Ak Vás zaujíma program zajtrajšieho OWASP stretnutia v Progressbare, tak pokračujte tu.
1 Fakty o OWASP organizácii
Neziskové nekomerčné združenie OWASP (Open Web Application Security Project) asi každý kto sa venuje IT bezpečnosti pozná. Ide o nadšencov z celého sveta, ktorí sa venujú bezpečnosti webových a v súčasnej dobe už aj mobilných aplikácií. Bohužiaľ na Slovensku toto združenie je stále vnímane ako príliš vzdialené (väčšina aktívnych členov sídli v USA), uzavreté, či nebodaj nejakým spôsobom elitárske.
Našťastie nič z tohto nie je pravda. OWASP aj napriek tomu, že má centrálny board management, ktorého členovia sú demokraticky volení, ide stále o viacmenej aktokratickú organizáciu, ktorú ovladajú tí, ktorí sú aktívni. Ktokoľvek môže rozbehnúť vlastný OWASP projekt – od OWASP organizácie získa bezplatnú podporu vo forme konzultácii s rôznymi WebAppSec špecialistami (tzv. reviewers), project managera (obvykle ide o Paula Coimbru) a v prípade zaujímavých projektov aj priamu finančnú podporu od OWASP organizácie (takto získali finančnu podporu projekty ako sqlmap, WebGoat, či WebScarab).
Bol som konfrontovaný tiež s názormi, že OWASP predstavuje pofidérnych WebAppSec expertov o čom svedčí množstvo zlyhaných alebo nepodarených OWASP projektov. Vzhľadom k tomu, že OWASP predstavuje nefiltrovanú a niekedy dosť nekoordinovanú komunitu nadšencov s rôznou úrovňou skúseností a znalostí, uvedené situácie niekedy nastávajú, bohužiaľ (a tiež našťastie) nejde o súkromnú firmu, kde je garant kvality a zákazník, ktorú tú kvalitu vyžaduje. Napriek tomu uvedená komunita je veľmi silná a otvorená a priamo alebo nepriamo v nej participuje väčšina súčasných svetových WebAppSec expertov (veľa z nich je aktívnych paralelne aj v projekte WASC), napríklad Mario Heiderich, David Lindsay, Gareth Heyes, David Campbell, Eduardo Vela, Stefano Di Paola, Ryan Barnett, Robert Hansen (Rsnake) a množstvo ďalších.
Asi najdôležitejší argument je, že množstvo týchto ľudí osobne poznám a skutočne ide altruistických nadšencov ochotných kedykoľvek pomôcť a posunúť dobré veci dopredu.
2 Pomoc pri novej testovacej príručke OWASP 4.0
Projekt OWASP Testing Guide v4.0 stagnuje, problém je akútný nedostatok špecialistov (a akútny nedostatok času existujúcich špecialistov) na kompletnú systematickú kontrolu a spripomienkovanie predošlej verzie 3.0, sfinalizovanie výslednej štruktúry a očakávaného obsahu a vytvorenie nových navrhovaných sekcií pre verziu 4.0. Posledný stav plánovanej testovacej príručky OWASP v4 reflektuje naša posledná prezentácia na OWASP Summite 2011:
Prezentáciu je možné stiahnuť aj v PDF formáte. Prikladám ešte zápis z nášho stretnutia.
Akým spôsobom môžete priamo podporiť dokončenie novej verzie testovacej príručky OWASP?
- prihláste sa do príslušného mailinglistu owasp-testing ako aj do mailinglistov common numbering a common vulnerability
- preštudujte si súčasnú starú verziu OWASP testing guide v3 a všetky odhalené chyby, prípadne návrhy na zlepšenie posielajte priamo na list
- ak ste z Bratislavy alebo okolia, zúčastnite sa pravidelných OWASP stretnutí v Progressbare – vždy prvý štvrtok v mesiaci
3 Pomoc pri lokalizácii OWASP projektov
Priznám sa, že som bol veľa rokov odporca slovenských lokalizačných projektov (nakoľko som ich nikdy nevyužíval) obzvlášť v technickej oblasti ako je IT bezpečnosť. Po dlhokosiahlych konzultáciach s viacerými OWASP aktivistami z rôznych európskych krajín som sa dozvedel, že lokalizácia OWASP projektov overiteľne a znateľne pomohla zvyšeniu bezpečnostného povedomia v oblasti bezpečného vývoja aplikácií v ich krajine, o aplikačnú bezpečnosť sa začalo zaujímať podstatne väčšie množstvo ľudí a čo je dôležité – záujem o aplikačnú bezpečnosť prenikol výrazne aj do štátnej sféry. Bohužiaľ cudzí jazyk je stále bariéra pre veľké množstvo ľudí aj v IT sfére.
Z hľadiska dôležitosti sú do neanglických jazykov obvykle prekladané nasledujúce projekty:
OWASP Application Security Verification Standard Project
Čo presne robiť predtým ako sa pustíte do lokalizácie ľubovoľného OWASP projektu do slovenčiny:
- preštudujte si lokalizačnú príručku
- prihláste sa do príslušného lokalizačného mailinglistu
- prihláste sa do mailinglistu slovenskej OWASP pobočky
- navštívte naše pravidelné OWASP stretnutia v Progressbare
4 Pomoc pri vlastných OWASP projektoch
V prípade, že pracujete na svojom vlastnom zaujímavom projekte, ktorý sa nejakým spôsobom týka bezpečnosti webových aplikácií, neváhajte ho zverejniť ako samostatný OWASP projekt. Získate priamu a nezištnú pomoc ako zo strany účastníkov našich pravidelných OWASP stretnutí, tak zo strany celej OWASP komunity. Ak sa o ňom komunita dozvie, je pravdepodobné, že získate ďalších nadšencov pre jeho ďalší vývoj ako aj zlepšovanie vo forme bugreportov. Kde začať?
- prihláste sa do mailinglistu slovenskej OWASP pobočky
- navštívte naše pravidelné OWASP stretnutia v Progressbare
5 Členstvo v OWASP organizácií a Progressbare
Členstvo v oboch organizáciách je dobrovoľné nezávisle od toho, či na nejakom OWASP projekte participujete alebo navštevujete (nielen OWASP) prezentácie v Bratislavskom Progressbare.
Obe organizácie žijú primárne z príspevkov členov – ak si myslíte, že ide o správnu vec (ja osobne som o tom samozrejme vnútorne presvedčený), tak nás môžete priamo finančne podporiť:
Členstvo v OWASP organizácii – ročný poplatok $50, 40% z tejto sumy ide priamo slovenskej OWASP pobočke
Členstvo v Progressbare – mesačný poplatok 20 €, v prípade študentov 10 €.
Občianske združenie Progressbar platí každý mesiac relatívne vysoký komerčný nájom v centre Bratislavy, naše členské príspevky sú bohužiaľ jediný spôsob ako sme schopní tento nájom uhradiť a zachovať náš priestor. Výpisy účtov sú samozrejme transparentné/dostupné pre všetkých prispievateľov.
6 OWASP stretnutia v Progressbare
Komunitné projekty vždy stoja na spojení viacerých ľudí a vzájomnej pomoci.
Neváhajte sa k nám pridať – naše stretnutia sú pravidelne každý prvý štvrtok v mesiaci.
Ak máte záujem prispieť svojou dlhšou prezentáciou (v oblasti vývoja bezpečných webových, či mobilných aplikácií, testovania aplikácií, tvorbe testovacích nástrojov, aktuálnych trendov v oblasti webappsec bezpečnosti apod) ako i kratšou prezentáciou vo forme stručného „lightning talku“, neváhajte sa ozvať a zaslať svoju prezentáciu na náš OWASP mailinglist.
Progressbar je ideálne miesto aj na nekomerčné školenia, či workshopy.
Počiatočný program prvých stretnutí sa posnažím pokryť mojimi rôznymi prezentáciami – vzhľadom k tomu, že sa rýchlo vyčerpajú, rád by som požiadal akýchkoľvek nadšencov o vlastné návrhy tém prezentácií, workshopov, či len voľných diskusií.
Program na tento štvrtok (7.4.2011):
19:00 Lightning talks (miesto stále voľné, prípadní záujemcovia, ozvite sa)
19:15 Prezentácia: Nové druhy a spôsoby webových útokov
20:00 Prezentácia: Ako vyzerá reálny útok na aplikáciu – od anonymizácie až po vytvorenie zadných vrátok
20:45 Voľná diskusia na tému – dôvera k svetovým certifikačným autoritám (nadväzuje na nedávny úspešný útok na svetovú certifikačnú autoritu)
21:30 Club Mate & Beer party