Fagdag med fokus på sikkerhet
På slutten av året, før julefreden senket seg, fikk vi i tradisjonen tro samlet troppene til litt faglig påfyll hos oss i Adventure Tech. Fagdagene er en mulighet til å senke skuldrene, lære noe nytt, og ha det litt moro på arbeidsplassen. Med et team spredt over Svolvær, Bergen og flere andre byer er det viktig å samles fysisk for å bygge bedre samhold og samarbeid.
Det går nesten ikke en uke uten at man kan lese om datainnbrudd og andre sikkerhetsproblemer i nyhetene. Som utviklere er det vår jobb å skrive sikre datasystemer som ivaretar brukernes personvern og informasjonssikkerhet. Selv om vi som utviklere fokuserer på sikkerhet er det mange fallgruver og lett å gjøre feil.
OWASP Top 10
Den beste måten å lære seg hvordan man beskytter seg mot datainnbrudd er å forsøke seg på noen teknikker selv. Det var duket for en OWASP Top 10 workshop og konkurranse med to flinke foredragsholdere fra sikkerhetsselskapet Mnemonic. Workshopen ble også sendt digitalt så de som ikke hadde anledning til å komme fysisk kunne delta.
Mnemonic startet workshopen med en rask gjennomgang av OWASP Top 10, en liste av de mest vanlige sårbarhetene i webapplikasjoner. Dette ble fulgt opp med en praktisk, anonymisert, historie om hvordan flere små sikkerhetsproblemer til sammen ledet til full administrativ tilgang til et B2B system.
OWASP Juice Shop
Juice Shop
Etter presentasjonene var det tid for den praktiske delen av workshopen. Nå skulle vi utviklere få ta på oss den hvite hatten, dele oss inn i lag og prøve å bryte oss inn i en fiktiv nettbutikk: Juice Shop. Dette er et nettbutikksystem utviklet av OWASP Foundation og de beskriver den selv som “probably the most modern and sophisticated insecure web application!”. Her var det om å gjøre å finne dårlige sikret informasjon, bryte seg inn i administrasjonsgrensesnittet, osv.
Etter noen timer med hektisk og morsom hacking ble vinnerne med flest poeng kåret og belønnet med heder og ære. Det var våre flinke Bilberry-utviklere Frederik Dauck og Roy Hansen som gikk av med seieren. På plass nummer to kom Blend-utviklerne Christian Pisani Thorvik, Ørjan Ertkjern og Snorre Magnus Davøen. Rett bak på en habil tredjeplass kom CTO Kjetil Bruvik og Blend-utvikler Alexander Castillo.
Dagen ble avsluttet med litt god mat og drikke på byen for å feire en vel gjennomført fagdag. Utviklerne som ikke nådde helt opp i hackekonkurransen fikk en ny anledning til å hevde seg over en uformell og hyggelig Shuffleboard-turnering.