QAClubConf 1.2.: Security Testing

Конференция сайт события http://conf.qaclub.com.ua/

Добавить в календарь:
Поделиться:

23 марта 2013 года в Харькове состоялась конференция QAClubConf 1.2: Security Testing – третья из серии QAClubConf – ежеквартальных конференций для тестировщиков ПО, тест-лидов, QC/QA-менеджеров и вообще всех, кто симпатизирует нашей тусовке. В этот раз к нам присоединились еще программисты и админы, кроме тестировщиков. Благодаря теме безопасности были охвачены все IT сферы без исключения.

В преддверии основной части конференции мы решили провести 22 марта - Ice-breaking pre-party. Хостером этого мероприятия выступила компания Intetics, любезно предоставив нам не только отличный зал с проектором и дартсом, но и обеспечила всю нашу тусовку несметным количеством пива ;-) . За каких-то 3 часа мы успели познакомиться друг с другом (отчасти, благодаря играм, которые мы провели в перерывах между докладами), попить пиво с чипсами и сухариками, угоститься кофе, предоставленным нашим кофейным партнером “KavaArt” и, конечно же, прослушали яркие доклады Светланы Яковлевой и Игоря Чишкалы, позволившие нам плавно подойти к проблеме безопасности.

Основная часть у нас прошла 23 марта, как всегда, в гостеприимном и просторном помещении торгово-офисного центра «Sun City 2». Вступительные слова произнесли организаторы конференции – Виктория Мусияченко и Глеб Рыбалко. В этот раз нами был полностью соблюден формат конференции Express Edition, представляющий собой основные доклады и флипчарт-доклады в параллели и кофебрейками между докладами.

Первый докладчик, keynote-speaker Владимир Безмалый, полностью развеял миф о присутствии безопасности в цифровом мире. Эксперт, мнению которого доверяет сам Microsoft, просто не мог дать слушателям возможности усомниться в крайне тяжелом положении мобильных («Эра Post-PC») приложений относительно информационной безопасности. Он поведал нам статистику количественных оценок финансовых потерь от потери информации вообще и от утери мобильных устройств в частности. Наше внимание спикер обратил на тот факт, что одной только ОС Android потребовалось менее трех лет, чтобы объем вредоносных угроз достиг того же уровня, что и для ПК за 14 лет. А цифра в 5 916 926 вредоносных приложений для данной ОС, зарегистрированных на январь 2013 года, поражает даже самое яркое воображение. Владимир заставил всех задуматься, а какую информацию собирает Google с помощью наших устройств под управлением OS Android, зачем  наши данные о вызовах, об СМС, о поисковых запросах? Зачем приложениям и игрушкам наша адресная книга и, наконец, зачем Angree Birds сведения о нашем местоположении, даже когда мы не играем? А многие ли пользуются платными (синоним – действенными) антивирусами? (Все массово начали что-то выключать или удалять ).  Не менее важным аспектом безопасности в пользовании мобильными приложениями играет роль самих пользователей, и особенно – детей, в пользовании сервисами социальных сетей. Еще одним интересным фактом стала уязвимость, обнаруженная… Где бы вы думали? – В бытовой технике, а именно в Samsung Smart TV. Что же будет дальше? Ну и напоследок, совет от Владимира Безмалого – «Научитесь бояться».

Вторым выступил Александр Чишкала. В его докладе были затронуты те мелочи виртуальной безопасности, которые зачастую упускаются из виду, но приводят к печальным последствиям при работе с информацией. Пример таких мелочей – работа с датами и временем. Также был затронут вопрос sql-инъекций в настольных приложениях. Вторая часть доклада была посвящена работе нашей системы правосудия. Должность и 10 лет работы в данной системе позволили Александру ответить на вопросы о загруженности направления экспертных оценок компьютерной техники и программных продуктов, о сложности данных вопросов, об уровне развития должностных лиц, принимающих непосредственное участие в рассмотрении вопросов правосудия, а так же о том, как себя вести, защищая технику и информацию от выемки ее госслужащими.

Следующим докладчиком выступил Денис Архангельский – специалист, работа которого состоит в контроле и выполнении всех трех аспектов информационной безопасности: доступности, целостности и конфиденциальности. С ним мы рассмотрели особенности внутренней информационной инфраструктуры по сравнению с производственной, критерии классификации угроз информационной безопасности, а так же уровни ее обеспечения. Итог доклада Денис подвел, выделив достоинства и недостатки различных стратегических подходов к обеспечению безопасности.

После обеда, хорошенько подкрепившись, мы принялись за workshop от Андрея Михайлова. Вооружившись ноутбуками, самые активные слушатели принялись в точности выполнять руководства докладчика. Целью данных манипуляций было путем распаковки архива приложения и анализа ресурсов  выявить уязвимости серверных приложений, оставленные разработчиками программного обеспечения в виде неосторожно оставленных прямо в коде открытых строк подключений к серверу, а так же в виде файлов-описаний, забытых в каталоге с исходниками горе-программистами при сборке приложения.

После столь напряженной деятельности впору вспомнить про компьютерные игры. Про безопасность в них нам рассказал Сергей Мороз. Первым делом мы рассмотрели как делятся игры по окружению и по целевой аудитории. Затем определили причины, которые стимулируют к пользованию дырами в безопасности компьютерных игр! Только по предварительным оценкам для самых популярных «браузерных» игр суммарные месячные платежи достигаю уровня в $1 млн., что порождает немыслимое желание у лиц, не являющихся правообладателями, и нечистых на руку геймеров-профессионалов поживиться  за счет азартных и недостаточно умелых игроков. Чтобы разобраться во всем этом мы определили типы возможных угроз и уж потом – где каждую из них искать.

На закате нашей встречи Павел Кравченко помог нам обобщить и структурировать аспекты информационной безопасности. Он подчеркнул, что безопасность нельзя игнорировать, несмотря на кажущуюся излишнюю затратность решений по ее обеспечению. В ходе доклада мы себе уяснили, что безопасность невозможно измерить, что она должна быть комплексной и разумно-достаточной, а ее поддержка – непрерывной. Также коснулись вопросов открытости архитектуры, простоты использования информационных систем и разграничения доступа. И напоследок разобрались с механизмами обеспечения безопасности такими, как шифрование, цифровая подпись и хеширование.

 

Уже традиционно  всем спикерам Виктория vikkimus  вручила 100% секьюрные чашке QAClub-эксперта. Также, QAClub-овскими чашками были награждены самый активный и самый скромный слушатель конференции.

В заключение нашего безопасного дня все присутствующие были приглашены на afterparty в IT-café, где мы и продолжили наше общение.

О КОНФЕРЕНЦИИ:

С чего вдруг такая тема? Ну, во-первых, все-таки хоть и конец света уже произошел, но тем не менее безопасность никому не повредит, а во-вторых – тестирование безопасности – только IMHO – неисследованная область и как обычно – интересная нам лично, экспертов в ней немного, но нам очень уж хочется эту тему обсудить. Кто помнит – мы немного об этой теме уже говорили на QAClub # 21 на тему “Тестирование безопасности web-приложений” от Сергея Мороза и Ивана Колодяжного, можно пока “влиться” в тему.

Кому будет у нас интересно? Кроме тестировщиков приглашаем еще и ПМ-ов, админов и программистов, по темам докладов – вроде бы и Вам должно быть интересно, судите сами по программе ниже :) .

Как обычно, формат конференции - это формат express edition (в один поток + флипчарт доклады в параллели). По вашей просьбе – мы увеличили длительность докладов, теперь это 1 час + 15 мин на вопросы! Больше о подробностях концепции – см. ТУТ.

Как это было?

Хистори наших других конференции – видео докладов и презенташки хранятся на сайтике в Архиве конфы. Напомню, что мы уже проводили: QAClubСonf 1.0: Management&Process и QAClubConf 1.1: Automation&Tools.

Скидки и Сколько денег? Скидки родным куаклубовцам – тоже имеются, читайте в ЭТОМ РАЗДЕЛЕ. Для сообществ тестировщиков/разработчиков/админов в разных городах – спецпредложения! Требуйте у своих сообществ партнериться с нами!

Партнерство? Ну и, конечно же, не откажемся, если вдруг какая-то ИТ компания захочет стать нашим партнером/спонсором – с удовольствием обсудим варианты сотрудничества!

В программу добавили флипчарт-доклады в параллели + Ice-breaking pre-party, которую любезно захостит компания Intetics в большом зале с бильярдом и теннисом ;) . Нам там нравится :)

22 марта - Ice-breaking pre-party


19:00- 19:15
Регистрация


19:15 – 19:35
ice-breaking: нетворкинг, игрушка


19:35 – 19:55
Светлана Яковлева, «Тестировщик и безопасник – одна  история взаимовыгодного сотрудничества»


19:55 – 20:25
неформальное общение


20:25 – 20:50
Игорь Чишкала, Тема ожидается:)


20:50 – 21:30
неформальное общение



23 марта – Конференция


09.30 – 10.00
Регистрация


10:00 – 10.15
Вводное слово организаторов


10:15 – 11:15 + 15
Владимир Безмалый, «Эра post-PC»


11:30 – 11:40
Кофебрейк


11:40 – 12:40 + 15 минут на вопросы
Александр Чишкала, «Две стороны одной безопасности – наиболее частые проблемы с точки зрения тестировщика и безопасника»


12:55 – 13:05
Кофебрейк


13:05 – 14:05 + 15 мин на вопросы
Денис Архангельский, «Стратегии безопасности корпоративной инфраструктуры»
Владимир Железняк (флипчарт), «Приоритето-педия или целе-мания или Как расставить приоритеты, чтобы не было мучительно больно»


14.20 – 15.00
Обед (отмечайте в форме регистрации, если хотите, чтобы мы для Вас обед организовали)


15:00 – 16:00 + 15 мин на вопросы
Андрей Михайлов !workshop! берите ноутбуки!, Воркшоп «Тестирование уязвимостей серверных приложений с применением клиентских приложений Android»


16:25 – 17:25 + 15 мин на вопросы
Сергей Мороз, «Тестировщики, которые играют в игры»
Виктория Мусияченко (флипчарт), 
«Meeting 1:1 как инструмент менеджера – техника проведения, цели» 


17:40 – 17:55
Кофебрейк


17:55 – 18:55 + 15 мин на вопросы
Павел Кравченко, «Информационная безопасность: правила, механизмы, основные заблуждения, принципы тестирования»


19:10
Закрытие конференции


19:25 +
Афтепати

Доклады Ice-breaking pre-party:


Доклад №1: “Тестировщик и безопасник – одна история взаимовыгодного сотрудничества”, Светана Яковлева
“Часто бывает так, что мы уходим в свою компетенцию с головой и не интересуемся больше ничем, до тех пор, пока это нам не понадобится в работе “на вчера”. Я расскажу о том, как такое “на вчера” совпало одновременно у двоих людей: специалисту по безопасности срочно понадобились навыки тестирования, а мне – освежить и расширить знания о поиске и предотвращении “дыр” в защите. Мы попытались сделать обмен скиллами наиболее эффективным для обоих. Как мы это делали и что из этого получилось – слушайте на пре-пати 14 декабря :) ”

Светлана Яковлева -
выступала на SQA days в Харькове. Ставила процесс обеспечения качества в 2 продуктовых компаниях. 5.5 лет в IT, от системного администратора и джуниор тестировщика до руководителя команды. ISTQB-сертифицированный специалист. Автор нескольких тренингов по различным техникам и инструментам тестирования. Спикер QAClub #16.


Доклад №2: Игорь Чишкала (тема ожидается)

Игорь Чишкала –
руководитель отдела в Digital Advertising в ABC Solutions. Устроился в ABC Solutions благодаря тому, что назвал интернет-магазин работодателя извините “какашкой” (терминология автора соблюдена, а из песни слов не выкинешь). Опыт работы по специальности – более 7 лет. Начал свой путь с SEO и веб дизайна. Автор блога. Спикер I-Marketing #6.



Доклады конференции:

Доклад №1: “Эра post-PC”, Владимир Безмалый
«Эксперты предсказывали наступление пост-компьютерной эры в течение нескольких лет. Вопрос был простым: «Когда мы узнаем, что она наступила?» Ответ, безусловно, так же прост. Мы знаем, что она наступила, потому что злоумышленники вышли за рамки ПК. Если судить по этому показателю, то в 2012 году мы вошли в послекомпьютерную эру, так как злоумышленники перешли в атаку на Android, социальные сети и компьютеры от Apple.
Изменяется аппаратное и программное обеспечение, появляются новые угрозы и новые уязвимые объекты. Попробуем заглянуть вперед, а что нам несет все это? Итак, вперед, в будущее?»

Владимир Безмалый –
эксперт Безопасности, Microsoft Security Trusted Advisor, MVP Consumer Security. Опыт работы в ИТ-безопасности более 20 лет. Владимир автор порядка 150 статей в области ИБ, постоянный автор журнала Windows IT Pro/RE. Статьи издаются в России, Украине, Чехии, Израиле, Финляндии. Владимир является одним из 9 Microsoft Trusted Security Advisor в мире, ему уже многократно присуждались звания Microsoft Most Valuable Professional Consumer Security (103 человека в мире), а также статусы Kaspersky Laboratory Data Security System Engineer и Aladdin Software Security Certified Trainer. Блог: vladbez.spaces.live.com.


Доклад №2: ”Две стороны одной безопасности – наиболее частые проблемы с точки зрения тестировшика и безопасника”,  Александр Чишкала

Поговорим о следующем:
• незначительные ошибки и их плачевные последствия;
• ошибки работы со временем и датами;
• инъекции, в том числе и SQL, в настольные приложения;
• на чем работают заказчики ПО;

Если будут заявки (спрошу в начале выступления):
• как работает наше правосудие;
• насколько долго все происходит;
• выгодны ли судебные тяжбы;
• уровень IT развития следователей, прокуроров, судей и т.д.
• как вести себя при допросе, выемки техники и прочего.

На закуску, возможно (если пофиксят), 0-day уязвимость в клиентском интернет банкинге недоквадратного зеленого банка.

Доклад будет интересен для администраторов, программистов и тестировщиков. Уровни: Junior, Middle. Большая часть доклада будет полезна всем, для общего образования.

Александр Чишкала –
почти 10 лет работает в Харьковском НИИ судебных экспертиз им. Засл. проф. М.С. Бокариуса в лаборатории судебных компьютерно-технических, фоноскопических, аналитических, теоретических исследований и информационного обеспечения на должности старшего научного сотрудника. Имеет аккредитацию судебного эксперта по специальностям «10.9 Исследование компьютерной техники и программных продуктов» и «10.17 Исследование телекоммуникационных систем (оборудования) и средств». По молодости и наивности, при поступлении на работу, взял на себя обязанности системного администратора зарождающейся сети института, которая насчитывает уже более 200 ПК распределенную по 5 городам.


Доклад №3: “Стратегии безопасности корпоративной инфраструктуры”, Денис Архангельский

Цель доклада – дать представление о комплексной концепции безопасности информационной инфраструктуры компании и сравнительную характеристику подходов к её обеспечению.

Планируется рассмотреть:
- Практическую трактовку термина “безопасность инфраструктуры”;
- Особенности внутренней информационной инфраструктуры по сравнению с производственной;
- Классы угроз;
- Концепцию многоуровневой системы безопасности;
- Технологии обеспечения безопасности на каждом из уровней;
- Стратегические подходы к обеспечению безопасности, их достоинства и недостатки.

Денис Архангельский –
около 12 лет в IT, 6 лет в IT outsourcing. Область интересов неторопливо смещалась от администрирования сетей к администрированию хостинг-платформ, позже к проектированию и администрированию хостинг-платформ для высоких нагрузок и CDN, проектировал хостинговые решения в интересах крупных американских медиа-компаний. После некоего парадоксального качественного скачка заинтересовался управлением информационной инфраструктурой предприятия и распределёнными командами эксплуатационного персонала. Исключительно асоциален, потому на публике практически не выступает, на профессиональных (и не только) интернет-ресурсах не засвечен, членом профессиональных организаций не является, профессиональных сертификатов не имеет… Жуть ;)


Доклад №4: Воркшоп “Тестирование уязвимостей серверных приложений с применением клиентских приложений Android”, Андрей Михайлов.

“В этом интерактивном докладе рассказывается о том, как, проанализировав двоичный файл программы, можно найти широкий ряд проблем безопасности API серверов мобильных приложений. Каждый пришедший научится выявлять проблемы безопасности, которыми страдают большинство мобильных приложений Google Play и Apple Store. Желательно взять с собой компьютер так как это даст возможность самому поучаствовать в разборе подопытного приложения Android. Используемые инструменты: dex2jar, Java Decompiler, ProGuard”

Целевая аудитория доклада: Начинающие разработчики и разработчики среднего уровня, а также – специалисты по тестированию программного обеспечения.

Андрей Михайлов -
Руководитель отдела разработки Web и мобильных приложений в Videal, Харьков. В IT с 2001 года. Работал руководителем отделов разработки нескольких IT-компаний. В данный момент работаю в компании Videal руководителем отдела разработки Web и мобильных приложений. За годы работы обучил множество стажеров, которые теперь работают в различных IT-компаниях Харькова. Владею навыками project management-а, практикую разработку ПО на большинстве основных языков: C, C++, C#, PHP, Java, Objective C, Assembler. Очень люблю применять теорию на практике.


Доклад №5: “Тестировщики, которые играют в игры”, Сергей Мороз.

Игровые проекты приносят немалые деньги их создателям, обороты онлайн-казино переваливают за десятки миллионов долларов, пользователи вкладывают в ММО-игры тысячи долларов, но игры по-прежнему воспринимаются большинством людей всего лишь как развлечение, а многие тестировщики считают, что для их проверки достаточно просто играть в них сутками. В данном докладе и пойдет речь о том, что же такое безопасность в играх: что в них нужно защищать, как это делать и как искать ошибки.

Сергей Мороз –
Опыт в тестировании – 3 года, за это время довелось поработать с веб и embedded приложениями, с ручным тестированием и автоматизацией, с обычными системами и высоконагруженными. Также довелось попробовать модный Agile на собственном опыте. На данный момент – сотрудник компании TeamDev на позиции QA Engineer. Спикер QAClub#21.


Доклад №6: “Информационная безопасность: правила, механизмы, основные заблуждения, принципы тестирования”, Павел Кравченко

Цель доклада – систематизировать знания, подчеркнуть важность процесса тестирования безопаности и познакомить с его принципами. Будут затронуты следующие темы:

- Информационная безопасность, основные свойства.

- Механизмы обеспечения безопасности.

- Основные заблуждения.

- Тестирование безопасности.

- Механизмы обеспечения безопасности в iOS.

Доклад расчитан на уровень Middle, будет интересен также программистам и системным администраторам.

Павел Кравченко - 
7 лет в IT, получил степень кандидата наук по специальности “Системы защиты информации”. Более 5 лет опыта разработки, в большей степени под мобильные платформы. Последние 2 года занимался руководством проектами, общением с заказчиками, выяснением требований. Сейчас project manager в компании Videal. Докладчик тусовки DevTime (Mobile) и Ciklum Mobile Saturday. Спикер QAClub #16.



Флипчарт-доклады*:

Флипчарт-доклад: “Приоритето-педия или целе-мания или Как расставить приоритеты, чтобы не было мучительно больно”Владимир Железняк

Все дела не переделаешь. Принципиально. Поэтому какие-то дела сделать успеваешь, а до каких-то руки не доходят вообще. И потом чувствуешь, что вроде бы весь день (год :) ) был занят, а с места особо не сдвинулся. Текучка замотала. У каждого человека свои приоритеты. Для кого-то цель – заработать денег. А для кого-то – гармония с природой и ненапряжная жизнь гораздо важнее. Что можно сделать для расстановки приоритетов? Для того, чтобы определить, что нужно именно для меня и именно сейчас?

Владимир Железняк -
активный посещатель PMZone. В IT - 11 лет. Работал в DataSoft/DevArt/CoreLab как Product Manager в подразделении, выпускающем компоненты для Delphi. Кто работал с Delphi, тот помнит MyDAC, SDAC, dbExpress – мы вытеснили конкурентов с рынка (тут могла быть и Ваша реклама – прим. редактора сайта ;)) Сейчас работаю в Sphere Consulting как Senior Developer и, параллельно, занимаюсь бизнес-процессами в компании. Спикер PMZone #4 и PMZone #11PMZone #16.


Флипчарт-доклад: “Meeting 1:1 как инструмент менеджера – техника проведения, цели”Виктория Мусияченко.

Поговорим о том, какими могут быть цели 1:1 митинга, как использовать этот инструмент для мотивации ваших сотрудников, а также для мониторинга новичков. Кроме того, обсудим как его проводить, как к нему готовиться – техники, что потом делать с результатами и какие ошибки бывают.

Виктория Vikkimus Мусияченко -
потомственная клубозаводчица IТ профессиональных сообществ Харькова, как-то PMZoneDevTimeQAClubIT HRSales-клубAgile Фан-клубI-Marketing, организатор и соорганизатор различных IT конференций, а также IT-тренингов. В IT – с 2002 года, побывала на самых разных должностях, в том числе Project Officer, HR-realted, BA, Product Owner.

*Напоминаем, что флипчарт-доклады – проводятся в зале кофебрейков на флипчарте без презенташек, во время основного потока. Если вдруг Вам стало скушно-грустно и одиноко либо тема флипчарта более актуальна для Вас – Вы приходите к чаю-плюшкам и флипчарт-докладчику :)

До встречи!

Комментарии (0):

Оставлять комментарии могут только зарегистрированные пользователи

Для получения embed кода необходимо кликнуть правой
кнопкой мыши на видео и выбрать пункт меню
'Сгенерировать HTML код'

Стоимость “ранняя пташка” – при регистрации и оплате до 23 февраля:

Родным “куаклубовцам” (тем, кто посетил 2 и более ивента QAClub) – 350 грн. (без обеда): Промокод: QAClub (указывайте в форме регистрации).

Тем, кто посетил прошлые конференции QAClubConf – 400 грн. (без обеда): Промокод:  QAClubConf (указывайте в форме регистрации).

Всем остальным – 450 грн. (без обеда)


Стоимость “запоздалая пташка” – при регистрации и оплате с 27 февраля до 21 марта:

Родным “куаклубовцам” (тем, кто посетил 2 и более ивента QAClub) – 420 грн. (без обеда): Промокод: QAClub (указывайте в форме регистрации).

Тем, кто посетил прошлые конференции QAClubConf – 470 грн. (без обеда): Промокод:  QAClubConf (указывайте в форме регистрации).

Всем остальным – 550 грн. (без обеда)


Стоимость при ОПЛАТЕ в день конференции – 600  грн.

 

Забыли пароль? Регистрация