Bezpieczeństwo nie wydarza się przez przypadek, czyli udział Transparent Data w kampanii Beyond.pl

”Bezpieczeństwo zaczyna się u podstaw” brzmi hasło nowej akcji edukacyjnej Centrum Danych Beyond.pl, do której zaproszono Transparent Data jako jednego z partnerów.

Idea kampanii opiera się na sześciu kluczowych elementach, które tylko traktowane z dbałością i w sposób nierozłączny, tworzą jeden prawdziwie bezpieczny system IT. Są to: bezpieczeństwo infrastruktury, backup danych, cyberbezpieczeństwo, bezpieczeństwo danych osobowych, bezpieczeństwo aplikacji oraz czynnik ludzki.

Jako ekspert w dziedzinie bezpieczeństwa aplikacji wystąpił CTO Transparent Data, Łukasz Gajos, który w specjalnie przygotowanym materiale wideo opowiada o podstawowych błędach w budowaniu i utrzymywaniu aplikacji webowych.

Jak sam mówi, – Nie ma znaczenia czy naszym produktem jest gotowa aplikacja webowa czy API dostarczające dane wprost do systemu Klienta. Tak jak każda instalacja elektryczna potrzebuje bezpiecznika, by spięcie nie przerodziło się w pożar, tak i każde narzędzie sieciowe wymaga od swych twórców dbałości w dostrzeganiu potencjalnych zagrożeń, systematycznej aktualizacji swej wiedzy i regularnego przygotowywania odpowiednich scenariuszy prewencyjnych. OWASP czy Application Security Verification Standard, to w dzisiejszych czasach nie tyle luksus, co obowiązek każdej firmy poważnie podchodzącej do swoich obowiązków wobec użytkowników.

W nagraniu Łukasz Gajos przytacza przede wszystkim dwa najczęściej spotykane błędy developerów – tzw. Sensitive Data Exposure oraz Injection.

Pierwszy z nich, to nic innego jak ekspozycja danych wrażliwych, takich jak numery kart kredytowych, haseł czy dat urodzenia, do której dochodzi najczęściej, gdy ktoś umyślnie próbuje wywołać błąd w naszej aplikacji, a my zamiast pokazać mu stronę informującą o błędzie, odkrywamy fragment struktury aplikacji lub całą konfigurację.

Drugie, równie często spotykane zagrożenie, to wstrzyknięcie kodu źródłowego do naszej aplikacji, które finalnie może zakończyć się nadaniem praw administratora użytkownikowi, który praw tych nie powinien posiadać. W konsekwencji, zewnętrzna osoba może uzyskać dostęp do takich funkcji jak doładowywanie kont prepaid itp.

To dlatego tak ważna jest dbałość o bezpieczeństwo już na początkach budowania aplikacji, a dalej systematyczne wdrażanie i aktualizowanie kolejnych zabezpieczeń czy wykonywanie pentestów z zewnętrznymi firmami, które wskażą nam luki w systemie, zanim zwróci na nie uwagę ktoś niepożądany.

Wideo z udziałem CTO Transparent Data oraz szczegóły kampanii edukacyjnej autorstwa Centrum Danych Beyond.pl “Bezpieczeństwo zaczyna się u podstaw” znajdują się na dedykowanej stronie internetowej http://security.beyond.pl/ .