Pull to refresh
  • by relevance
  • by date
  • by rating

Разработка защищенных банковских приложений: главные проблемы и как их избежать

Positive Technologies corporate blog Information Security *Website development *


В прошлом году злоумышленники совершили на 30 % больше атак на российские банки, чем годом ранее. Пытались вывести около 6 млрд рублей. Часто атака становится возможной из-за недостаточной защищенности финансовых приложений.

По нашей статистике, более половины систем дистанционного банковского обслуживания (54 %) содержали XSS-уязвимости, которые позволяют осуществить MitM-атаку и перехватить доступ к интернет-банкингу. С мобильными банковскими приложениями ситуация выглядит не лучше: 70 % «кошельков» для Android и 50 % для iOS в 2014 году содержали уязвимости, достаточные для получения доступа к счету.

Выявлять уязвимости на ранней стадии гораздо дешевле, чем потом расхлебывать последствия их эксплуатации. В середине октября эксперты Positive Technologies Тимур Юнусов и Владимир Кочетков провели двухдневный мастер-класс по безопасной разработке банковских приложений. Сегодня мы представляем краткий пересказ.

Разговор о проблемах безопасности и их возможных решениях следует начать с типичных проблем защищенности банковских приложений.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 17K
Comments 13

Positive Development User Group Picnic: безопасная разработка для каждого

Positive Technologies corporate blog Information Security *


Компания Positive Technologies организует Positive Development User Group Picnic — закрытую неформальную встречу для разработчиков и других IТ-специалистов. На ней мы будем рады видеть тех, кто только планирует научиться безопасной разработке или уже имеет опыт создания защищенных приложений.
Читать дальше →
Total votes 20: ↑19 and ↓1 +18
Views 3.9K
Comments 0

PDUG Meetup. SSDL для руководителей: как перевести команду на безопасную разработку и не выстрелить себе в ногу

Positive Technologies corporate blog Information Security *System Analysis and Design *


Безопасность ПО становится важнейшей составляющей его качества. Однако традиционный процесс разработки не всегда позволяет создавать защищенные приложения с нуля, а устранение уязвимостей в готовом софте требует серьезных временных и материальных затрат. На помощь приходит встраивание Secure Software Development Lifecycle в общий цикл разработки ПО. Уже существует ряд методик, накопились реальные кейсы, но исчерпывающего руководства, которое бы гарантировало успешность перехода на SSDL, не существует.

Так как же внедрить практики SSDL и не потерять контроль над ситуацией? Что делать самому и чему учить своих специалистов?

Обсудить эти и другие вопросы можно будет 25 ноября в Технологическом центре Microsoft, где состоится PDUG Meetup: SSDL for Management — встреча для руководителей R&D- и ИБ-подразделений, управляющих крупными проектами и командами разработки.
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views 2.4K
Comments 0

PDUG Meetup: разбираем WAFы по винтикам, лезем в бинарники голыми руками, собираем инфраструктуру среды разработки

Positive Technologies corporate blog


20 декабря в Digital October состоится PDUG Meetup: J’adore hardcore — финальная в текущем году встреча сообщества Positive Development User Group, посвященная безопасной разработке.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 1.9K
Comments 0

Жизнь без SDL. Зима 2017

Information Security *Programming *


Введение, дисклеймер или зачем эта статья


Данная статья представлена с целью призвать всех, кто хоть как-то связан с разработкой, обращать больше внимания на безопасность, при этом мы постарались сделать это максимально наглядным образом. Статья не претендует на самостоятельное исследование.

Первая попытка формирования проблемы была представлена на финальном этапе M*CTF в Конгресс-центре МТУСИ. В день лекций был представлен к вниманию доклад «Жизнь без SDL. Осень-2016», затрагивающий подробный разбор DOM XSS на WIX.COM и Cryptsetup Initrd root Shell в современных дистрибутивах. Последний случай мы рассмотрели на недавнем вебинаре.

Доклад получил одобрение публики и плавно перешел в диалог о существующих проблемах и способах их решений. Это вдохновило нас на создание цикла статей о наиболее интересных и показательных случаях, подчеркивающих актуальность затронутой темы.
Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 5.4K
Comments 10

PDUG-секция на PHDays VII: как разрабатывать приложения, которые не взломают хакеры

Positive Technologies corporate blog Information Security *


PHDays VII стремительно приближается, и мы спешим сообщить, что на площадке форума снова соберется Positive Development User Group — открытое сообщество безопасной разработки. В прошлом году под эгидой PDUG прошел отдельный семинар (подробности в отчете VladimirKochetkov), а в этом мы запланировали целую секцию с мастер-классом по AppSec, тематическими докладами о разных аспектах безопасной разработки и даже бета-тестированием нового бесплатного сервиса для поиска уязвимостей веб-сайтов.
Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Views 2.5K
Comments 2

Секция безопасной разработки на PHDays VII: итоги встречи сообщества PDUG

Positive Technologies corporate blog Information Security *Programming *


24 мая на площадке форума PHDays VII прошло очередное мероприятие сообщества Positive Development User Group. Пока за стеной хакеры увлеченно (и весьма успешно) атаковали инфраструктуру вымышленного города, мы разговаривали о том, как разработчики могут сделать свои приложения неуязвимыми для взлома.

Что из этого вышло, смотрите под катом — там собраны презентации и видеозаписи докладов.
Total votes 15: ↑15 and ↓0 +15
Views 2.1K
Comments 0

Секция безопасной разработки на форуме PHDays 8

Positive Technologies corporate blog Information Security *


Несколько лет подряд сообщество безопасной разработки Positive Development User Group организует на площадке международного форума PHDays свои мероприятия. В прошлом году мы посвятили обсуждению разработки защищенных приложений один день, а в этом — устраиваем масштабный двухдневный марафон докладов с круглым столом.

Попасть на секцию можно бесплатно, но число мест ограничено, поэтому необходимо зарегистрироваться. Если не сможете присутствовать лично, не беда — после форума мы опубликуем презентации докладов и видео в открытом доступе (в том числе на Хабре).
Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 1.4K
Comments 0

Безопасная разработка на PHDays 8: итоги встречи сообщества PDUG

Positive Technologies corporate blog Information Security *


15–16 мая на площадке форума по кибербезопасности PHDays прошла очередная встреча сообщества безопасной разработки Positive Development User Group. В двухдневную программу вошли 11 докладов разной степени хардкорности и круглый стол, посвященный статическому анализу.

Под катом делимся материалами встречи: презентациями и видеозаписями докладов.
Total votes 8: ↑7 and ↓1 +6
Views 1.4K
Comments 0

А вы приносите плохие новости руководству?

Development Management *Project management *Personnel Management *
Хочу поговорить о таком важном качестве, как ответственность за ошибки, как свои так и команды.

Одно из самых сложных и неприятных, на мой взгляд, решений для разработчика или руководителя (да да это всегда сложно), это обнаружив свою ошибку на проде или в вот-вот готовящемся выйти релизе, пойти и сказать руководству — “Я ошибся. Ошибка на проде, сейчас я пытаюсь понять, насколько это влияет на пользователей.”

Это естественно и нормально, и так должно быть, но ощущения всегда неприятные. Более того как руководитель, я хочу слышать такие новости от своей команды. Не поймите меня неверно, я не мазохист, который любит ходить с такими новостями к техническому директору, но если ошибка весомая, и может стоить компании денег, то получать такие новости крайне важно.

Почему нужно рассказывать о таких случаях, если вы разработчик?

Казалось бы, ошибка, на проде, нужно исправить и в следующем релизе спокойно это вылить, зачем беспокоить руководителя?

Читать дальше →
Total votes 19: ↑19 and ↓0 +19
Views 6.5K
Comments 5

Приглашаем разработчиков участвовать в хакатоне на PHDays 9

Positive Technologies corporate blog Information Security *Website development *Programming *Hackathon
image

Впервые на Positive Hack Days в рамках кибербитвы The Standoff пройдет хакатон для разработчиков. Действие развернется в мегаполисе, в котором массово внедрены самые современные цифровые технологии. Условия максимально приближены к реальности. У атакующих полная свобода действий, главное не нарушать логику работы игрового полигона, а защитники должны обеспечить безопасность города. Задача команд разработчиков развернуть и обновлять заранее написанные приложения, которые атакующие не преминут проверить на прочность. Соревнование состоится 21 и 22 мая, во время проведения The Standoff.

Хакатон — отличный шанс для разработчиков провести профессиональный пентест своего приложения, посмотреть вживую, как действуют хакеры, и прямо на ходу доработать свой код с точки зрения информационной безопасности. Для хакатона принимаются только некоммерческие проекты, представленные авторами. Всего к соревнованию будут допущены 10 проектов, которые организаторы выберут по итогам голосования на сайте хакатона.
Читать дальше →
Total votes 13: ↑13 and ↓0 +13
Views 1.1K
Comments 0

PHDays 9: приглашаем на секцию по безопасной разработке

Positive Technologies corporate blog Information Security *


На форуме Positive Hack Days 9 в течение двух дней пройдет секция по безопасной разработке сообщества Positive Development User Group. Участников ждут 12 выступлений: в первой части каждого дня пройдут технические доклады, во второй — посвященные бизнес-процессам.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 1.4K
Comments 1

Как проходил первый хакатон на The Standoff

Positive Technologies corporate blog Information Security *Website development *Programming *Hackathon
image

На PHDays 9 впервые в рамках кибербитвы The Standoff состоялся хакатон для разработчиков. Пока защитники и атакующие в течение двух дней боролись за контроль над городом, разработчики должны были обновлять заранее написанные и развернутые приложения, а также обеспечивать их бесперебойную работу под шквалом атак. Рассказываем, что из этого получилось.
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 1.1K
Comments 0

Шпаргалки по безопасности: Nodejs

Акрибия corporate blog Information Security *Website development *Node.JS *


Довольно много уже было сказано о популярности NodeJS. Рост количества приложений очевиден – NodeJS довольно прост в освоении, имеет огромное количество библиотек, а также динамично развивающуюся экосистему.

Мы подготовили рекомендации для NodeJS разработчиков, основываясь на OWASP Cheat Sheets, которые помогут вам предусмотреть проблемы с безопасностью при разработке приложений.

Рекомендации к безопасности NodeJS приложений можно разделить на следующие категории:

  • Безопасность при разработке приложения;
  • Безопасность сервера;
  • Безопасность платформы;

Читать дальше →
Total votes 21: ↑18 and ↓3 +15
Views 10K
Comments 2

(S)SDLC, или Как сделать разработку безопаснее. Часть 3

Ростелеком-Солар corporate blog Information Security *IT systems testing *Perfect code *Product Management *
Этой статьей мы завершим небольшой цикл о построении процесса безопасной разработки на основе SAST — статического анализа кода на безопасность. В первой части мы разобрали основные вопросы, возникающие при внедрении SAST в процесс разработки. Во второй части остановились на технических аспектах внедрения и разобрали несколько примеров выстраивания SSDLC на практике. В последней части расскажем об организационных моментах.

Для большинства компаний использование SAST — это новый процесс, а уязвимость — новая сущность. Уязвимость — это не баг и не функциональное требование, и нужно выстраивать процесс работы с новой сущностью. Нельзя забывать про историческое разделение безопасности и разработки, которое особенно обостряется, когда в процесс разработки нужно внедрять что-то новое. Масла в огонь подливают и технические особенности статического анализа, о которых мы говорили во второй части.

Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 3.3K
Comments 0

DevSecOps: организация фаззинга исходного кода

Digital Security corporate blog Information Security *DevOps *


Узнав результаты голосования, проведённого в одной из наших прошлых статей, мы решили более подробно обсудить вопрос организации фаззинга. Кроме того, в рамках онлайн-встречи по информационной безопасности "Digital Security ON AIR" мы представили доклад, основанный на нашем опыте в DevSecOps, где также рассказали об этой интересной теме.


Записи всех докладов можно посмотреть на нашем Youtube-канале. Если же вы предпочитаете текстовый формат, добро пожаловать под кат!

Читать дальше →
Total votes 21: ↑21 and ↓0 +21
Views 7.3K
Comments 2

Перевод стандарта ASVS 4.0. Часть 1

OWASP corporate blog Акрибия corporate blog Information Security *
Translation

Это первая статья из серии переводов стандарта Application Security Verification Standard 4.0, который был разработан OWASP в 2019 году. Стандарт состоит из 14 групп требований для программного обеспечения. Первая группа (V1) содержит в себе требования к архитектуре и моделированию угроз для основных функций ПО, таких как, аутентификация, управления сеансами, контроль доступа и др. Последующие группы расширяют список требований для каждой из функций.

В статье описывается концепция стандарта ASVS, способы его применения, также переведена первая группа требований к архитектуре и моделированию угроз.

Читать далее
Total votes 1: ↑1 and ↓0 +1
Views 3.3K
Comments 0

Строим безопасную разработку в ритейлере. Опыт одного большого проекта

Ростелеком-Солар corporate blog Information Security *Perfect code *Product Management *Software
Некоторое время назад мы закончили строить процесс безопасной разработки на базе нашего анализатора кода приложений в одной из крупнейших российских ритейловых компаний. Не скроем, этот опыт был трудным, долгим и дал мощнейший рывок для развития как самого инструмента, так и компетенций нашей команды разработки по реализации таких проектов. Хотим поделиться с вами этим опытом в серии статей о том, как это происходило на практике, на какие грабли мы наступали, как выходили из положения, что это дало заказчику и нам на выходе. В общем, расскажем о самом мясе внедрения. Сегодня речь пойдет о безопасной разработке порталов и мобильных приложений ритейлера.


Читать дальше →
Total votes 15: ↑15 and ↓0 +15
Views 3.2K
Comments 1

Зачем вам чужие ошибки? Исправляем уязвимости в сторонних библиотеках

Ростелеком-Солар corporate blog Information Security *Perfect code *Software
Любое ПО содержит уязвимости, причем они появляются на разных этапах его жизненного цикла. Полностью избавиться от уязвимостей в коде достаточно сложно, но можно, как минимум, сократить их количество. Для этого используются средства SAST, DAST и IAST – статический, динамический и интерактивный методы анализа соответственно. Эти средства можно гибко интегрировать в процесс разработки, тем самым повысив качество собственного кода. Дела обстоят сложнее со сторонним программным обеспечением, так как исправлять уязвимости в заимствованных библиотеках/фреймворках сложно и трудозатратно. Библиотеки могут быть без исходного кода, в компании может отсутствовать специалист, который готов такие исправления вносить. Да и в целом стоит задуматься о целесообразности исправлений, поскольку библиотека все-таки должна обновляться и поддерживаться командой, которая ее выпускает. Но что делать, если эта команда ленится, а использовать библиотеку надо, чтобы приложение работало? Тут пригодятся средства анализа состава программного обеспечения – SCA. Разберемся, какие SCA-инструменты существуют, как они помогают устранять уязвимости в заимствованных частях кода, и почему их имеет смысл использовать вместе с SAST.


Читать дальше →
Total votes 22: ↑21 and ↓1 +20
Views 3.1K
Comments 4

Строим безопасную разработку в ритейлере. Часть 2, SAP-приложения

Ростелеком-Солар corporate blog Information Security *Perfect code *Product Management *Software
Недавно мы начали рассказывать вам о своём опыте выстраивания процесса безопасной разработки для крупного ритейлера. Если вы вдруг пропустили этот момент, то можете прочитать первую часть о безопасной разработке порталов и мобильных приложений здесь. А сегодня мы раскроем подробности реализации этого проекта в группе приложений семейства SAP.


Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views 2.2K
Comments 4
1