14-15 märts toimus taas API-de turbe teemaline konverents APISecure. Tegu oli täiesti tasuta ja kõigile vabalt vaadatava üritusega, mis sisaldas endas mitmeid vägagi harivaid esitlusi. Paralleelselt toimusid esitlused vastavalt suunitlusele “punane, sinine ja lilla” nagu ikka turbe alaste meeskondade värvusi nimetatakse. Kui sama aegselt sattus käima endale mitu huvi pakkuvat esitlust, siis pole hullu, kõik peaks olema hiljem järelvaadatav. Esitluste salvestused ja slaidid lubati hiljem üles laadida.
APISecure näol ei ole toodete müügi üritusega, kuigi eks esitlejad natukene oma ettevõtteid tutvustasid tehes esitlusi oma ettevõtte põhjade peal ning enese tutvustuses tööandjatele viidates. Otsene teenuste või toodete müük/pitchimine oli aga keelatud. Kahjuks küll üks esineja isegi eksis selle reegli vastu ning kuna ta korraldajate korduvatest märkustest õppust ei võtnud katkestati tema stream ning inimesed suunati ringi teiste suunitluste virtuaal lavadele.
Esinejate seas leidus eetilise häkkimise maailmast mitmeid tuntud nimesid. Näiteks minule tuttavamad nimed ja näod olid Alissa Knight(ürituse korraldaja), Gabrielle Botbol, Dr. Katie Paxton-Fear, Corey Ball ning Michael Taggart. Ei saa jätta märkimata, et “Corey J. Ball” kirjutatud “Hacking APIs: Breaking Web Application Programming Interfaces” raamat on endalgi raamaturiiulis olemas (kaanest kaaneni läbi loetud ning märkmed tehtud..).
Sellelt üritusel mõningate esitluste vaatamine kuluks kindlasti ära nii mõnelegi mobiili äpi arendajale kui ka API-de arendajatele. Enda põhi fookus oli punase meeskonna suunitlusega esitlustel ning järgnevalt toongi välja mõlema päeva enda lemmik esitlused. PS enne enda lemmikute listimist mainiks igaks juhuks ära ka selle, et kui sul juhtub olema mõni API, mis vajaks testimist siis vaata meie pakutavate teenuste listi ja võta ühendust.
Esimese päeva lemmikud – minu top3
Minu esimese päeva vaieldamatu lemmik oli Michael Taggart-“Beyond Vuln Management: How Adding Offensive Methodology Made Our APIs More Secure.” Jättes kõrvale tema üli mõnusa esitlus stiili (no mulle lihtsalt meeldis ning ka teistele publikus) nõustun täielikult tema ideega, et ka “sinine meeskond”, peab tundma “punase meeskonna” töövõtteid ja sellest tulenev võit valepositiivsete raportite vähenemise ning inimeste oskuste kasvu kaudu on igale organisatsioonile kasuks. Kuid ka lihtsalt see, et kuidas on üldse võimalik efektiivset kaitset ehitada, kui sa ei tea üldse rünnaku võimalustest midagi. Niisama lihtsalt järjest sulle müüdavaid erinevaid tööriistu rakendades ilma tausta tundmata tekib võlts ohutus tunne. “Kõik on ju hästi, meil on palju asju, mis pahalase või augu üles leiavad”.
Teise koha annaksin ma esitlusele Antoine Carossio and Tristan Kalos Escape Workshop: “Discovering GraphQL Vulnerabilities in the Wild”. Jättes kõrvale esitlejate tehnilised (interneti ühenduse) viperused oli esitletud uurimustöö huvitav, et kui auklikud ikka vabalt kõigile kättesaadavad GraphQL liidesed kipuvad olema ning ühtlasi tutvustati ka asju, millega nii mõnigi arendaja võiks arvestada seda tehnoloogiat kasutades. Võtmesõnadeks siis “directive overloading”, “batching/aliasing”, “recursive fragments” ning “field suggestion schema leak”. Nad pidid oma uurimustöö enda ettevõtte kodulehele üles laadima, kavatsen seda kindlasti lähemalt uurida.
Kolmas koht minu jaoks oli Ted Miracco “Enhancing API Security with Runtime Secrets & Attestation”. Kuigi pealkiri räägib justkui vaid API turbe parandamisest võeti seal suhteliselt põhjalikult ette mobiili äppide turvalisusega seotud temaatika ning selle kuulamine kuluks ära nii mõnelegi äpi arendajale.