Пилотный проект Web Security Fellowship (далее — WSF), запущенный в начале 2019 года, объединил профессионалов в сфере IT вокруг нескольких общественно-полезных организаций в России. В результате открытого конкурса были отобраны восемь будущих участников стажировки и соответствующее число хост-организаций: независимых медиа, общественных и правозащитных проектов. Внимательно проанализировав запросы, интересы и потребности всех участников, команда eQualitie запустила 6-месячную стажировку для победителей конкурса. WSF началась с 3-месячного образовательного интенсива и серии вебинаров, в ходе которых мы улучшали навыки и расширяли знания стипендиатов в области цифровой безопасности. Последующие три месяца участники, интенсивно работая вместе с принимающей организацией, реализовывали совместный проект или конкретные задачи, актуальные на сегодняшний день. В этом материале мы хотим коротко рассказать о результатах программы.
Программа вебинаров
В течение 3 месяцев эксперты из Рунет индустрии читали стипендиатам лекции и предлагали интересные домашние задания. В число лекций входили:
- Основные этапы аудита безопасности: матрица угроз, риски, уязвимости
- Политика безопасности” и особенности ее внедрения в организации
- Усиление защиты web-серверов
- Cyber law, цифровое насилие и сопротивление
- Современные технологии цензуры и ее обхода
- Теоретические и практические аспекты пентестирования сайтов
- Безопасность веб-сайтов: выбор хостинга, DNS, анализ производительности и нагрузочное тестирование, способы защиты от DDoS атак и их обхода
- Методология OWASP TOP 10
- Defensive programming
- Принципы безопасного дизайна и архитектуры системы
Встречайте участников программы
Александр, Москва
“С 2009 г. работаю системным администратором московского офиса общества «Мемориал». Администрирую Windows Active Directory и персоналки на Linux, умею проектировать сети и настраивать сетевое оборудование на RouterOS и PfSense, верстать html/css. Могу стримить видео, обрабатывать и монтировать аудио, а еще обеспечить техническую поддержку массовых мероприятий (звуко- и видеорежиссуру). На базовом уровне умею администрировать веб-сервера на *nix. Не умею программировать (разве что простые скрипты Python/bash), администрировать веб-сервера на Windows.
В свободное от работы время работаю менеджером разного рода каникулярных школ (notably ЗПШ и ШМТБ), учусь играть на гитаре, играю в видеоигры, смотрю сериалы и, last but not least, ращу дочь”.
Организация: Международный Мемориал
Проект: Аудит безопасности base.memo.ru, харденинг сервера, на котором он размещен, формирование рекомендаций по повышению защищенности разработчику проекта
Задачи: Провести аудит безопасности base.memo.ru: разработать модель угроз, проинтервьюировать веб-разработчика проекта, провести black box и white box-пентесты, проанализировать настройки хостинговой площадки, возможно, провести аудит кода сайта. По результатам аудита перенастроить ПО сервера, на котором размещен сайт, в целях повышения защищенности, сформировать рекомендации разработчику по доработке веб-приложения сайта.
Техническое описание проекта: Пентестирование на основные уязвимости с помощью burp/owasp zap, sqlmap, настройка сервисов мониторинга (zabbix или аналога), харденинг ОС и интерфейсов доступа к системе (ssh, https).
Артемий, Москва
“Более 10 лет разрабатываю приложения и сервисы к ним, нравится Kotlin, Java, Python, люблю рисовать дизайн в скетче и обожаю матéриал-стиль. В свободное от работы время перебираю двигатели, субару не едет, иногда переключаю коробку в спорт”.
PS: https://www.youtube.com/watch?v=zIL7Jh-kVXk
Организация: пожелала сохранить анонимность
Проект: Усложнение блокировки контуров приложений
Задачи: Написать прототип библиотеки который позволит вычислить блокирующего и заблокировать его.
Техническое описание проекта: Роскомнадзор в блокировке Телеграма использовал блокировку IP-адресов приложения через систему Android, прослушиванием адресов к которому пытается подключиться приложение, свое реальное присутствие скрывал за счет VPN сетей провайдеров. Задача этого проекта, вычислить того кто блокирует через описанный способ выше, так как в ближайшем будущем ничего не меняется судя по новостям о намерении блокировки приложений через DPI, задача которого длится уже больше пяти лет. Реализация этого прототипа подразумевает что раздача и получение ip-адресов будет проводится на одном и тоже устройстве, поиск и блокировка тоже, чтобы упростить логику, так как это прототип. Боевая версия этого проекта планирует вести раздачу адресов с бекэнда, по разным контурам и с другими технологиями обхода блокировок.
Github: github.com/art2limit/Offenbarung
Никита, Москва
“Работаю в области ИБ-экспертизы корпоративного ПО — занимаюсь поддержкой SIEM-системы. За время работы прочитал и перебрал несметное количество логов и научился черпать из них максимум информации, имел дело с самыми разнообразными IT-системами (FW, DLP, антивирусы, гипервизоры, DNS, DHCP, прокси-серверы и прочие) и обычно представляю, что в них происходит и куда копать, чтобы выкопать то что нужно. Обладаю хорошими навыками поиска и устранения проблем и люблю оптимизировать волокиту при помощи Python. Мне интересны многие направления безопасности, но ещё больше я люблю разнообразное хорошее музло и кино как от Carbon Based Lifeforms до Angerfist через Pearl Jam, так и от Клерков до Sharknado через The Good, the Bad and the Ugly”.
Организация: Центр защиты прав СМИ
Проект: Объединенная web-платформа
Цель проекта: Избавить организацию от зоопарка тяжело поддерживаемых и в т.ч. устаревающих инструментов, подготовив универсальную и легко поддерживаемую платформу, позволяющую разместить на ней все текущие информационные ресурсы и расширяемую для возможных будущих ресурсов, а также повысить надежность доступа к информации. Обезопасить доступ организации к внешней сети и обеспечить стабильность этого доступа.
Задачи:
- Спроектировать и разработать на базе современных инструментов веб-платформу, на которой можно будет разместить любой из сайтов организации, продумать и реализовать схему повышения доступности информации (борьба с возможными атаками и блокировками).
- Привести в порядок техническую сторону сетевых коммуникаций внутри организации.
Оксана, Санкт-Петербург
“Занималась разработкой сайтов на WordPress, писала приложения на чистом javascript и с использованием различных фреймворков. Подробнее о проектах можно почитать здесь: http://o.web-corner.net/ А еще я создавала приложение для НКО с базой данных, содержащей чувствительную информацию (в паре с бэкенд-разработчиком). Бэкенд на Java, фронтенд на VueJS”.
Организация: Ночлежка
Проект: Безопасный веб-хостинг
Цель проекта: Повышение защищенности веб-ресурсов организации
Задачи:
- Ограничить свободный доступ на основной сайт организации для волонтеров и прочих не сотрудников организации;
- Проверить, насколько много критической информации о ресурсах доступно из внешнего мира;
- Разработать систему хранения логинов и паролей для сотрудников организации;
- Настроить бэкапов основного сайта;
- Настроить на сервере приложения для отражения брутфорс атак;
- Настроить мониторинг;
- Внести правки в приложение МКС;
- Обновить php.
Антон, Ярославль
“Системный администратор Linux, Windows; ERP и CRM системы (Microsoft Sharepoint, Dynamics). В основном имел дело с корпоративными информационными системами, развернутыми on demand и в гибридных средах. Имею богатый опыт настройки линуксовых vps под различные веб задачи с обеспечением из базовой безопасности (fail2ban, настройки доступа по ssh и так далее), а также обслуживания стеков /apache/mysql/php, nginx/mysql/php. Активист и координатор движения «Голос» в Ярославле”.
Организация: пожелала сохранить анонимность
Проект: Закрыть основные “дыры” в безопасности организации, внедрить механизмы и политики хранения данных, сделать бэкапы.
Задачи:
- Сделать общий доступ к ресурсам организации, прежде всего, админке сайта только через VPN.
- Создать единое место хранения рабочих материалов с разделением прав доступа и шифрованием данных. Решение должно быть пригодным для хранения разнотипной информации и медиафайлов. Данные должны хранится в нейтральной юрисдикции.
- Настроить рабочий процесс и технический механизм периодических бэкапов базы данных веб-приложения.
- Тестирование приложения на наличие критических уязвимостей из перечня OWASP-10, устранение/принятие рисков.
- Решение проблем физической сетевой инфраструктуры — замена роутера, перенос его в периметр арендованного помещения, настройка локальной сети, firewall, общего доступа к ресурсам. Выделение “гостевого” wi-fi доступа в интернет.
Константин, Оренбург
White hacker, software engineer, fullstack developer.
«Умею: Python, JavaScript, C++, видеостриминг, высоконагруженные системы, Django, Linux, телекоммуникации, React Native, Smart tv. Создал технологическую компанию в сфере разработки программных продуктов для IPTV/OTT-операторов и предоставление OTT-сервиса для абонентов (компания Microimpuls, работаю СТО). По специальности математик-программист».
Организация: Межрегиональный интернет-журнал 7х7
Проект: Pentest нового движка сайта
Цель проекта: Выявить и устранить проблемы с безопасностью нового самописного движка сайта, снизить угрозу взлома.
Задачи:
- Изучить архитектуру нового сайта и всех его подсистем;
- Изучить исходный код движка и модулей;
- Выявить возможные векторы взлома;
- Выявить существующие и потенциальные уязвимости сайта, протестировать на взлом;
- Предложить практические варианты устранения уязвимостей/устранить уязвимости;
- Предложить варианты снижения риска взлома/внедрить их;
- Провести харденинг сервера с сайтом;
- Наладить процессы мониторинга безопасности сайта и настроить средства обнаружения вторжений;
- Разработать регламент написания кода и регламент проведения регулярного аудита для поддержания безопасности сайта в актуальном состоянии.
К., Москва
«10 лет профессионально занимаюсь разработкой и продюсированием web-проектов — верстка, дизайн, программирование (как сейчас принято говорить full-stack). Верстаю средствами js, jquery, html, css. Программирую в основном на drupal, php. В данный момент осваиваю python. Свои умения главным образом стараюсь применять для интересных мне проектов в области науки, творчества (музыка, театр, живопись, фотография) и правозащиты».
Организация: ОВД-инфо
Проект: Подготовительный этап разработки технического задания для базы мониторинга задержаний
Цель проекта: Разработка UX-матрицы, User Stories. Исследование, анализ и выбор программных средств для разработки базы.
Задачи: Для каждой роли в штабе разработать сценарии и интерфейс. Создать UX-матрицу. Определить движок, который будет использоваться для разработки, технологии,обновляющиеся и поддерживаемые системы, которые будут использоваться в проекте. Необходимо пообщаться с каждой группой пользователей базы задержаний (юристы, мониторщики, аналитики), чтобы лучше понять проблемы существующих интерфейсов и учесть это при составлении технического задания.
Борис, Москва
«В период с 2006 по 2008 года проработал web-верстальщиком и разработчиком в крупной компании, занимающейся дистанционным образованием в России. Более 10 лет профессионально занимаюсь ремонтом, сборкой и настройкой компьютеров, компьютерной периферии, а также организацией и наладкой компьютерных сетей.
Ну и, конечно, установка и настройка всевозможного программного обеспечения. Имею опыт преподавания информатики в школе. Не раз был IT-волонтером в ОВД-Инфо. Около года занимался техническим обслуживанием в правозащитной организации».
Организация: Правозащитный центр Мемориал
Проект: Создание плана миграции ПЦ Мемориал в облако
Цель проекта: Создать проект перехода ПЦ Мемориал в облачный сервис: описать обоснование и этапы перехода. Разработать план, сформировать облачную инфраструктуру, протестировать её, перенести данные и запустить.
Задачи:
- Обоснование необходимости перехода в облако для сотрудников ПЦ, презентация этапов перехода;
- Выбор облачного провайдера;
- Создание политики безопасности для использования облака;
- Обеспечение единого входа пользователей в приложения в любой среде;
- Защита удостоверений в локальных и облачных средах;
- Интегрированные средства управления облаком и безопасности;
- Настройка использования облачных сервисов для резервного копирования и и аварийного восстановления локальной среды;
- Создание согласованной платформы данных;
- Реализация преимуществ общей базы данных в локальной среде и в облаке;
- Сокращение затрат за счет переноса локальных данных в облако;
- Использование согласованных сервисов хранения, анализа и визуализации данных;
- Выполнение современных приложений в локальной и облачной среде;
- Для работы с облачными сервисами нужен безупречный Интернет, поэтому одна из задач: настройка внутренней сети и покупка роутеров.
