OWASP potrebuje tvoju pomoc

Od pavol lupták

Ak Vás zaujíma program zajtrajšieho OWASP stretnutia v Progressbare, tak pokračujte tu.

1 Fakty o OWASP organizácii

Neziskové nekomerčné združenie OWASP (Open Web Application Security Project) asi každý kto sa venuje IT bezpečnosti pozná. Ide o nadšencov z celého sveta, ktorí sa venujú bezpečnosti webových a v súčasnej dobe už aj mobilných aplikácií. Bohužiaľ na Slovensku toto združenie je stále vnímane ako príliš vzdialené (väčšina aktívnych členov sídli v USA), uzavreté, či nebodaj nejakým spôsobom elitárske.

Našťastie nič z tohto nie je pravda. OWASP aj napriek tomu, že má centrálny board management, ktorého členovia sú demokraticky volení, ide stále o viacmenej aktokratickú organizáciu, ktorú ovladajú tí, ktorí sú aktívni. Ktokoľvek môže rozbehnúť vlastný OWASP projekt - od OWASP organizácie získa bezplatnú podporu vo forme konzultácii s rôznymi WebAppSec špecialistami (tzv. reviewers), project managera (obvykle ide o Paula Coimbru) a v prípade zaujímavých projektov aj priamu finančnú podporu od OWASP organizácie (takto získali finančnu podporu projekty ako sqlmap, WebGoat, či WebScarab).

Bol som konfrontovaný tiež s názormi, že OWASP predstavuje pofidérnych WebAppSec expertov o čom svedčí množstvo zlyhaných alebo nepodarených OWASP projektov. Vzhľadom k tomu, že OWASP predstavuje nefiltrovanú a niekedy dosť nekoordinovanú komunitu nadšencov s rôznou úrovňou skúseností a znalostí, uvedené situácie niekedy nastávajú, bohužiaľ (a tiež našťastie) nejde o súkromnú firmu, kde je garant kvality a zákazník, ktorú tú kvalitu vyžaduje. Napriek tomu uvedená komunita je veľmi silná a otvorená a priamo alebo nepriamo v nej participuje väčšina súčasných svetových WebAppSec expertov (veľa z nich je aktívnych paralelne aj v projekte WASC), napríklad Mario Heiderich, David Lindsay, Gareth Heyes, David Campbell, Eduardo Vela, Stefano Di Paola, Ryan Barnett, Robert Hansen (Rsnake) a množstvo ďalších.

Asi najdôležitejší argument je, že množstvo týchto ľudí osobne poznám a skutočne ide altruistických nadšencov ochotných kedykoľvek pomôcť a posunúť dobré veci dopredu.

2 Pomoc pri novej testovacej príručke OWASP 4.0

Projekt OWASP Testing Guide v4.0 stagnuje, problém je akútný nedostatok špecialistov (a akútny nedostatok času existujúcich špecialistov) na kompletnú systematickú kontrolu a spripomienkovanie predošlej verzie 3.0, sfinalizovanie výslednej štruktúry a očakávaného obsahu a vytvorenie nových navrhovaných sekcií pre verziu 4.0. Posledný stav plánovanej testovacej príručky OWASP v4 reflektuje naša posledná prezentácia na OWASP Summite 2011:

 

Prezentáciu je možné stiahnuť aj v PDF formáte. Prikladám ešte zápis z nášho stretnutia.

Akým spôsobom môžete priamo podporiť dokončenie novej verzie testovacej príručky OWASP?

prihláste sa do príslušného mailinglistu owasp-testing ako aj do mailinglistov common numbering a common vulnerability preštudujte si súčasnú starú verziu OWASP testing guide v3 a všetky odhalené chyby, prípadne návrhy na zlepšenie posielajte priamo na list ak ste z Bratislavy alebo okolia, zúčastnite sa pravidelných OWASP stretnutí v Progressbare - vždy prvý štvrtok v mesiaci

3 Pomoc pri lokalizácii OWASP projektov

Priznám sa, že som bol veľa rokov odporca slovenských lokalizačných projektov (nakoľko som ich nikdy nevyužíval) obzvlášť v technickej oblasti ako je IT bezpečnosť. Po dlhokosiahlych konzultáciach s viacerými OWASP aktivistami z rôznych európskych krajín som sa dozvedel, že lokalizácia OWASP projektov overiteľne a znateľne pomohla zvyšeniu bezpečnostného povedomia v oblasti bezpečného vývoja aplikácií v ich krajine, o aplikačnú bezpečnosť sa začalo zaujímať podstatne väčšie množstvo ľudí a čo je dôležité - záujem o aplikačnú bezpečnosť prenikol výrazne aj do štátnej sféry. Bohužiaľ cudzí jazyk je stále bariéra pre veľké množstvo ľudí aj v IT sfére.

Z hľadiska dôležitosti sú do neanglických jazykov obvykle prekladané nasledujúce projekty:

OWASP Testing Guide

OWASP Development Guide

OWASP Code Review Guide

OWASP Application Security Verification Standard Project

OWASP Top Ten

Čo presne robiť predtým ako sa pustíte do lokalizácie ľubovoľného OWASP projektu do slovenčiny:

preštudujte si lokalizačnú príručku prihláste sa do príslušného lokalizačného mailinglistu prihláste sa do mailinglistu slovenskej OWASP pobočky navštívte naše pravidelné OWASP stretnutia v Progressbare

4 Pomoc pri vlastných OWASP projektoch

V prípade, že pracujete na svojom vlastnom zaujímavom projekte, ktorý sa nejakým spôsobom týka bezpečnosti webových aplikácií, neváhajte ho zverejniť ako samostatný OWASP projekt. Získate priamu a nezištnú pomoc ako zo strany účastníkov našich pravidelných OWASP stretnutí, tak zo strany celej OWASP komunity. Ak sa o ňom komunita dozvie, je pravdepodobné, že získate ďalších nadšencov pre jeho ďalší vývoj ako aj zlepšovanie vo forme bugreportov. Kde začať?

prihláste sa do mailinglistu slovenskej OWASP pobočky navštívte naše pravidelné OWASP stretnutia v Progressbare

5 Členstvo v OWASP organizácií a Progressbare

Členstvo v oboch organizáciách je dobrovoľné nezávisle od toho, či na nejakom OWASP projekte participujete alebo navštevujete (nielen OWASP) prezentácie v Bratislavskom Progressbare.

Obe organizácie žijú primárne z príspevkov členov - ak si myslíte, že ide o správnu vec (ja osobne som o tom samozrejme vnútorne presvedčený), tak nás môžete priamo finančne podporiť:

Členstvo v OWASP organizácii - ročný poplatok $50, 40% z tejto sumy ide priamo slovenskej OWASP pobočke

Členstvo v Progressbare - mesačný poplatok 20 €, v prípade študentov 10 €.

Občianske združenie Progressbar platí každý mesiac relatívne vysoký komerčný nájom v centre Bratislavy, naše členské príspevky sú bohužiaľ jediný spôsob ako sme schopní tento nájom uhradiť a zachovať náš priestor. Výpisy účtov sú samozrejme transparentné/dostupné pre všetkých prispievateľov.

6 OWASP stretnutia v Progressbare

Komunitné projekty vždy stoja na spojení viacerých ľudí a vzájomnej pomoci.

Neváhajte sa k nám pridať - naše stretnutia sú pravidelne každý prvý štvrtok v mesiaci.

Ak máte záujem prispieť svojou dlhšou prezentáciou (v oblasti vývoja bezpečných webových, či mobilných aplikácií, testovania aplikácií, tvorbe testovacích nástrojov, aktuálnych trendov v oblasti webappsec bezpečnosti apod) ako i kratšou prezentáciou vo forme stručného "lightning talku", neváhajte sa ozvať a zaslať svoju prezentáciu na náš OWASP mailinglist.

Progressbar je ideálne miesto aj na nekomerčné školenia, či workshopy.

Počiatočný program prvých stretnutí sa posnažím pokryť mojimi rôznymi prezentáciami - vzhľadom k tomu, že sa rýchlo vyčerpajú, rád by som požiadal akýchkoľvek nadšencov o vlastné návrhy tém prezentácií, workshopov, či len voľných diskusií.

Program na tento štvrtok (7.4.2011):

19:00 Lightning talks (miesto stále voľné, prípadní záujemcovia, ozvite sa)

19:15 Prezentácia: Nové druhy a spôsoby webových útokov

20:00 Prezentácia: Ako vyzerá reálny útok na aplikáciu - od anonymizácie až po vytvorenie zadných vrátok

20:45 Voľná diskusia na tému - dôvera k svetovým certifikačným autoritám (nadväzuje na nedávny úspešný útok na svetovú certifikačnú autoritu)

21:30 Club Mate & Beer party