«Безопасность веб» — новый факультатив от Hacktory

«Безопасность веб» — новый факультатив от Hacktory

Рассказываем, как можно заработать на квартиру за вечер — благодаря знаниям, упорству и отчасти везению
5 минут2220

Хорошие новости для студентов факультетов веб-разработки и тестирования ПО. В программе появился новый факультатив — «Безопасность веб». О том, чем он полезен и почему проблема безопасности становится актуальнее с каждым днём, мы поговорили с Иваном Юшкевичем — автором и ведущим факультатива, техническим директором образовательной платформы Hacktory.

— Иван, новости об атаках хакеров появляются постоянно, но многие воспринимают эти угрозы недостаточно серьёзно. Хотя хакер может нанести гораздо больше ущерба, чем любой другой мошенник. Что вы как специалист об этом думаете?

Здесь всё просто: чем сильнее информационные технологии проникают в нашу жизнь, тем актуальнее становится проблема безопасности. О серьёзности хакерских атак начали говорить ещё в 80-х. Фильм «Хакеры», полностью посвящённый взломщикам, вышел на экраны в 1995 году. А тогда компьютеров во всём мире было, может, несколько десятков тысяч. Сейчас количество гаджетов исчисляется миллиардами. У одного человека обычно их не один и не два. Даже если человек не хранит правительственных или других секретов, его гаджеты содержат множество данных, которые не должны попасть в чужие руки. Что говорить о корпоративных устройствах или приложениях.

В докладе Всемирного экономического форума 2019 года о глобальных рисках мошенничество с данными и кибератаки идут в рейтинге под четвёртым и пятым номерами соответственно. Выше только буйство стихий и климатические проблемы. По некоторым данным, в прошлом году хакеры наносили удар примерно каждые 14 секунд. К 2021 году это уже будет происходить каждые 11 секунд. Суммарные экономические потери исчисляются миллиардами. Так что проблему безопасности явно нельзя назвать надуманной.

— Можно ли выделить сферы, которые нуждаются в особой защите от злоумышленников? Или безопасность необходимо обеспечивать с одинаковой тщательностью во всех отраслях?

— Очевидно, в каких случаях безопасность крайне важна. Это все сферы, которые связаны с деньгами или персональными данными. Естественно, такие сервисы атакуют часто, потому что выгода злоумышленников здесь понятна. Например, недавно обнаружилось, что хакеры крали деньги, которые люди переводили через систему быстрых платежей — по номеру телефона. Один из банков, обновляя мобильное приложение под новую функцию, оставил уязвимость, связанную с открытым API-интерфейсом. Через неё злоумышленники могли подменять счета и переводить себе деньги. Ещё из последних событий: в сеть утекли паспортные данные более миллиона участников голосования по поправкам в Конституцию и девяти миллионов клиентов службы доставки СДЭК. Здесь снова всё понятно: персональная информация продаётся на чёрном рынке, а потом всплывает в неожиданных местах. Скажем, когда вам звонят якобы из службы безопасности банка.

Но есть и менее очевидные примеры. Сервисы Garmin не работали несколько дней из-за хакерской атаки. Чтобы вернуть к ним доступ, компания была вынуждена заплатить выкуп. Казалось бы, речь идёт не о банковских или персональных данных, это «всего лишь» инфраструктура смарт-часов. Но компания получила удар по репутации, а пользователи продукта были обеспокоены. Это стоило Garmin нескольких миллионов, отданных вымогателям. Возможно, её ждёт и скрытый ущерб от имиджевых потерь.

Перейдём к гаджетам: вот умные детские часы — казалось бы, какой может быть подвох? Однако оказалось, что из-за уязвимости злоумышленники могут удалённо делать фотографии с устройства, прослушивать звонки, отслеживать местоположение ребёнка. Если эта информация попадёт в руки злоумышленника, последствия могут быть ужасными. Или недавний курьёзный пример: одна компания выпустила так называемый мужской пояс верности. Стало известно, что из-за уязвимости доступ к устройству может получить кто угодно, и снять его после блокировки можно будет только с помощью болтореза.

Нельзя сказать, что одна сфера требует защиты, а для другой безопасность совсем не важна. Это не так. У взломщиков всегда есть корыстные интересы, удовлетворять которые они могут разными способами. Допустим, у нас есть маловостребованный сайт-одностраничник с блоком «Напишите мне» и контактами. Если ресурс взломают и доберутся до сервера, хакеры смогут делать мошеннические рассылки, собирать персональные данные или обещать компенсацию и похищать данные карт. Поэтому нигде нельзя недооценивать важность безопасности.

Опять же, поскольку очевидно, что банковские сервисы надо защищать в первую очередь, уровень их безопасности гораздо выше, им уделяют больше внимания. Значит, чтобы взломать их, нужно потратить много усилий. И, скорее всего, хакеры пойдут по пути меньшего сопротивления: в России сейчас гораздо чаще пытаются внедриться в инфраструктуру компании ради промышленного шпионажа, чем красть деньги напрямую.

— Если проблема безопасности становится всё более актуальной, вероятно, знания по этой теме должны быть очень востребованы. Кем и где?

Если есть знания, применять их можно множеством способов. Например, существуют программы Bug Bounty, когда компании предлагают желающим протестировать свои разработки на уязвимость. Нашедшим слабые места платят вознаграждение. Bug Bounty позволяет быстро получать огромные суммы — при некотором везении, конечно. Иногда можно буквально вечер посидеть и заработать на квартиру.

Например, команда из пяти человек три месяца пыталась взломать сервисы и платформы Apple. За это время они нашли 55 уязвимостей, в том числе серьёзные. Хотя, казалось бы, Apple — крупная компания, должны были всё предусмотреть. К слову, за свои находки команда получила в сумме 288,5 тысячи долларов — больше 22 миллионов рублей. Google в 2019 году выплатила за обнаружение уязвимостей в продуктах компании 6,5 миллиона долларов — более 500 миллионов рублей.

Также существуют отдельные профессии, связанные с обеспечением безопасности. В компаниях они могут называться по-разному, но суть одна — такие специалисты нужны. Наконец, знать о возможных угрозах и уметь закрывать уязвимости необходимо разработчикам и тестировщикам. Это помогает сразу устранять множество потенциальных проблем. Именно поэтому я провожу факультатив по веб-безопасности в рамках программы двух факультетов GeekUniversity — веб-разработки и тестирования ПО.

— Кстати, о факультативе. Расскажите подробнее, о чём он будет и какими знаниями надо обладать, чтобы во всём разобраться.

— На факультативе «Безопасность веб» мы рассмотрим распространённые атаки на корпоративные порталы, сервисы дистанционного банковского обслуживания и системы электронной коммерции. Изучим обход авторизации и аутентификации, SQL- и NoSQL-инъекции, CSRF и XSS, уязвимости бизнес-логики, REST API и не только. Разберём принципы безопасности на реальных случаях из практики. В результате студенты получат необходимые знания для создания безопасных приложений на современных платформах и подготовятся к борьбе с реальными веб-уязвимостями.

Специфических требований для тех, кто будет проходить факультатив, нет. Он органично вписывается в программу, так что студенты факультетов веб-разработки и тестирования ПО подойдут к нему с необходимым объёмом информации, чтобы во всём разобраться.

webпрограммирование
Нашли ошибку в тексте? Напишите нам.
Спасибо,
что читаете наш блог!
Posts popup