Flag Flag

Szkolenie bezpieczeństwa dla programistów w ramach projektu GN3

Logo Geant 3

23.06.2010. Zespół Bezpieczeństwa PCSS odegrał kluczową rolę w przygotowaniu dwudniowego, kompleksowego szkolenia, obejmującego tematykę tworzenia bezpiecznego oprogramowania. Szkolenie zostało zorganizowane w Poznaniu dla uczestników jednego z największych europejskich projektów naukowo - badawczych, GN3. Poznańskie Centrum Superkomputerowo-Sieciowe, jako operator krajowej szerokopasmowej sieci naukowej PIONIER, jest jedyną polską jednostką biorącą udział w projekcie.

Szkolenie zrealizowano w ramach usługi GÉANT Security Expertise Delivery (SED), będącej jednym z obszarów prac zadania 4 pakietu roboczego SA2 (Usługi Wielodomenowe - bezpieczeństwo). Celem uruchomienia usługi było dostarczenie wiedzy zorientowanej na bezpieczeństwo teleinformatyczne dla osób tworzących lub adaptujących usługi wielodomenowe w ramach projektu. Duży wkład w organizację szkolenia miał również Peter Webster (DANTE) z Biura Projektu. Wykłady prowadzili: Milan Potocnik z Centrum Obliczeniowego Uniwersytetu w Belgradzie oraz Tomasz Nowak i Gerard Frankowski z Zespołu Bezpieczeństwa PCSS.

W szkoleniu wzięło udział 20 osób (bezpośrednio) oraz dalszych kilkadziesiąt za pośrednictwem systemu wideokonferencji. Przygotowano także dodatkową salę wideokonferencyjną dla chętnych w PCSS.

W pierwszym dniu szkolenia zaprezentowaliśmy konkretne straty i zagrożenia związane z wytwarzaniem oprogramowania zawierającego błędy bezpieczeństwa. Później nastąpił przegląd dobrych praktyk bezpieczeństwa (jak np. prawidłowe uwierzytelnianie, unikanie wycieku informacji, odpowiednia obsługa błędów, wpływ otoczenia aplikacji na jej bezpieczeństwo). Po południu odbyły się m.in. wykłady z ochrony Web Services, wykorzystania infrastruktury klucza publicznego, zaprezentowano także jedną z usług projektowych.

Drugi dzień szkolenia stał pod znakiem poszczególnych typów podatności oprogramowania. Omówiono następujące zagrożenia: wykorzystanie tzw. niebezpiecznych funkcji, obsługa wrażliwych danych, przepełnienia bufora, wycieki pamięci i zasobów, sytuacje wyścigu, dereferencja wskaźnika NULL, błędy ciągów formatujących, przewinięcia licznika, błąd ,,płotu i słupków". W odniesieniu do kodu Javy przygotowano prezentacje na temat nieprawidłowej obsługi wyjątków, nieoptymalnych wzorców kodowania i błędów w dostępie do klas. Wreszcie aplikacje webowe - oczywiście ataki XSS i SQL Injection, jak również wstrzykiwanie poleceń, wycieki informacji czy Path Traversal.

Ostatni, krótszy już blok szkoleniowy, poświęcono analizie kodu źródłowego przy pomocy kilku prostych w użyciu i dostępnych bez opłat skanerów kodu Javy, C/C++ oraz PHP. Po omówieniu zakresu przydatności tych narzędzi dla programistów, krótko zaprezentowano kilka z nich. Choć całość zorganizowano w formie wykładu, szkolenie zakończyło się krótkim konkursem praktycznym z analizy kodu.

Szkolenie było otwarte dla uczestników projektu GN3, jednak w związku z dużą przydatnością poruszanej tematyki dla wszystkich programistów, udostępniamy poniżej do pobrania pliki PDF, zawierające (częściowo zagregowane) prezentacje, przygotowane na szkolenie. Materiały dostępne są tylko w języku angielskim.

Dzień 1:Zaangażowanie specjalistów z Zespołu Bezpieczeństwa PCSS jako ekspertów szkoleniowych jest z pewnością docenieniem roli, jaką Poznańskie Centrum Superkomputerowo-Sieciowe odgrywa w zakresie bezpieczeństwa w europejskich projektach naukowo-badawczych. Przyjemnie nam poinformować, że bardzo pozytywne opinie zebraliśmy również w wyniku analizy ankiet wypełnianych przez uczestników szkolenia.

Najważniejsze wydarzenia:

Testy bezpieczeństwa przeglądarek internetowych
Zespół Bezpieczeństwa PCSS przeprowadził testy porównawcze 5 najpopularniejszych przeglądarek internetowych pod kątem odporności na ataki na szyfrowane połączenia SSL/TLS.
Zapraszamy do zapoznania się z przygotowanym raportem.

Więcej

Szkolenie bezpieczeństwa dla programistów w ramach projektu GN3
Zespół Bezpieczeństwa PCSS odegrał kluczową rolę w przygotowaniu dwudniowego, kompleksowego szkolenia, obejmującego tematykę tworzenia bezpiecznego oprogramowania. Szkolenie zostało zorganizowane w Poznaniu dla uczestników jednego z największych europejskich projektów naukowo - badawczych, GN3. Zapraszamy do zapoznania się z zaprezentowanym materiałem.

Więcej

Tematy powiązane:

Katalog ofertowy
W dziale Usługi opublikowany został nowy katalog opisujący wszystkie usługi, które świadczy Zespół Bezpieczeństwa PCSS.
Katalog

Zakupy przez Internet
Zespół Bezpieczeństwa PCSS postanowił przyjrzeć się bliżej usłudze zakupów elektronicznych. Wynikiem naszych prac jest raport.

Bankowość elektroniczna
Raport dotyczący stanu bezpieczeństwa bankowości elektronicznej w Polsce wzbudził duże zainteresowanie. Tutaj można poczytać sam raport, a tutaj reakcje mediów.