Лекція про безпеку мобільних додатків "Злом систем for fun and profit"

лекція Oct 15, 2019
blog post image

Важливим чинником у робочому процесі будь-якої ІТ-компанії є мотивація та розвиток команди. Адже, всім відома проста істина, що запорукою успіху проекту є висококваліфіковані, мотивовані та заряджені на успіх розробники. У ITOMYCH STUDIO приділяють цьому особливу увагу, тому що зацікавлені у розвитку власних гравців. Ми розуміємо, що тільки з сильною командою можна створювати першокласні мобільні та веб додатки. І одним із методів, який ми використовуємо для цього — систематичні загальні лекції на актуальнi та цікаві теми для членів команди.

З одного боку, це дає змогу поділитися досвідом та дізнатися щось нове, з іншого боку — урізноманітнити буденність.
Так, у п’ятницю 13 вересня, у стінах ITOMYCH STUDIO відбулася лекція про безпеку мобільних та веб додатків від Ігоря Томича. Варто зазначити, що він не тільки фаундер декількох компаній, а й розробник з великим досвідом у IT-сфері. Тема безпеки йому добре знайома, адже він закінчив факультет “Захист інформації з обмеженим доступом” Харківського національного університету радіоелектроніки. Дана освіта допомагає Ігорю бути ефективним архітектором та CТО у challenger банку Dozens (Великобританія).

Тема безпеки дуже актуальна у діяльності нашої команди, адже ITOMYCH STUDIO розробляє широкий спектр різнопланових додатків, які працюють з персональними та комерційними даними. Наше портфоліо містить фінансово-технічні проекти, месенджери, соціальні мережі, системи торгових компаній ітд. Тому ключовим моментом в процесі розроблення є безпека та захист інформації від сторонніх атак.

Про що ж говорили на лекції? Спершу Ігор розповів про низькорівневе розуміння системи. Усе починається з процесору. Вони існують трьох типів — ARM, Intel та MIPS. Отже, спочатку ми дізналися про те, як функціонують системи в цілому і що вони собою являють. Розглянули архітектуру х86 як основу діяльності будь-якого процесору та її основні моди: protected mode, virtual 8086 mode, real mode, system management mode.

Вся система безпеки може бути представлена у вигляді кілець захисту. Саме ці чотири рівні є основою архітектури інформаційної безпеки. Вони реалізують поділ системного і користувацького рівнів доступу в систему:

  • Нульове коло (ядро) — максимальний доступ до ресурсів.
  • Першие коло — драйвери пристрою (обмежений доступ).
  • Друге коло — драйвери пристрою (обмежений доступ).
  • Третє коло — додатки (обмежений доступ).

Далі ми отримали інформацію про те, що таке експлойти та які їх види існують. Усвідомлення процесу роботи локальних та віддалених експлойтів, забезпечує коректний захист додатків та системи від таких поширених атак, як DDOS та Evil Made. Варто зазначити, що DDOS — це розповсюджена атака, що здійснюється одночасно з великої кількості запитів, тим самим порушує загальне функціонування системи. Evil Made — атака на пристрій, коли він знаходиться без нагляду, внаслідок чого порушується доступ до нього та пошкоджуються дані.

Лекцію продовжили обговоренням різниці між вірусами та руткітами. Звичайні віруси можуть лише частково порушити діяльність системи і не є життєво небезпечними, в той час як руткіти — особливий вид зараження системи, який передбачає монетизацію та викрадення інформації з пристрою. Ігор акцентував увагу на темі авторизації, ідентифікації та аутентифікації. Адже, захистити систему та персональні дані користувачів може багатофакторна аутентифікація. А від її коректної імплементації залежить легкість проникнення в систему.

Найцікавіше Ігор залишив наостанок. А саме інформацію про криптографію. Це наука про методи забезпечення конфіденційності, цілісності даних та аутентифікації. Найрозповсюдженішими методами є encryption та hashing, проте, як виявилось, багато розробників не розуміють у чому різниця. Тому цьому питанню була приділена особлива увага.
Загалом лекція була корисною не тільки для розробників, а і для QA, devops та наших менеджерів.

Проте, на цьому цікаві заходи в ITOMYCH STUDIO не закінчуються. Вже за тиждень в стінах компанії відбудеться масштабний закритий хаккатон, у якому всі бажаючі матимуть змогу спробувати свої сили у зломі систем. Тому інформація, отримана під час лекції, буде вкрай корисною.

ITOMYCH STUDIO завжди намагається проводити цікаві мітапи, лекції та хакатони, адже це допомагає розвивати скіли гравців команди, обмінюватися досвідом та в перспективі реалізовувати складні, проте вкрай цікаві мобільні та веб рішення.

Additionally, paste this code immediately after the opening tag: