petak, 19 aprila, 2024
Mobilni kutak

OWASP SeraphimDROID: Intervju sa Nikolom Miloševićem – mentorom projekta OWASP Seraphimdroid

NZT

Autor: Stefan Nožinić

Da je zajednica okupljena oko slobodnog softvera spremna da da svoj odgovor na trenutno stanje povodom računarske sigurnosti, pokazuju brojni projekti otvorenog kôda, a među njima se nalazi i OWASP SeraphimDROID – aplikacija za Android platformu, koja služi kao bezbedonosni konsultant korisnika i koja ukazuje korisniku na razne sigurnosne opasnosti o kojima često ne razmišljamo u svakodnevnom korišćenju naših “pametnih” telefona. LiBRE! je stupio u kontakt sa jednim od autora i mentorom ovog projekta, Nikolom Miloševićem. Nikola je bio ljubazan da nam odgovori na nekoliko pitanja.

LiBRE!: Nikola, objasni nam malo detaljnije koja je svrha OWASP SeraphimDROID projekta i šta aplikacija radi?

Nikola:OWASP SeraphimDROID je open source projekat koji prvenstveno treba korisnike da upozori na opasnosti po bezbednost Android uređaja i privatnost pohranjenih podataka korisnika. Takođe, druga svrha aplikacije je da edukuje korisnike o rizicima ugrožavanja privatnosti i bezbednosti. Određene funkcionalnosti na oba fronta su implementirane u prvoj verziji, ali ima još dosta mesta za dalji razvoj u oba pravca.

Aplikacija ima:

  • mehanizme da upozori korisnike ukoliko neka aplikacija bez odobrenja korisnika pokušava da zove premijum brojeve ili šalje SMS poruke ili izvršava USSD komande,
  • ima implementiranu:
  • bazičnu zaštitu od fishing-a,
  • skener dozvolu (permisiju), sa objašnjenjima koje dozvole na koji način mogu biti zloupotrebljene,
  • daljinsko brisanje korisničkih podataka u slučaju gubitka telefona,
  • lociranje uređaja u slučaju gubitka itd.

Projekat je razvijen pod okriljem OWASP (eng.Open Web Application Security Project) fondacije.

LiBRE!: Šta je tačno OWASP i koja je tvoja uloga u projektu?

Nikola:OWASP je Open Source zajednica. Skraćenica je za Open Web Application Security Project. Zajednica je osnovana u Sjedinjenim Američkim Državama, ali se od tad proširila na većinu zemalja sveta, gde postoje lokalne zajednice. Trenutno postoji trista deset lokalnih zajednica u svetu. Pored lokalnih zajednica čiji je cilj da pruže edukaciju i mesto za diskusiju vezanu za bezbednost softvera, OWASP se bavi i razvojem open source alata za testiranje bezbednosti, zaštitu, kao i pisanje sigurnosnih standarda. Najveći projekti, koje vredi pomenuti, jesu OWASP Top 10 najčešćih bezbednosnih propusta u web aplikacijama i OWASP ZAP, koji je postao standardni alat pri penetration testovima (eng. penetration – prodiranje).

Što se moje uloge tiče, ja sam osnovao OWASP lokalnu zajednicu u Srbiji pre otprilike tri godine, ali pošto sam morao da se preselim u Mančester zbog doktorskih studija, rukovođenje OWASP lokalnom zajednicom u Srbiji je preuzeo Predrag Cujanović. Takođe, ja sam vođa OWASP Seraphimdroid projekta.

LiBRE!: Koliko je vremenski trajao razvoj aplikacije i na kakve probleme je bilo moguće naići tokom razvoja?

Nikola: Projekat OWASP SeraphimDROID započet je pre oko godinu dana. Prva faza je bila prilično eksperimentalna, gde smo pokušavali samo da razradimo koncept i da dokažemo sebi da je zaista ostvarivo to što je zamišljeno. Bilo je i nekih zamisli od kojih smo morali da odustanemo, jer smo shvatili da nam je potreban root access uređaju za određenu funkcionalnost, što kod većine uređaja nije omogućeno. Kao sa svim open source projektima bez nekog ozbiljnijeg finansiranja, problem je što se projekat radi u slobodno vreme pored svih drugih poslova i propratnih aktivnosti koje pojedinci, koji rade na projektu, imaju. Zbog toga je i razvoj ovog projekta bio prilično dug, ali sve se ubrzalo tokom Google Summer of Code programa, kada smo dobili finansiranje od Google-a da jedan student radi na projektu tri meseca puno radno vreme. U tom periodu aplikacija je redizajnirana i implementiran je dobar deo funkcionalnosti koje projekat trenutno poseduje.

LiBRE!: Bio si mentor na Google Summer of Code programu, možeš li nam dati malo više detalja o samom takmičenju, ko se može sve prijaviti, kakvo je stanje sa našim studentima, na čemu treba poraditi, kao i neke savete za one koji planiraju da učestvuju na GSoC narednih godina?

Nikola: Zapravo, Google Summer of Code nije uopšte takmičenje već projekat kojim Google pokušava da pomogne projekte otvorenog kôda i kojim se pokušava podići svest kod studenata o otvorenom kôdu. Događaj ima dve faze. U prvoj studenti predlažu projekte/funkcionalnosti na osnovu određenih smernica koje su mentorske zajednice otvorenog kôda dale. Poželjno je pre slanja prijave i predloga projekta kontaktirati s potencijalnim mentorom i prodiskutovati o predlogu. U drugoj fazi odabrani studenti uz mentorstvo zajednica otvorenog kôda rade na razvoju predloženih funkcionalnosti na projektu. Trebalo bi da studenti tokom tri meseca rade puno radno vreme, za šta od Google-a dobiju 5000$, ukoliko su mentori zadovoljni urađenim poslom. Ove godine u okviru Google Summer of Code programa učestvovalo je sto devedeset zajednica otvorenog kôda koje su mentorisale hiljadu sto sedamdeset i tri (1173) studenata.

Generalni problem sa studentima, kako iz Srbije tako i iz drugih zemalja, jeste da nisu dovoljno upoznati sa zahtevima događaja. Naime, zajednice otvorenog kôda tokom Google Summer of Code programa dobijaju budžet za određeni broj studenata, koji treba da rade na implementaciji novih funkcionalnosti puno radno vreme tri meseca, za šta će biti lepo nagrađeni (pomenutim 5000$), pa tako i zajednice otvorenog kôda žele to što efektivnije da iskoriste. Takođe, postoji poprilična konkurencija, pa samim tim predlozi koji se šalju u prvoj fazi, treba da budu jako dobri da bi bili prihvaćeni na kraju. Na nekoliko strana potrebno je opisati šta se želi implementirati, kako je to tehnički izvodljivo, kao i vremenski plan, odnosno do kad će svaki deo implementacije biti gotov.

Postoje i primeri prihvaćenih izveštaja kod verovatno svake zajednice koja učestvuje duže vreme, OWASP učestvuje već pet godina, stoga je dobro kontaktirati s potencijalnim mentorom. U nekim slučajevima je dobro doprineti projektu pre samog Google Summer of Code programa, jer će na taj način studenti bolje razumeti projekat, pa time napisati i bolji predlog, a nije retko da se mentori odlučuju za studente sa kojima su prethodno radili.

LiBRE!: Da li planirate da nastavite saradnju sa studentima koji su radili na razvoju OWASP Seraphimdroid-a?

Nikola: Naravno! Moram da kažem da sam imao jako dobro iskustvo sa studentom koji je radio ove godine na projektu na kome sam bio mentor. Nije bilo nikakvih problema, samim tim ne postoji razlog da se saradnja ne nastavi.

LiBRE!: Budući planovi – šta da očekujemo?

Nikola: Projekat će, nadam se, dalje nastaviti da se razvija. Ostalo je odraditi nekoliko funkcionalnosti koje nedostaju, poput provere sigurnosnih podešavanja uređaja, koje će, nadam se, uskoro biti implementirane. Takođe, trenutna zaštita od phishing-a je najjednostavnija moguća, pa je treba unaprediti. Trenutno, mislim da nije dovoljno rađeno na edukacijskom aspektu koji aplikacija treba da ima, pa se mogu očekivati nove funkcionalnosti na tom frontu. Postoji i ideja o povezivanju sa nekim od servisa za proveru potpisa aplikacija na malware, ali videćemo da li je to u open source okruženju ostvarivo. Takođe, otvoreni smo za ideje korisnika i potencijalnih novih programera.

LiBRE!:SeraphimDROID je projekat otvorenog kôda. Kako mu možemo pomoći?

Nikola: Politika OWASP-a, samim tim i politika u ovom projektu, jeste da svako može da se priključi. Do sad nije bilo mnogo mesta za ljude koji nisu programeri i svakako da je programerska pomoć i dalje ostala najpotrebnija. Međutim, otkako je izašla prva verzija, naravno da ima mesta i za druge profesije (dizajn, marketing, itd.). Uglavnom, potrebno je kontaktirati sa mnom i napisati mi čime biste želeli da doprinesete. Ideje su takođe dobrodošle. Moj e-mail možete naći na projektnoj stranici (https://www.owasp.org/index.php/OWASP_SeraphimDroid_Project).

LiBRE!:OWASP Seraphimdroid aplikacija se bavi zaštitom privatnosti. Možeš li dati dodatne savete kako se zaštititi pored korišćenja ovakvih aplikacija?

Nikola: Što se tiče bezbednosti, najveći broj propusta se dešava zbog ljudskog faktora, odnosno, zbog neznanja da nešto može biti opasno. Samim tim, najbolja zaštita je edukacija. Što se konkretno Android uređaja tiče, potrebno je edukovati se vezano za dozvole, šta koja radi i kako mogu biti zloupotrebljene. Takođe, pristup Wi-Fi mrežama bez zaštite može biti jako opasan, jer bilo ko se može predstaviti kao router i čitati vaš saobraćaj, pa time dobiti i pristup svim vašim nalozima koje koristite u tom trenutku. Naravno, mogu da ponovim i standardnu priču o lozinkama, koje treba da budu jake, odnosno da imaju minimum sedam ili osam znakova, da sadrže mala slova, velika slova, brojeve, specijalne znakove i krv device (ok, šalim se za ovo poslednje). Od gubitka uređaja, pa i podataka na njemu, verovatno najbolja zaštita je enkripcija. Potrebno je osigurati se da su bezbednosna podešavanja podešena na odgovarajući način. Dobar anti-malwaresoftware je takođe jedan od faktora koji može da doprinese.

Za kraj, zahvaljujemo se Nikoli što nam je izašao u susret i predstavio našim čitaocima projekat OWASP Seraphimdroid. Nastavićemo i ubuduće da pratimo njegov rad.