Ekspanzija Interneta ne prestaje – i to je opšte poznata činjenica koja više nikoga ne iznenađuje. Kao da se svakog dana pojavi poneka nova tehnologija, novi koncept, unapređenje, ili se prosto nešto mrdne, tek toliko da nije isto kao što je bilo juče. Tu, dakle, sve po starom.

 

Ono što je novo, i dobro, i vrlo pohvalno je što taj trend hvata zalet i kod nas. Proći će dosta vremena pre nego što prosečan stanovnik Srbije bude umeo da pronađe vreme polaska željenog autobusa na autobuskoj stanici, ili otvori sajt Telekoma radije nego što će okrenuti 98… 98.. 8?, ali stvari definitivno idu nabolje.

Za korisnike.

Za web developere, stvari stoje nešto drugačije. Oni sa tom ekspanzijom dobijaju još poneku glavobolju. Svaki novi čitač je još jedan ćošak za testiranje u koji treba zaviriti, još kompatibilnosti koju treba zadovoljiti, i još ponešto.. A ono o čemu se još ređe misli je bezbednost.

Jednodnevna(poludnevna) obuka “Hands on Web hacking” je oformljena sa težnjom da skrene pažnju upravo na taj, često zanemaren, segment razvoja Interneta. U IT industriji, bezbednost predstavlja zasebnu granu, i bukvalno način života, tako da bezbednost web sajtova i aplikacija nije izuzetak. Cilj obuke je bio da web developere bukvalno osvesti o načinima na koji njihovo delo može biti ugroženo, korišćenjem jednostavnih i očiglednih metoda (da parafraziram predavača, “Toliko jednostavne stvari, a većina Web developera ne zna da one postoje”), više nego da se dotakne svakog mogućeg načina eksploatacije propusta na sajtu – tako nešto bi tražilo mnogo više vremena, a pitanje je i da li je izvodljivo.

Imajući u vidu gore navedeno, obuka nikako nije namenjena početnicima. U preduslovima za pohađanje obuke stoji samo poznavanje osnova funkcionisanja HTTP protokola, ali je to vrlo optimistična procena. Premda se opredavač Ivan Marković(http://security-net.biz) strpljivo vraćao na pojedine termine i koncepte, nije bilo zadržavanja niti detaljisanja, što mu se, imajući u vidu opširnost teme, ne može ni zameriti. Ciljna grupa kursa je web developer sa pređašnjim iskustvom, i bar nekoliko projekata iza sebe. Nije začuđujuće da se takva grupa i formirala na kursu – iako pomalo neobičan osećaj za moju malenkost.

Sam kurs prati OWASPWebgoat” platformu – OpenSource sistem sa demonstracijama najčešćih greški i “rupa” u realizaciji sajtova. Oni koji nisu bili upoznati ranije, upoznali su se sa nekim metodama prikupljanja informacija i eksploatisanja propusta aplikacija. Prosto zapanjuje i zabrinjava direktnost i jednostavnost tehnika kojima se probija sajt, odnosno, dobijaju podaci koji ne bi trebalo da su dostupni, pristupa zaštićenim delovima sajta, zaobilaze provere, i sve uz pomoć malog broja široko dostupnih alatki. Iako su demonstracije vršene na unapred pripremljenom sistemu, vrlo je očigledno kako se na isti način može pristupiti i produkcionom sajtu – i to je upravo i bio cilj obuke, jako dobro pogođen: razbuditi i pokazati novi ugao posmatranja i pristupa kodiranju. Kroz samostalno isprobavanje različitih metoda, polaznici su imali prilike da steknu osećaj na koja ključna mesta treba obratiti pažnju prilikom planiranja i razvoja aplikacije.

Povremena pitanja koja su postavljana, i primeri iz širokog iskustva predavača su bili usmereni na konkretne situacije, probleme i rešenja. Interesantno je bilo videti da na predviđenim pauzama između blokova niko od prisutnih nije ustajao od svoje radne mašine. Čak i tako, predviđeno vreme (6 sati) nije bilo dovoljno da se pokriju sve metode koje sam Webgoat nudi.

Posle dva dana, i malo sleganja svega, imam osećaj da bi jedna tako ambiciozna (i potrebna, dodao bih) obuka zahtevala barem još jedan dan rada. Materijala svakako ima, tema je obimna, web developera ima dosta, i svaki unosi svoj način rada i razmišljanja u priču. Internet na ovim prostorima se razvija i tek će se razvijati, i u tom pogledu treba pomoći svima da to iskustvo bude najbolje i najbezbednije što može. “Hands on Web hacking” osvetljava stvari iz ugla iz kojeg se ne gleda dovoljno često, i to je za svaku pohvalu.

Zahvalio bih se firmi Network Security Solutions i Ivanu Markoviću što su omogućili da prisustvujem obuci

Miloš Savić

Share and Enjoy:

Tags: ,

Autor: Vladimir Trkulja