четвртак, 25 априла, 2024
Мобилни кутак

OWASP SeraphimDROID: Интервју са Николом Милошевићем – ментором пројекта OWASP Seraphimdroid

NZT

Аутор: Стефан Ножинић

Да је заједница окупљена око слободног софтвера спремна да да свој одговор на тренутно стање поводом рачунарске сигурности, показују бројни пројекти отвореног кôда, а међу њима се налази и OWASP SeraphimDROID – апликација за Android платформу, која служи као безбедоносни консултант корисника и која указује кориснику на разне сигурносне опасности о којима често не размишљамо у свакодневном коришћењу наших “паметних” телефона. ЛиБРЕ! је ступио у контакт са једним од аутора и ментором овог пројекта, Николом Милошевићем. Никола је био љубазан да нам одговори на неколико питања.

ЛиБРЕ!: Никола, објасни нам мало детаљније која је сврха OWASP SeraphimDROID пројекта и шта апликација ради?

Никола: OWASP SeraphimDROID је open source пројекат који првенствено треба кориснике да упозори на опасности по безбедност Android уређаја и приватност похрањених података корисника. Такође, друга сврха апликације је да едукује кориснике о ризицима угрожавања приватности и безбедности. Одређене функционалности на оба фронта су имплементиране у првој верзији, али има још доста места за даљи развој у оба правца.

Апликација има:

  • механизме да упозори кориснике уколико нека апликација без одобрења корисника покушава да зове премијум бројеве или шаље SMS поруке или извршава USSD команде,
  • има имплементирану:
  • базичну заштиту од fishing-а,
  • скенер дозволу (пермисију), са објашњењима које дозволе на који начин могу бити злоупотребљене,
  • даљинско брисање корисничких података у случају губитка телефона,
  • лоцирање уређаја у случају губитка итд.

Пројекат је развијен под окриљем OWASP (енг.Open Web Application Security Project) фондације.

ЛиБРЕ!: Шта је тачно OWASP и која је твоја улога у пројекту?

Никола: OWASP је Open Source заједница. Скраћеница је за Open Web Application Security Project. Заједница је основана у Сједињеним Америчким Државама, али се од тад проширила на већину земаља света, где постоје локалне заједнице. Тренутно постоји триста десет локалних заједница у свету. Поред локалних заједница чији је циљ да пруже едукацију и место за дискусију везану за безбедност софтвера, OWASP се бави и развојем open source алата за тестирање безбедности, заштиту, као и писање сигурносних стандарда. Највећи пројекти, које вреди поменути, јесу OWASP Top 10 најчешћих безбедносних пропуста у web апликацијама и OWASP ZAP, који је постао стандардни алат при penetration тестовима (енг. penetration – продирање).

Што се моје улоге тиче, ја сам основао OWASP локалну заједницу у Србији пре отприлике три године, али пошто сам морао да се преселим у Манчестер због докторских студија, руковођење OWASP локалном заједницом у Србији је преузео Предраг Цујановић. Такође, ја сам вођа OWASP Seraphimdroid пројекта.

ЛиБРЕ!: Колико је временски трајао развој апликације и на какве проблеме је било могуће наићи током развоја?

Никола: Пројекат OWASP SeraphimDROID започет је пре око годину дана. Прва фаза је била прилично експериментална, где смо покушавали само да разрадимо концепт и да докажемо себи да је заиста оствариво то што је замишљено. Било је и неких замисли од којих смо морали да одустанемо, јер смо схватили да нам је потребан root access уређају за одређену функционалност, што код већине уређаја није омогућено. Као са свим open source пројектима без неког озбиљнијег финансирања, проблем је што се пројекат ради у слободно време поред свих других послова и пропратних активности које појединци, који раде на пројекту, имају. Због тога је и развој овог пројекта био прилично дуг, али све се убрзало током Google Summer of Code програма, када смо добили финансирање од Google-а да један студент ради на пројекту три месеца пуно радно време. У том периоду апликација је редизајнирана и имплементиран је добар део функционалности које пројекат тренутно поседује.

ЛиБРЕ!: Био си ментор на Google Summer of Code програму, можеш ли нам дати мало више детаља о самом такмичењу, ко се може све пријавити, какво је стање са нашим студентима, на чему треба порадити, као и неке савете за оне који планирају да учествују на GSoC наредних година?

Никола: Заправо, Google Summer of Code није уопште такмичење већ пројекат којим Google покушава да помогне пројекте отвореног кôда и којим се покушава подићи свест код студената о отвореном кôду. Догађај има две фазе. У првој студенти предлажу пројекте/функционалности на основу одређених смерница које су менторске заједнице отвореног кôда дале. Пожељно је пре слања пријаве и предлога пројекта контактирати с потенцијалним ментором и продискутовати о предлогу. У другој фази одабрани студенти уз менторство заједница отвореног кôда раде на развоју предложених функционалности на пројекту. Требало би да студенти током три месеца раде пуно радно време, за шта од Google-а добију 5000$, уколико су ментори задовољни урађеним послом. Ове године у оквиру Google Summer of Code програма учествовало је сто деведесет заједница отвореног кôда које су менторисале хиљаду сто седамдесет и три (1173) студената.

Генерални проблем са студентима, како из Србије тако и из других земаља, јесте да нису довољно упознати са захтевима догађаја. Наиме, заједнице отвореног кôда током Google Summer of Code програма добијају буџет за одређени број студената, који треба да раде на имплементацији нових функционалности пуно радно време три месеца, за шта ће бити лепо награђени (поменутим 5000$), па тако и заједнице отвореног кôда желе то што ефективније да искористе. Такође, постоји поприлична конкуренција, па самим тим предлози који се шаљу у првој фази, треба да буду јако добри да би били прихваћени на крају. На неколико страна потребно је описати шта се жели имплементирати, како је то технички изводљиво, као и временски план, односно до кад ће сваки део имплементације бити готов.

Постоје и примери прихваћених извештаја код вероватно сваке заједнице која учествује дуже време, OWASP учествује већ пет година, стога је добро контактирати с потенцијалним ментором. У неким случајевима је добро допринети пројекту пре самог Google Summer of Code програма, јер ће на тај начин студенти боље разумети пројекат, па тиме написати и бољи предлог, а није ретко да се ментори одлучују за студенте са којима су претходно радили.

ЛиБРЕ!: Да ли планирате да наставите сарадњу са студентима који су радили на развоју OWASP Seraphimdroid-а?

Никола: Наравно! Морам да кажем да сам имао јако добро искуство са студентом који је радио ове године на пројекту на коме сам био ментор. Није било никаквих проблема, самим тим не постоји разлог да се сарадња не настави.

ЛиБРЕ!: Будући планови – шта да очекујемо?

Никола: Пројекат ће, надам се, даље наставити да се развија. Остало је одрадити неколико функционалности које недостају, попут провере сигурносних подешавања уређаја, које ће, надам се, ускоро бити имплементиране. Такође, тренутна заштита од phishing-а је најједноставнија могућа, па је треба унапредити. Тренутно, мислим да није довољно рађено на едукацијском аспекту који апликација треба да има, па се могу очекивати нове функционалности на том фронту. Постоји и идеја о повезивању са неким од сервиса за проверу потписа апликација на malware, али видећемо да ли је то у open source окружењу оствариво. Такође, отворени смо за идеје корисника и потенцијалних нових програмера.

ЛиБРЕ!: SeraphimDROID је пројекат отвореног кôда. Како му можемо помоћи?

Никола: Политика OWASP-а, самим тим и политика у овом пројекту, јесте да свако може да се прикључи. До сад није било много места за људе који нису програмери и свакако да је програмерска помоћ и даље остала најпотребнија. Међутим, откако је изашла прва верзија, наравно да има места и за друге професије (дизајн, маркетинг, итд.). Углавном, потребно је контактирати са мном и написати ми чиме бисте желели да допринесете. Идеје су такође добродошле. Мој e-mail можете наћи на пројектној страници (https://www.owasp.org/index.php/OWASP_SeraphimDroid_Project).

ЛиБРЕ!: OWASP Seraphimdroid апликација се бави заштитом приватности. Можеш ли дати додатне савете како се заштитити поред коришћења оваквих апликација?

Никола: Што се тиче безбедности, највећи број пропуста се дешава због људског фактора, односно, због незнања да нешто може бити опасно. Самим тим, најбоља заштита је едукација. Што се конкретно Android уређаја тиче, потребно је едуковати се везано за дозволе, шта која ради и како могу бити злоупотребљене. Такође, приступ Wi-Fi мрежама без заштите може бити јако опасан, јер било ко се може представити као router и читати ваш саобраћај, па тиме добити и приступ свим вашим налозима које користите у том тренутку. Наравно, могу да поновим и стандардну причу о лозинкама, које треба да буду јаке, односно да имају минимум седам или осам знакова, да садрже мала слова, велика слова, бројеве, специјалне знакове и крв девице (ок, шалим се за ово последње). Од губитка уређаја, па и података на њему, вероватно најбоља заштита је енкрипција. Потребно је осигурати се да су безбедносна подешавања подешена на одговарајући начин. Добар anti-malware software је такође један од фактора који може да допринесе.

За крај, захваљујемо се Николи што нам је изашао у сусрет и представио нашим читаоцима пројекат OWASP Seraphimdroid. Наставићемо и убудуће да пратимо његов рад.