SecOps Online MeetUp #5

Jeszcze w sierpniu wzi膮艂em udzia艂 w wydarzeniu SecOps Online MeetUp #5, gdzie standardowo opowiedzia艂em co nieco o bezpiecze艅stwie aplikacji, DevSecOps oraz automatyzacji.

Poruszy艂em r贸wnie偶 kwesti臋 narz臋dzi, kt贸re mo偶na zapu艣ci膰 na w艂asne aplikacje 偶eby zobaczy膰 co w trawie piszczy.

Kilka dni temu dosta艂em link do nagrania na YouTube. Polecam. 鉁岋笍

BTW. Jako uzupe艂nienie zach臋cam do 艣ci膮gni臋cia mojego darmowego e-booka DevSecOps: Podstawy Automatyzacji Bezpiecze艅stwa

Podsumowanie miesi膮ca: maj i czerwiec 2020

W艂a艣nie jestem w poci膮gu do Katowic. Dwie godziny z hakiem do zu偶ycia wi臋c postanowi艂em w ko艅cu nadrobi膰 zaleg艂o艣ci i napisa膰 podsumowanie zbiorcze dla maja i czerwca. Co prawda LTE na tej trasie pozostawia wiele do 偶yczenia i pisanie jest toporne, ale albo teraz albo nigdy.

Retrospekcja maja i czerwca

Co uda艂o mi si臋 dowie藕膰:

  • Wypu艣ci艂em pierwsz膮 edycj臋 Akademii Bezpiecznego Kodu i pomimo tego, 偶e jest to tylko jedna pozycja to 偶eby j膮 zrealizowa膰 musia艂 si臋 wydarzy膰 szereg innych akcji

Czego nie uda艂o mi si臋 dowie藕膰:

Pole do poprawy jest, potok dodatkowych projekt贸w r贸wnie偶. Jak to m贸wi m贸j dobry kolega fraktal rodzi fraktal.

Aplikacje w obiegu

W maju i czerwcu kontynuowa艂em nami臋tne u偶ywanie Endela, Qbserve, oraz Auto Sleep. Do rotacji do艂o偶y艂em r贸wnie偶 aplikacj臋 Freedom.

Warto wspomnie膰, 偶e w maju Endel mia艂 update i dorobi艂 si臋 nowych tryb贸w muzycznych.

Freedom

Tak wygl膮da zablokowany Instagram

Freedom aplikuje nam proxy na poziomie systemu i w momencie kiedy ustawimy sobie blok czasowy to wycina nam dost臋p do niechcianych stron na poziomie sieci. Dzia艂a zar贸wno na macOS jak i iOS.

Spos贸b nie jest idealny (na macOS mo偶na po prostu ubi膰 proces, a na iOS VPN wy艂膮cza si臋 czasami sam z siebie), ale je偶eli sami ze sob膮 jeste艣my szczerzy to nie b臋dziemy oszukiwa膰.

Reasumuj膮c

Zar贸wno maj jak i czerwiec uwa偶am za udane. Co prawda nie uda艂o mi si臋 zrealizowa膰 wszystkiego co chcia艂em. Ba! Nie uda艂o zrealizowa膰 si臋 nawet po艂owy, jednak na koniec dnia wiem, 偶e (1) zrealizowa艂em to co by艂o dla mnie najwa偶niejsze (odpalenie Akademii) oraz (2) coraz lepiej rozumiem temat produktywno艣ci.

W chwili obecnej mamy ju偶 drug膮 po艂ow臋 lipca i jest lepiej ni偶 by艂o, a wi臋c progres (a o to w 偶yciu chodzi) jest kontynuowany. Usprawnianie procesu idzie czasami lepiej, czasami gorzej, ale ca艂y czas idzie do przodu.

Slow but steady wins the race.

Podsumowanie miesi膮ca: kwiecie艅 2020

Pod koniec 2019 roku zacz膮艂em odnosi膰 wra偶enie, 偶e cz臋sto jestem zaj臋ty, a nie produktywny (pomimo tego, 偶e pracuj臋 ca艂kiem sporo to nie dowo偶臋 tyle ile chc臋 i mog臋). W zwi膮zku z tym na pocz膮tku tego roku postanowi艂em przebudowa膰 od podstaw proces mojego dzia艂ania.

Stycze艅 po艣wi臋ci艂em na obserwacj臋 tego, w jaki spos贸b pracuj臋, z jakich narz臋dzi korzystam, listowanie dost臋pnych opcji, i og贸lne my艣lenie o tym, co mo偶e si臋 u mnie sprawdzi膰. Po tym wszystkim postanowi艂em, 偶e narz臋dzi zmienia膰 nie b臋d臋 i zostan臋 przy metodologii GTD, posi艂kuj膮c si臋 aplikacj膮 Things jako g艂贸wnym 藕r贸d艂em prawdy (miejsce, w kt贸rym l膮duje wszystko, co przerabiam).

Jako uzupe艂nienie w niekt贸rych projektach korzystam z kanbana poprzez Trello, ale podj膮艂em decyzj臋 o mocnym ograniczeniu tego narz臋dzia.

Things ma t臋 wad臋, 偶e dzia艂a jedynie w ekosystemie Apple. Jednocze艣nie jest to r贸wnie偶 jego zaleta, poniewa偶 jest 艣wietnie zgrany zar贸wno z macOS, jak i iOS. Dla przyk艂adu: integracja skr贸t贸w pozwala bardzo szybko dodawa膰 zadania z referencjami do r贸偶nego rodzaju zasob贸w w systemie (pliki, notatki, URL-e, et cetera), co BARDZO przy艣piesza dodawanie rzeczy „na p贸藕niej”.

Luty by艂 pewnego rodzaju eksperymentem, gdzie wprowadzi艂em pierwsz膮 wersj臋 procesu planowania tygodni i miesi臋cy na podstawie wysokopoziomowego spojrzenia stworzonego w postaci mapy my艣li (do mapowania my艣li korzystam z aplikacji XMind).

Proces wygl膮da tak, 偶e w ka偶d膮 niedziel臋 w Things pojawia si臋 projekt „Retrospekcja: tygodni贸wka” z zadaniami takimi jak:

  • Przegl膮d systemu (tj. wszystkiego co mam w Things),
  • Przegl膮d news贸w (via RSS, korzystam z Inoreader),
  • Procesowanie artefakt贸w zbieranych z sieci przez ca艂y tydzie艅 w Instapaper,
  • Przegl膮d treningu (obecnie zatrzymany poniewa偶 si艂ownie s膮 zamkni臋te),
  • Przegl膮d wysokopoziomowego spojrzenia (rzut okiem na wspomnian膮 powy偶ej map臋 my艣li),
  • Ocena poprzedniego tygodnia (leci do Evernote),
  • Plan tygodnia nast臋pnego (zaplanowanie zada艅 w Things).

Natomiast pod koniec ka偶dego miesi膮ca (np. wczoraj) przechodz臋 przez projekt „Podsumowanie i planowanie kolejnego miesi膮ca” sk艂adaj膮cego si臋 z:

  • Podsumowania poprzedniego miesi膮ca (szczeg贸艂owo w Evernote, lu藕no tutaj na blogu),
  • Przegl膮d wysokopoziomowego spojrzenia (tak jak wy偶ej),
  • Planowanie kolejnego miesi膮ca (rozpiska planu w Evernote i dodanie/modyfikacja odpowiednich projekt贸w/zada艅 w Things).

Marzec i kwiecie艅 up艂yn臋艂y na doskonaleniu powy偶szych proces贸w i dowo偶eniu zaplanowanych projekt贸w oraz zada艅, kt贸re z nich wynika艂y.

Na chwil臋 obecn膮 jest lepiej ni偶 by艂o, ale jeszcze nie osi膮gn膮艂em stanu, w kt贸ry celuj臋. Bill Gates powiedzia艂 kiedy艣, 偶e wi臋kszo艣膰 ludzi przecenia to, co jest w stanie zrobi膰 w rok, a nie docenia tego, co jest w stanie zrobi膰 w ci膮gu dekady. W pe艂ni si臋 z tym zgadzam. Wiem, 偶e przecenia艂em ilo艣膰 projekt贸w i zada艅, jakie jestem w stanie wykona膰 w danej jednostce czasu (dzie艅, tydzie艅, miesi膮c). Nad tym problemem ca艂y czas pracuj臋 i zak艂adam, 偶e do ko艅ca tego roku planowanie b臋dzie trafne w wi臋kszo艣ci przypadk贸w (75% skuteczno艣ci b臋d臋 uwa偶a艂 za sukces).

Retrospekcja kwietnia

Co uda艂o si臋 dowie藕膰:

Czego nie uda艂o si臋 dowie藕膰:

Nowe appki w obiegu

W kwietniu zacz膮艂em korzysta膰 z trzech nowych aplikacji: Endel, Qbserve, i Auto Sleep. Poni偶ej kr贸tkie opisy ka偶dej z nich.

Endel App

R贸偶ne tryby generowania melodii w aplikacji Endel

Pracuj膮c lubi臋 s艂ucha膰 muzyki. Do tej pory najcz臋stszym wyborem by艂a muzyka klasyczna (Bach, Chopin, Liszt), muzyka elektroniczna (Tycho i Boards of Canada), oraz r贸偶ne soundtracki z gier i film贸w (World of Warcraft, Blade Runner, Mr. Robot, i tym podobne). Wszystko gra艂o poprzez Spotify.

Na pocz膮tku kwietnia postanowi艂em wypr贸bowa膰 aplikacj臋 Endel, kt贸ra generuje melodi臋 na podstawie kilku zmiennych takich jak pogoda (lokalizacja via GPS) czy rytm serca (via Apple Watch).

Eksperyment uwa偶am za udany 鈥 odk膮d zacz膮艂em korzysta膰 z Endel to Spotify w艂膮czy艂em dok艂adnie 2 razy. Jedyny minus to szybkie z偶eranie baterii, ale jako艣 b臋d臋 musia艂 z tym 偶y膰.

Qbserve

Qbserve sprytnie zlicza czas sp臋dzony na komputerze

Jednym z najwi臋kszych problem贸w pracy przy komputerze s膮 rozpraszacze dost臋pne na wyci膮gni臋cie r臋ki. Jako pierwszy krok do rozwi膮zania tego problemu postanowi艂em zmierzy膰 czas, jaki sp臋dzam w r贸偶nych aplikacjach i na stronach WWW.

Po miesi膮cu zbierania statystyk wysz艂o, 偶e na g艂upoty po艣wi臋cam wi臋cej czasu ni偶 na prac臋 (tak膮 wisienk膮 na torcie by艂o 15h sp臋dzonych na wykopie). Tak czy siak, podstaw膮 jest 艣wiadomo艣膰. Teraz wiem ile czasu przelatuje mi przez r臋ce i podejmuj臋 kroki, aby to optymalizowa膰 (konkretny spos贸b om贸wi臋 po fazie testowania za miesi膮c lub dwa).

Auto Sleep

Jestem w trakcie czytania ksi膮偶ki Why We Sleep i co prawda problem贸w ze spaniem nie mam (do higieny snu przywi膮zuj臋 wag臋 od wielu lat), ale chcia艂em przebada膰 jako艣膰 swojego snu.

Po kilku nocach przespanych z Apple Watch wysz艂o, 偶e nie jest tak r贸偶owo jak mi si臋 wydawa艂o g艂贸wnie pod k膮tem d艂ugo艣ci snu. B臋d臋 to poprawia艂 w tym i kolejnych miesi膮cach.

Reasumuj膮c

Pierwszy kwarta艂 roku 2020 z bonusem w postaci kwietnia zlecia艂 g艂贸wnie na tworzeniu i optymalizacji procesu. Jest lepiej ni偶 by艂o, ale nie jestem jeszcze tam gdzie chc臋 by膰. Plan na maj jest ju偶 wst臋pnie u艂o偶ony. Teraz czeka mnie jeszcze przerzucanie projekt贸w i zada艅 do Things oraz nadanie priorytet贸w.

Iterate upon success. 馃憢

OWASP Application Security Verification Standard 4.0

Na pocz膮tku marca pojawi艂a si臋 nowa wersja OWASP Application Security Verification Standard (ASVS), kt贸ry jest de facto podstawowym narz臋dziem w ocenie bezpiecze艅stwa aplikacji zar贸wno na naszym podw贸rku jak i za granic膮.

Zmian wzgl臋dem poprzedniej wersji 3.0.1 wydanej w 2016 roku jest sporo, zar贸wno od strony samych wytycznych jak i og贸lnego 鈥渄ucha鈥 dokumentu. W zwi膮zku z tym postanowi艂em wypisa膰 co ciekawsze punkty, lecimy!

  • Wyr贸wnanie wytycznych 鈥淰2: Authentication鈥 oraz 鈥淰3: Session Management鈥 ze standardem NIST 800-63-3 Digital Identity Guidelines 鈥 艣wietny ruch, standardy bran偶owe powinny mie膰 punkty wsp贸lne wsz臋dzie gdzie tylko mo偶na;
  • Zmiana uk艂adu sekcji, kt贸ra pomaga w dodawaniu/usuwaniu odpowiednich wytycznych z zakres audytu (np. je偶eli aplikacja nie korzysta z JSON Web Tokens to ca艂a sekcja zwi膮zana z JWT mo偶e zosta膰 w prosty spos贸b pomini臋ta);
  • Zmapowanie podatno艣ci do odpowiednich rodzaj贸w wyznaczonych przez Common Weakness Enumeration (CWE), oczywi艣cie w miar臋 mo偶liwo艣ci bo nie wszystko da si臋 prze艂o偶y膰 1:1;
  • Wyr贸wnanie ca艂o艣ci poziomu 1 (L1) z wymogami OWASP Top 10 2017 (jedynym wyj膮tkiem jest tutaj A10 czyli logowanie) co u艂atwia adoptowanie Top 10 bo pieczemy dwie pieczenie na jednym ogniu;
  • Poziom 1 (L1) w nowej wersji ASVS zapewnia zgodno艣膰 z Sekcjami 6.5+ standardu PCI DSS 3.2.1 innymi s艂owy 鈥 implementuj膮c ASVS na poziomie 1 spe艂nimy wymagania zwi膮zane z Sekcjami 6.5+ standardu PCI DSS w projektach, kt贸re tego  wymagaj膮;
  • Zmiana podej艣cia do architektury aplikacji z monolit贸w server-side na to co dzisiaj jest ju偶 chlebem powszednim czyli: server-less API,  functional programming na produkcji, producenci (API) i ca艂y wachlarz konsument贸w (desktop, web, mobile), chmury, kontenery, CI/CD i zwi膮zana z tym wszystkim kultura DevSecOps;
  • Porzucenie kontrolek zwi膮zanych z aplikacjami mobilnymi na rzecz standardu OWASP Mobile Application Security Verification Standard;
  • Zapewnienie mo偶liwo艣ci przetestowania ca艂ego poziomu 1 (L1) podej艣ciem black-box bez dost臋pu do dokumentacji, kodu 藕r贸d艂owego, deweloper贸w et cetera. Jedynym wyj膮tkiem jest A10 (Top 10), kt贸re wymaga zrzut贸w ekranu, wywiad贸w i og贸lnego dowodu na logowanie.

Ponadto da si臋 wyczu膰 mocny nacisk na:

  1. Testowanie podej艣ciem hybrydowym wszystkich trzech poziom贸w (w dokumencie brzmi to jak zwyk艂y white-box);
  2. Automatyzacj臋 wszystkiego co mo偶na z poziomu potoku CI/CD (np. narz臋dzia SAST i DAST powinny by膰 u偶ywane w trybie ci膮g艂ym ju偶 na etapie wytwarzania aplikacji, a nie dopiero w momencie oceny podatno艣ci czy testu penetracyjnego).

Osobi艣cie bardzo podoba mi si臋 uwypuklenie podnoszenia poprzeczki w procesie wytw贸rczym oprogramowania, oraz zabranie g艂osu w sprawie ogranicze艅 zwi膮zanych z podej艣ciem black-box po艂膮czonej z rekomendacj膮 hybrydowej oceny bezpiecze艅stwa aplikacji wychodz膮cej poza sam dost臋p do instancji aplikacji i w艂膮czaj膮cej r贸wnie偶 przegl膮d kodu 藕r贸d艂owego czy wywiady z deweloperami.

Podsumowuj膮c nowa wersja ASVS bardzo dobrze wpasowuje si臋 w dzisiejszy spos贸b wytwarzania, dzia艂ania, i utrzymywania aplikacji. Jest to krok w dobrym kierunku, kt贸ry by艂 potrzebny ju偶 od d艂u偶szego czasu (3 lata w IT to d艂ugo). Kudos w stron臋 autor贸w!

Podsumowanie roku 2018

Przesz艂o dwa tygodnie temu zacz膮艂 si臋 rok 2019 i z okazji tego faktu postanowi艂em stre艣ci膰 kilka temat贸w, kt贸re zadzia艂y si臋 na przestrzeni minionego roku. Bardziej dla siebie ni偶 innych 鈥 na pewno b臋dzie fajnie przeczyta膰 kilka takich podsumowa艅 za kilka lat. Let鈥檚 go!

Kariera

W zesz艂ym roku zacz膮艂em odchodzi膰 od implementacji na rzecz architektury i szeroko rozumianego procesu (eliminacja podatno艣ci na etapie wytwarzania oprogramowania poprzez implementacj臋 Secure SDL czy DevSecOps). Dalej uwa偶am to za s艂uszn膮 drog臋 鈥 gaszenie po偶ar贸w jest nieoptymalne. Jako spo艂eczno艣膰 powinni艣my si臋 skupi膰 na podnoszeniu poprzeczki poprzez (1) usprawnianie procesu wytwarzania oprogramowania (Secure SDL / DevSecOps), (2) automatyzacj臋 wykrywania podatno艣ci (np. poprzez fuzzing), oraz (3) implementacji mechanizm贸w bezpiecze艅stwa eliminuj膮cych ca艂e klasy podatno艣ci (np. r贸偶ne ods艂ony mechanizmu CFI). Pojedyncze podatno艣ci schodz膮 na drugi plan. (W tym artykule Bruce Schneier zada艂 pytanie 鈥淎re vulnerabilities in software dense or sparse?鈥 obawiam si臋, 偶e na chwil臋 obecn膮 odpowiedzi膮 jest dense).

Poza tym mia艂em okazj臋 wyst臋powa膰 publicznie a偶 7 razy na krajowych konferencjach dotycz膮cych technologii: Code Europe (Warszawa, Pozna艅), 4Developers (Gda艅sk, Wroc艂aw), What The [email protected] (Warszawa), oraz AlligatorCon (Krak贸w). Slajdy z wi臋kszo艣ci wyst膮pie艅 mo偶na pobra膰 z GitHuba.

Plakietki konferencyjne z wi臋kszo艣ci wydarze艅, w kt贸rych uczestniczy艂em.

Last but not least pomi臋dzy prac膮, w艂asnymi projektami, oraz wyst膮pieniami publicznymi zdoby艂em r贸wnie偶 trzy certyfikaty bran偶owe (OSCP, OSWP, i eCRE). Osobi艣cie nie wierz臋 w udowadnianie kompetencji poprzez certyfikaty (znam za du偶o os贸b bez 偶adnych certyfikat贸w, kt贸re 鈥漽naj膮 si臋 na robocie鈥), ale moje widzimisi臋 nie pokrywa si臋 ze spojrzeniem polskiego rynku wi臋c robi臋 to co trzeba zrobi膰 馃し鈥嶁檪锔. Niestety jako osoba z latami do艣wiadczenia, we wszystkich kursach do kt贸rych podszed艂em i sko艅czy艂em z sukcesem (3/3) warto艣ci膮 dodan膮 jest jedynie papierek. Zdecydowan膮 wi臋kszo艣膰 materia艂u (pi*drzwi 95+%, gdzie pozosta艂e procenty to tips & tricks) zna艂em ju偶 przed kursami.

Start-up (stealth-mode)

W 2018 zacz膮艂em r贸wnie偶 prac臋 nad start-upem technologicznym zwi膮zanym z cyberbezpiecze艅stwem. Docelowym modelem biznesowym jest Software-as-a-Service dla B2B. Na t臋 chwil臋 jestem ja i jeden techniczny co-founder. Ca艂o艣膰 jest w tzw. stealth-mode, mamy ju偶 MVP i publiczn膮 bet臋 planujemy pod koniec 2019Q1 albo pocz膮tek 2019Q2.

Trening

Progres by艂, ale nie tak du偶y jak zak艂ada艂em. Pow贸d? Za ma艂e skupienie na progresowaniu ci臋偶aru po艂膮czone ze s艂abym trzymaniem michy. Sko艅czy艂o si臋 na nast臋puj膮cych 1RM przy wadze w okolicach 70kg:

  • Siad 110kg (1.57xBW)
  • Martwy ci膮g 155kg (2.21xBW)
  • 艁awka 70kg (1xBW)

Upper-body ma du偶e lagi w stosunku do lower-body 鈥 wiem i zacz膮艂em to naprawia膰 (obecny trening skupia si臋 mocno wok贸艂 upper kosztem lower).

Warszawa

W marcu 2018 up艂yn膮艂 rok odk膮d zamieszka艂em w Warszawie (co samo w sobie by艂o zako艅czeniem mojej kilkuletniej tu艂aczki po 艣wiecie). Rok w Warszawie (wkr贸tce dwa!) i dalej jestem zadowolony z wyboru. Polska nie jest idealna jednak z do艣wiadczenia wiem, 偶e idea艂贸w nie ma. Dobrze mi tu gdzie jestem.

2019

Plan贸w, cel贸w, projekt贸w, et cetera na rok 2019 jest pod dostatkiem. Zach臋cam do obserwacji (Twitter & Linkedin) bo b臋dzie si臋 dzia艂o! 馃挭