирая коллег к 15:30, мы шли на большой риск: многим, вероятно, было не так-то просто покинуть офис прямо в середине рабочего дня. Впрочем, опасения не оправдались: на импровизированной стойке регистрации уже задолго до назначенного времени возник ажиотаж: самоотверженные организаторы едва успевали раздавать бейджи. Гости были самые разные: разработчики из банков, государственных структур, компаний, специализирующихся на создании ПО, подтянулись даже специалисты по информационной безопасности. Словом, тусовка получилась многоликая.
Что было особенно приятно, так это множество знакомых лиц, тех, с кем мы успели встретиться еще на PHDays. Хочется верить, что количество наших друзей будет только расти.
Галопом по Европам
Расписание было плотным: все успели разве что поздороваться и закусить, как уже понеслось. Рами Мулейс, менеджер по продвижению Application Inspector и по совместительству наш бессменный модератор, не только объяснил, почему «так здорово, что все мы здесь сегодня собрались», но и представил свежеиспеченный символ сообщества — мадагаскарскую руконожку ай-ай, природного специалиста по поиску уязвимостей, чья разноцветная физиономия весь день колыхалась на огромном флаге PDUG над крышей.
От слов, впрочем, быстро перешли к делу. Открывал технический марафон официальной программы условный представитель «темной стороны силы» Тимур Юнусов: рассматривая безопасность приложений с точки зрения потенциального взломщика, он рассказал о том, какие ошибки обычно допускают разработчики и как хакеры могут использовать подобные «дыры» в коде.
Впрочем, фундаментальные способы борьбы с хакерским произволом™ на пикнике все-таки были найдены — об этом позаботился Валера Боронин, который рассказал о том, что такое процесс безопасной разработки (SSDL), поведал о профитах и подводных камнях при его выстраивании (на эту тему у Валеры обзорная презентация), а также на примере статического анализа кода с помощью PT Application Inspector показал, как можно встроить элементы безопасной разработки в повседневную жизнь максимально естественным для разработчиков образом.
Проделал он это, подключившись к проекту на GitHub, обнаружив в нем уязвимости и успешно устранив их, оставаясь при этом в любимой Visual Studio. Машина сама подсказывала Валере, что она думает про его коммиты, — общаясь с ним прямо в исходниках. Это по-нашему!
Ближе к третьему докладу палящее солнце, наконец, начало снижаться, а вот технический градус — отнюдь. Анализ кода в PT AI оказался богатым на темы для обсуждения: очередь в программе дошла до Вани Кочуркина, который выступил с докладом по мотивам своей майской статьи на «Хабре» и рассказал об использовании шаблонов в процессе сигнатурного анализа кода и возможностях pattern matching.
Роль последнего спикера досталась Леше Гончарову, который под занавес встречи представил коллегам разработанную Позитивом бесплатную утилиту Approof для выявления уязвимых компонентов приложений (как находящихся на стадии разработки, так и уже работающих), ошибок конфигурации и чувствительных данных.
Кто-то, скорее всего, вспомнит, что Approof уже как-то мелькал на «Хабре». Так вот, мы не только не останавливаем его развитие, но и запустили прямо на пикнике конкурс на написание новых правил для ядра Fingerprint. Кстати, все еще есть возможность поучаствовать и выиграть фирменную PDUG-футболку: за самое необычное правило и за самое большое количество присланных правил. Специально для этого у нас создан отдельный репозиторий, если вдруг заинтересовались челленджем — присылайте свои пулл-реквесты, будем рады любым идеям.
К моменту, когда официальная часть программы подошла к концу и в ход пошли пиво и пицца, уже смеркалось. Расходиться никто не торопился — остались темы для обсуждения, осталось множество вопросов, которых, наверное, стало даже больше, чем перед началом встречи. Тем не менее очередной шаг навстречу был сделан, «стружка» с темы снята — и настало время для еще более кропотливой работы по дальнейшему развитию сообщества.
А дальше-то что?
«Мы хотим объединить разработчиков, архитекторов, аналитиков, тестировщиков, руководителей направлений и специалистов по ИБ в единое сообщество, целью которого станет повышение компетенций этих специалистов в области безопасной разработки приложений, — объяснила руководитель отдела продуктового маркетинга Positive Technologies и по совместительству "верховный организатор" мероприятия Маша Рацин. — На первых митапах выступали наши эксперты, но в дальнейшем мы обязательно будем призывать спикеров других IТ-компаний».
Планов громадье. Уже осенью собираемся замутить свежий митап, первый из множества в своем роде, и запустить серию тематических вебинаров. Кроме того, по итогам пикника мы организовали группу в Facebook, где пока потихоньку делимся материалами (например, уже доступен фотоотчет), а потом начнем кидаться анонсами будущих встреч и прочими интересными штуками. Добро пожаловать, кстати.
PDUG — это открытое сообщество, и мы стремимся создать платформу, где каждый получит возможность делиться своими наработками. Если вы сами хотите как-то продвигать тему безопасной разработки, имеете релевантный интересный опыт и в вашей рабочей копилке есть крутые кейсы, жизненные советы и всякие прочие полезности — стучитесь к нам на pdug@ptsecurity.com, обсудим возможные совместные активности. Приветствуется все: предложения по площадкам, идеи для новых крутых докладов или сами крутые доклады вместе с докладчиками (мы за пакетную обработку). Давайте разрабатывать безопасно вместе!