На всеки етап от програмирането се работи с експерти по защитата, личните данни и отворен/затворен код, заяви Саймън Блекщайн, инженер по сигурността във Facebook
Инженерите на Facebook се чувстват отговорни за качеството и сигурността на кода, който пишат. Това, в съчетание с работата на огромен екип специалисти по сигурността и подкрепата на общността на „белите хакери”, позволява на голямата социална мрежа да защитава добре своите потребители, разказа Саймън Блекщайн, инженер по сигурността във Facebook.
Facebook се радва на милиарди логвания всеки ден. Социалната мрежа е интегрирана и с други популярни приложения и технологии – например Instagram, месинджъра на Facebook, VR системата Oculus и др. „Това води до невиждани досега ефекти – но и до голем предизвикателства”, каза Блекщайн по време на Четвъртия регионален форум по киберсигурност и киберпрестъпност за държавите от Югоизточна Европа, който започна днес в Интер Експо Център София, организиран от Международната академия за обучение по киберразследвания, ГДБОП и IDC България.
„Генерираме огромно количество код всеки ден. Инженерите ни се насърчават да пишат много, да се работят бързо, да доставя продуктите скоростно. Когато те се опитват да напишат нова функция – например поздрав за рождения ден на потребителя, то ние трябва да мислим за защитата на човека, за опазването на личните му данни, за предпазването на самите продукти”, сподели Блекщайн.
Динамиката е безпощадна – всяко парче код минава тестовете и заработва само в рамките на часове. Справянето, според Блекщайн, зависи от „самоподсилващ се” процес на защита, който обхваща целия жизнен цикъл на софтуера. Този процес е фокусиран върху самите инженери, които създават кода.
„Работим екипно – това е социална мрежа за приятели и ние самите сме приятели помежду си. На всеки етап от програмирането, от проектирането на архитектуратадо последния тест, се работи с експерти по защитата, по личните данни, по отворен/затворен код”, поясни Блекщайн.
Общността на „белите хакери” съдейства активно на Facebook. Тази общност е много голяма и много силна, според него. „Когато ние постоянно говорим за сигурността и за това как искаме да я подобрваме, ние даваме много възможности за потребителите, а белите хакери реагират на нашите послания, пишат ни, пращат ни страшно много информация”.
Най-честите проблеми със сигурността, които във Facebook наблюдава, са:
- инжекционни атаки HTML/SQL – инжектиране на код там, където трябва да има друго, например на мястото на картинка; кодът попада някъде, където не се очаква да го има; атаките от този вид са трудни за овладяване;
- CSRF (cross site request forgery) – позволява на друг сайт да изпраща заявка, „преструвайки се” на потребител; това се прави с цел финансова изгода и има разработени начини за трансфериране на пари;
- XSS (cross site scripting attacks) – атаки, при които един сайт кара друг сайт да изпълнява Javascript код.
Обичайната практика в развойните екипи на социалната мрежа е когато един инженер пише код, той да изпраща всеки завършен блок код за ревизия. Този код веднага преминава през проверка за основните правила за сигурност. На този етап се включват няколко специалисти по киберзащита, преглеждат кода и го връщат на инженера, като изискват промени.
„При нас всеки инженер се чувства част от фирмата. Ние им даваме чувството за собственост над това, което създават. Това ги прави отговорни към всеки ред, който пишат.Те се чувстват искрено отговорни за кода, който пишат”, подчерта Блекщайн.
FACEBOOK трябва да се забрани с закон!!!!!!!!!!!!!!!!!!!!