23 марта 2013 года в Харькове состоялась конференция QAClubConf 1.2: Security Testing – третья из серии QAClubConf – ежеквартальных конференций для тестировщиков ПО, тест-лидов, QC/QA-менеджеров и вообще всех, кто симпатизирует нашей тусовке. В этот раз к нам присоединились еще программисты и админы, кроме тестировщиков. Благодаря теме безопасности были охвачены все IT сферы без исключения.
В преддверии основной части конференции мы решили провести 22 марта - Ice-breaking pre-party. Хостером этого мероприятия выступила компания Intetics, любезно предоставив нам не только отличный зал с проектором и дартсом, но и обеспечила всю нашу тусовку несметным количеством пива 
. За каких-то 3 часа мы успели познакомиться друг с другом (отчасти, благодаря играм, которые мы провели в перерывах между докладами), попить пиво с чипсами и сухариками, угоститься кофе, предоставленным нашим кофейным партнером “KavaArt” и, конечно же, прослушали яркие доклады Светланы Яковлевой и Игоря Чишкалы, позволившие нам плавно подойти к проблеме безопасности.
Основная часть у нас прошла 23 марта, как всегда, в гостеприимном и просторном помещении торгово-офисного центра «Sun City 2». Вступительные слова произнесли организаторы конференции – Виктория Мусияченко и Глеб Рыбалко. В этот раз нами был полностью соблюден формат конференции Express Edition, представляющий собой основные доклады и флипчарт-доклады в параллели и кофебрейками между докладами.
Первый докладчик, keynote-speaker Владимир Безмалый, полностью развеял миф о присутствии безопасности в цифровом мире. Эксперт, мнению которого доверяет сам Microsoft, просто не мог дать слушателям возможности усомниться в крайне тяжелом положении мобильных («Эра Post-PC») приложений относительно информационной безопасности. Он поведал нам статистику количественных оценок финансовых потерь от потери информации вообще и от утери мобильных устройств в частности. Наше внимание спикер обратил на тот факт, что одной только ОС Android потребовалось менее трех лет, чтобы объем вредоносных угроз достиг того же уровня, что и для ПК за 14 лет. А цифра в 5 916 926 вредоносных приложений для данной ОС, зарегистрированных на январь 2013 года, поражает даже самое яркое воображение. Владимир заставил всех задуматься, а какую информацию собирает Google с помощью наших устройств под управлением OS Android, зачем наши данные о вызовах, об СМС, о поисковых запросах? Зачем приложениям и игрушкам наша адресная книга и, наконец, зачем Angree Birds сведения о нашем местоположении, даже когда мы не играем? А многие ли пользуются платными (синоним – действенными) антивирусами? (Все массово начали что-то выключать или удалять ). Не менее важным аспектом безопасности в пользовании мобильными приложениями играет роль самих пользователей, и особенно – детей, в пользовании сервисами социальных сетей. Еще одним интересным фактом стала уязвимость, обнаруженная… Где бы вы думали? – В бытовой технике, а именно в Samsung Smart TV. Что же будет дальше? Ну и напоследок, совет от Владимира Безмалого – «Научитесь бояться».
Вторым выступил Александр Чишкала. В его докладе были затронуты те мелочи виртуальной безопасности, которые зачастую упускаются из виду, но приводят к печальным последствиям при работе с информацией. Пример таких мелочей – работа с датами и временем. Также был затронут вопрос sql-инъекций в настольных приложениях. Вторая часть доклада была посвящена работе нашей системы правосудия. Должность и 10 лет работы в данной системе позволили Александру ответить на вопросы о загруженности направления экспертных оценок компьютерной техники и программных продуктов, о сложности данных вопросов, об уровне развития должностных лиц, принимающих непосредственное участие в рассмотрении вопросов правосудия, а так же о том, как себя вести, защищая технику и информацию от выемки ее госслужащими.
Следующим докладчиком выступил Денис Архангельский – специалист, работа которого состоит в контроле и выполнении всех трех аспектов информационной безопасности: доступности, целостности и конфиденциальности. С ним мы рассмотрели особенности внутренней информационной инфраструктуры по сравнению с производственной, критерии классификации угроз информационной безопасности, а так же уровни ее обеспечения. Итог доклада Денис подвел, выделив достоинства и недостатки различных стратегических подходов к обеспечению безопасности.
После обеда, хорошенько подкрепившись, мы принялись за workshop от Андрея Михайлова. Вооружившись ноутбуками, самые активные слушатели принялись в точности выполнять руководства докладчика. Целью данных манипуляций было путем распаковки архива приложения и анализа ресурсов выявить уязвимости серверных приложений, оставленные разработчиками программного обеспечения в виде неосторожно оставленных прямо в коде открытых строк подключений к серверу, а так же в виде файлов-описаний, забытых в каталоге с исходниками горе-программистами при сборке приложения.
После столь напряженной деятельности впору вспомнить про компьютерные игры. Про безопасность в них нам рассказал Сергей Мороз. Первым делом мы рассмотрели как делятся игры по окружению и по целевой аудитории. Затем определили причины, которые стимулируют к пользованию дырами в безопасности компьютерных игр! Только по предварительным оценкам для самых популярных «браузерных» игр суммарные месячные платежи достигаю уровня в $1 млн., что порождает немыслимое желание у лиц, не являющихся правообладателями, и нечистых на руку геймеров-профессионалов поживиться за счет азартных и недостаточно умелых игроков. Чтобы разобраться во всем этом мы определили типы возможных угроз и уж потом – где каждую из них искать.
На закате нашей встречи Павел Кравченко помог нам обобщить и структурировать аспекты информационной безопасности. Он подчеркнул, что безопасность нельзя игнорировать, несмотря на кажущуюся излишнюю затратность решений по ее обеспечению. В ходе доклада мы себе уяснили, что безопасность невозможно измерить, что она должна быть комплексной и разумно-достаточной, а ее поддержка – непрерывной. Также коснулись вопросов открытости архитектуры, простоты использования информационных систем и разграничения доступа. И напоследок разобрались с механизмами обеспечения безопасности такими, как шифрование, цифровая подпись и хеширование.
Уже традиционно всем спикерам Виктория vikkimus вручила 100% секьюрные чашке QAClub-эксперта. Также, QAClub-овскими чашками были награждены самый активный и самый скромный слушатель конференции.
В заключение нашего безопасного дня все присутствующие были приглашены на afterparty в IT-café, где мы и продолжили наше общение.