Saturday, October 17, 2015

OWASP are cool

השבוע הגעתי לכנס APPSEC-IL, כנס שמאורגן על ידי סניף OWASP המקומי ומתעסק, כמובן, באבטחת תוכנה. לכנס הזה היו כמה יתרונות: קודם כל, הוא נשמע מעניין. ברגע בו פורסמו ההרצאות השונות, יכולתי למצוא כמעט בכל נקודת זמן משהו שנראה מעניין (מה שאינו מובן מאליו כשבכל רגע יש לכל היותר שתי הרצאות). שנית: הוא היה קרוב למקום מגורי - בערך ארבעים דקות נסיעה, כולל פקקים . שלישית: הוא היה בחינם. 
שלושת המאפיינים האלה אפשרו לי גם להפיץ קבל עם ועדה את קיום הכנס ולומר לאנשים "בואו" בלי לדאוג שאני משבש למנהל כזה או אחר את תקציב הפיתוח האישי שיש לו וגם לקוות שאנשים מהצוות באמת יגיעו אליו (ספויילר - זה לא קרה).
התחושות שלי מהכנס עצמו הן בסך הכל - טובות למדי. האזנתי לכמה הרצאות שהיו מחוץ למה שאני מתעסק בו בדרך כלל (למשל, ארז מטולה דיבר על אבטחה בעולם IOT) ולהרצאות אחרות שעסקו בתחום קרוב מאוד לתחום שלי, אבל הציגו רעיונות שהיו חדשים לי (בלטה לטובה ההרצאה של נתנאל רובין "גדול מכדי להיכשל - לשבור את קוד הליבה של וורדפרס" שהציגה מסלול מרשים של הסלמת הרשאות). אם נוסיף לזה את הרצאת הפתיחה המצויינת של הכנס בה ג'רמיה גרוסמן (מקים WhiteHat security שהגיע לארץ מהוואי הרחוקה) שהציג תמונה מעניינת על מצב ההשקעה באבטחת תוכנה למול ההשקעה בביטוח נזקים, ושאל שאלה פשוטה לכאורה - איך זה יכול להיות שכל שוק אבטחת התוכנה מסיר מעצמו כל אחריות למתקפות על הלקוחות שלו? למה חברות שמוכרות אבטחת תוכנה לא מצהירות שהן יחזירו את הכסף שקיבלו אם מישהו יצליח לפרוץ ללקוח שלהם?
במבט ראשון, השאלה נשמעת פשוטה -אם אתה לא יכול להבטיח תוצאות, למה שמישהו יקנה את המוצר שלך? אבל למעשה, הצהרת אחריות שכזו נכנסת לעולם שלם של ניואנסים ומגבלות, קצת כמו הפוליסה המסובכת להחריד שמקבל כל מי שקונה ביטוח.  הסיבה לזה היא שיש כל כך הרבה דרכים להיכנס ולגרום נזק, ואף חברה (לפחות, אף חברה למיטב ידיעתי) לא מתעסקת בכל הקשת הרחבה של איומים. התקפות, למרבה הצער, לא יטרחו להגביל את עצמן לוקטור יחיד. האם חברה שמתעסקת עם חולשות של אתרי אינטרנט יכולה להבטיח החזר במקרה בו המתקיף היה אחד העובדים? או במקרה של פריצה פיזית לחדר בו יושב השרת? האם חברה כזו יכולה להבטיח למוצר שמשתמש בAWS שאף אחד לא יצליח לפרוץ לתשתית הענן של אמזון? ואם מישהו השתלט על פס הייצור של רכיב חומרה בו המערכת משתמשת? בקיצור - למרות הטענה של מר גרוסמן על כך שהחברה שלו מציעה לא רק החזר כספי במקרה של פריצה אלא גם כיסוי של חצי המיליון הראשון מהנזק שייגרם, אני מוצא את עצמי קצת סקפטי לגבי יכולתן של חברות אחרות לעשות אותו דבר בצורה אפקטיבית (ולמעשה, אני תוהה מה הן האותיות הקטנות במקרה של החברה הזו).

חוץ מזה, כמקובל בכל מיני כנסים, חילקו לנו כל מיני שמונצעס. קיבלתי חולצה, כדור ספוג וגם - ספר! ואפילו ספר שיש סיכוי טוב שאקרא (למעשה, עותק של הספר שוכב אצלנו במשרדים, והמעט שקראתי ממנו היה די מסודר ויעיל)

אלו הדברים המצויינים שהיו.  מטבע הדברים, היו גם כמה נקודות שאהבתי פחות.
נתחיל עם המקום הפיזי - מצד אחד, האולמות היו נפלאים. מספיק מקום לקצת יותר מ550 איש באולם הראשי, כיסאות נוחים ושקעי חשמל למי שהגיע מוכן (השארתי את ספק הכוח של המחשב בדירה). ומצד שני - המסדרון. מחוץ לאולם הראשי היה מסדרון בו שכנו הדוכנים השונים, ובו הסתובבו האנשים. או אולי, מילה מתאימה יותר תהיה "נדחקו". לא באמת היה אפשר לזוז שם. 
ההערה השניה שלי היא לגבי לו"ז - הכנס היה צפוף מאוד. עם רבע שעה בין סבב לסבב, ועם שמונה סבבי הרצאות, לא נשאר הרבה מאוד זמן לפגוש אנשים ולהכיר תחומי עיסוק קרובים יותר או פחות. ואם כבר בענייני היכרות עסקינן, הרצאות המוניות הן לא בדיוק מקום אידיאלי להכיר בו אנשים. אם לוקחים בחשבון שיצירת קהילה הייתה אחת המטרות של הכנס (כך, לפחות, על פי דברי יו"ר OWASP-IL, אבי דוגלן), אני חושב שהיה כאן פספוס משמעותי. מי שהכיר קודם אנשים, עצר להחליף איתם מילה או שתיים בין ההרצאות, מי שלא - לא ממש הספיק לגשת לאחרים, גם אם רצה. אני חושב שכמה סדנאות, או כמעט כל פעילות שאפשר לנהל בקבוצות של עד עשרים איש, היו יכולות לתרום לנושא הזה לא מעט. 

ואם בדברים חסרים עסקינן - חסרה לי נוכחות של בודקי תוכנה בכנס. היו מפתחים, היו מנהלי מוצר,אנשי מחלקת אבטחת תוכנה ושלל "יועצים", אבל אם לא סופרים את אלו שאפשר לקרוא להם penTesters (ואני לא סופר אותם כי חלק גדול מהם מתקרא "יועץ"), הרגשתי שהייתי בודק התוכנה היחיד בכנס. אני בטוח שזה לא נכון, אבל זו הייתה התחושה: בפתיחת הרצאות שאלו כמה מהקהל מפתחים, כמה מנהלי מוצר, כמה אנשי אבטחה. לבודקי תוכנה, מסתבר, אין נראות בכנס. וזה חבל לי, בטח כשהחיבור בין אבטחת תוכנה לבדיקות הוא כל כך טבעי (ומי שלא מספיקה לו המילה שלי לגבי הקשר, מוזמן לקרוא את הספר המצויין של אדם שוסטק Threat modeling: designing for security ולקרוא שם הערה דומה באחד הפרקים המאוחרים יותר). 

ותודה רבה לOWASP על מפגש שהיה באמת מצויין. 

-----------------------------------------------------
This week I attended APPSEC-IL, a conference that was organized by the Israeli branch of OWASP and deals, naturally, with software security. From my standpoint, this conference had three main advantages: First of all - it was interesting. once the talks were published, I was able to find something that seemed interesting for almost every time-slot (which is no mean feat, if you take into consideration that there were at most two talks per time-slot). Second - it was not far from where I live and work (around 40 minutes drive, traffic included). Third - the conference was free. 
Those three properties made it really easy for me to invite my colleagues to participate (I could even say truthfully  "come, there will be free food") and saved me the need to worry about convincing too many people to go and creating a mess to our director that has a limited "personal development" budget that probably can't send everyone to a conference. Also, those properties made it possible for me to hope that some of my team will attend (spoiler - they didn't). 

My impressions from the conference are pretty good. I got to listen to some talks that exposed me to a world very different than my own (one of those was the talk Erez Metula gave on security in the world of IOT).Other talks that remained in a subject I was more familiar with still had a lot to teach me about new things to worry about (One I particularly enjoyed was Netanel Rubin's talk: "too big to fail - breaking wordpress core" that presented an impressive scenario of privilege escalation). 
If we'll add to that the great keynote talk that was presented by Jeremiah Grossman (Founder and CTO of WhiteHat security) who cam all the way from distant Hawaii to give his talk. He presented some interesting figures about the money invested in software security and the amounts invested in insurance against security breaches. He asked a simple question: Why are software security solutions being sold "as is"? Why aren't they providing some guarantees or a "return policy" in case a customer was breached despite using those solutions properly? 
This question sounds very simple at first glance - if you can't guarantee that your product delivers, why should anyone pay for it? just about any other product - software or other, has some sort of a return policy. However, after giving it a little bit of thought, I'm not sure this question is nearly as simple as it sounds. In fact, I don't see a way that such a commitment won't turn out to be a long list of exceptions, limitations and nuances, A little bit like those nasty, long incomprehensible terms and conditions you sign when buying Insurance. The reason for that is that there are so many ways to get in and cause some havoc, and no company (at least, to my limited knowledge)  covers all the types of security hazards that exist in the big bad worlds outside. Attacks, most unfortunately, won't stick to one vector but would rather use whatever they can. Could a company specializing in web applications security commit that your product won't be hacked by one of the employees? Could it protect against someone breaking to the physical server room? Or from an attack that targets the manufacture line of some silicone chips used by your system? If you are using AWS, could they protect you from a successful attack on Amazon's infrastructure?  And what happens if some of those attacks are compromising something out-of scope for that company in order to uncover a defect that is covered (e.g.: taking down a physical encryption machine in order to force the application to use less secure encryption). In short, despite Mr. Grossman's claim that his company is offering not only a refund, but also cover the first half-million dollars that the customer lost after a successful attack, I remain a bit skeptical about the adoption of this practice wildly and effectively (in fact, I am really curious about the fine letters in WhiteHat's contracts). 

Besides those, as is customary in some conferences, there were some nice giveaways - I got a T-shirt, a sponge ball, and a book! There is even a fair chance I'll read this book (In fact, there is a copy lying in our office, and the chapter I read from it was very informative and useful). 

Those were the things I enjoyed. As things happen, there were some minor things I enjoyed a bit less. One of them was the location. On one hand, the conference rooms were really great, with enough room to accommodate comfortably the 550+ participants in the main auditorium, with comfy chairs and electricity sockets for those who came prepared ( I left my power cable at home). On the other hand, the corridor, where all sponsors had their booths, and were people were during recess, was very crowded. Moving in the corridor involved stepping on a toe or two, pushing a bit and being pushed. 
Another thing for me was the schedule - with 8 talks per track, there was very little time left to meet new people. As one of the purposes of this conference was to strengthen the community (At least, this was declared by OWASP-Israel's chairman, Avi Douglen), I think the conference could have done a bit more in this field. I think that some workshops, or any other activity that can be conducted with up to 20 participants could be more effective in getting people to know each other. 

And one other thing I missed gravely was the lack of tester visibility in the conference. There were product owners, developers, "security people" and all kinds of consultants. But, it you don't count the PenTesters (And I don't count them since they usually prefer the title "security consultant"), I felt as if I was the only tester around. I'm sure that's not the case, but it still feels this way. In some of the talks the audience was asked "how many here are developers? product managers? security people?" no one asked on testers or on QA. This pains me a bit, especially since the connection between software security and testing is so natural (And, you don't have to take my word for it. you read the book "Threat modeling: designing for security" by Adam Shostack and find a similar saying in one of the latest chapters.  

So thank you OWASP-israel for a great conference.


No comments:

Post a Comment