Skroutz Secure Coding Sessions

Teams
Mar 11, 2024

Έχεις νιώσει ποτέ ότι ένας ιστότοπος online αγορών δε φαίνεται και τόσο ασφαλής και σε βάζει σε δεύτερη σκέψη πριν εισάγεις τα στοιχεία της κάρτας σου στο checkout;

Έχεις αναρωτηθεί ποτέ τι χρειάζεται για να γράψουμε κώδικα στο Skroutz, που όχι μόνο να είναι λειτουργικός αλλά να προσφέρει και τη μέγιστη ασφάλεια στον χρήστη; Σε έναν online κόσμο αγορών, όπου δε γνωρίζεις τι γίνεται στην άλλη άκρη του καλωδίου σου ή του Wi-Fi/4G/5G σου εμείς φροντίζουμε ποτέ να μη βρεθείς σε μια αντίστοιχη θέση. Σε μια online γειτονιά που ακούμε καθημερινά για hacks σε μεγάλες ή και παγκόσμιες εταιρείες, εμείς αποφεύγουμε περίτεχνα τα πρωτοσέλιδα. Πώς? Διοργανώνοντας  secure coding sessions για όλη την product engineering ομάδα του Skroutz. 

Πώς; Γιατί;

Η ομάδα του Skroutz, Application Security οργάνωσε 5 ολοήμερα Secure Coding Sessions για όλο το Product Engineering, με στόχο την εκπαίδευση των ανθρώπων που βρίσκονται καθημερινά πίσω από τη δημιουργία του αγαπημένου μας προϊόντος – του https://www.skroutz.gr.

Σκοπός αυτού; Να έρθουμε πιο κοντά σε πραγματικές ευπάθειες που έχουμε αντιμετωπίσει στον κώδικά μας τα τελευταία 2 έτη, να κατανοήσουμε το πώς και γιατί λειτουργούν, να δούμε ζωντανά πώς κάποιος/α επίδοξος/η hacker στοχοποιεί και εκμεταλλεύεται αυτές τις ευπάθειες, αλλά και πώς επιλύθηκαν (aka best practices).

Secure Coding sessions, the modules

Οι ενότητες των secure coding sessions

Το κάθε session χωρίστηκε σε 3 ενότητες:

  • Secure Coding: Skroutz Top 10 Vulnerabilities
  • From Theory to Practice: Hands-on Hacking Lab
  • Capture The Flag: Our Engineers are hacking

Στην πρώτη ενότητα εστιάσαμε σε θεωρητικό και πρακτικό επίπεδο στις 10 σημαντικότερες ευπάθειες που έχουμε “ξετρυπώσει” στο Skroutz, το αντίκτυπο που θα είχαν σε περίπτωση που κάποιος/α τις είχε εκμεταλλευτεί αναλύοντας παράλληλα τμήματα και ροή του κώδικα, καθώς και πώς τις ανακαλύψαμε αλλά και πώς “ξεριζώσαμε” τη ρίζα του προβλήματος.

Στη δεύτερη ενότητα μοιραστήκαμε τεχνικές και εργαλεία hacking ώστε να εκμεταλλευτούμε αυτές τις ευπάθειες και να αναπαράγουμε σενάρια τα οποία θα μπορούσαν να έχουν συμβεί και στην πραγματική μας ζωή. Τι θα μπορούσε να είχε συμβεί αν δεν είχαν επιλυθεί; Σενάρια διαρροής ευαίσθητων προσωπικών δεδομένων, εκτέλεσης κακόβουλου κώδικα, εγκατάστασης λογισμικού παρακολούθησης, απώλειας οικονομικών μεγεθών και ό,τι άλλο μπορείτε να φανταστείτε.

Στην τρίτη και τελευταία ενότητα “χρίσαμε” τους συμμετέχοντες ως νεογνούς επίδοξους hackers. Δόθηκε ένα set από 10 coding και hacking challenges σχετικό με όσα είχαμε ήδη δει και συζητήσει στις προηγούμενες ενότητες και μια ανταμοιβή στον/ην καλύτερο/η hacker του session. Δημιουργήσαμε μια πλατφόρμα για αυτό το σκοπό και ο κάθε παίκτης/τρια συνέλεξε πόντους για να ξεκλειδώσει το μυστικό κωδικό.

Secure Coding

Ποια η δική μας εμπειρία;

Τόσες πολλές ομάδες – Content, Marketplace, Mobile, Growth, Discovery, Partners, Kernel, Payments, Warehouse, SLM κ.ά – και τόσο πολλές διαφορετικές προσεγγίσεις, γνώσεις, ιδέες, αντιλήψεις, προβληματισμοί συναντήθηκαν στο classroom και μοιράστηκαν τη δική τους οπτική για όσα συζητήσαμε. Το κάθε session ήταν δυναμικό και η κάθε απορία μοναδική και από διαφορετική σκοπιά.

Κομμάτια γνώσης ενώθηκαν σαν παζλ για να χτίσουν το κοινό μας mission: Να έχουμε όλοι ένα ασφαλέστερο προϊόν και να είμαστε σε θέση να προσφέρουμε μια εξαιρετική εμπειρία στον χρήστη, σε κάθε αγορά.

Καταλάβαμε από πρώτο χέρι το πόσο σημαντικός είναι ο κώδικας που προστίθεται σε κάθε νέο feature και αποκτήσαμε τη γνώση για τη διασφάλιση της ακεραιότητας της κάθε αγοραστικής εμπειρίας. Οι συμμετέχοντες σίγουρα κοιμούνται πλέον νιώθοντας πιο ασφαλείς.

Η αγαπημένη μας στιγμή; Όταν ζητήθηκε παραπάνω χρόνος στα hacking challenges, ενώ φτάσαμε να ξεπεράσουμε τις 5 ώρες ανά session.

Το feedback που λάβαμε; Όλοι (μα όλοι) θα συνιστούσαν αυτό το session σε developers και engineers. That’s a big win! 

Η αγαπημένη μας στιγμή; Όταν ζητήθηκε παραπάνω χρόνος στα hacking challenges, ενώ φτάσαμε να ξεπεράσουμε τις 5 ώρες ανά session.

Τι θα δούμε παρακάτω;

Καθώς συμβουλευόμαστε τη μαγική μας σφαίρα που μας παρέχει διορατικότητα στον μαγικό κόσμο του κώδικα λαμβάνουμε λέξεις και φράσεις όπως Android, iOS, Social Engineering, Infrastructure και Cloud Security. Δεν είναι απλά περαστικές έννοιες, αλλά το όχημά μας για επόμενα Training sessions.

Οι hackers δεν είναι μάγοι/ισσες και αρκεί μόνο να γνωρίζεις τι κρύβεται πίσω από τα κόλπα τους για να τους καταρρίψεις. Και εμείς είμαστε εδώ για να το κάνουμε πράξη! 

Γιώργος Τσιγκουράκος 

Ο Γιώργος είναι Application Security Team Leader της Skroutz. Ξεκίνησε ως Developer και Full Stack Engineer τα πρώτα 5 χρόνια της καριέρας του, περνώντας από διάφορες γλώσσες προγραμματισμού και τεχνολογίες, ώστε να καταλήξει στο γεγονός ότι τελικά του αρέσει να αποδομεί τον κώδικα αντί να τον κατασκευάζει.Μετά τις προπτυχιακές σπουδές του στο τμήμα Πληροφορικής και Τηλεπικοινωνιών του Καποδιστριακού Πανεπιστημίου Αθηνών, αλλά και τις μεταπτυχιακές του στην Ασφάλεια Πληροφοριακών Συστημάτων του Οικονομικού Πανεπιστημίου Αθηνών, αποφάσισε ότι θα ακολουθήσει μια διαφορετική πορεία.

Πριν αλλάξει την καριέρα του προς το Cyber Security αποφάσισε ότι θα εξειδικευτεί σε αυτό αποκτώντας 6 ισχυρές πιστοποιήσεις όπως Offensive Security Certified Professional (OSCP), Wireless Professional (OSWP) & Web Expert (OSWE) αλλά είναι και στους top 160 Certified Information Systems Security Professionals (CISSP) της Ελλάδος – και προσεχώς κυνηγάει την επόμενη πιστοποίηση.Τα τελευταία 5 χρόνια εργάζεται στον τομέα του Cyber Security, ξεκινώντας ως Information Security Engineer στον Ασφαλιστικό όμιλο Ευρωπαϊκή Πίστη / Allianz και αρχές του 2021 ήρθε στην ομάδα της Skroutz ως Security Engineer και εν συνεχεία ως Team Leader.

Σχετικά Άρθρα
Skroutz-Εφαρμόζοντας αρχές και μεθοδολογίες Product Management στην People Operations ομάδα
Career
Jun 10, 2024

Εφαρμόζοντας αρχές και μεθοδολογίες Product Management στην People Operations ομάδα

Στη διαδρομή της προσωπικής και επαγγελματικής εξέλιξης, έρχεται συχνά αυτή η στιγμή που συνειδητοποιούμε την ανάγκη για αλλαγή, την επιθυμία να καταρρίψουμε παλιές συνήθειες και να αγκαλιάσουμε νέες προοπτικές.
Skroutz-6 years in 500…ish words
Career
Apr 9, 2024

6 years in 500…ish words

Όλα ξεκίνησαν τον Φεβρουάριο του 2018, στα ευάερα και ευήλια open space γραφεία του Skroutz στην Νέα Ιωνία με τον λαχταριστό πρωινό μπουφέ, τότε ακόμη που η εταιρεία μετρούσε γύρω στα 140 άτομα.
Skroutz-Operational Excellence:  H Skroutz συνταγή
Marketplace
Feb 7, 2024

Operational Excellence: H Skroutz συνταγή

Οι Αξίες και οι Αρχές είναι το DNA της κάθε εταιρείας, τα βασικά εκείνα στοιχεία στα οποία θα βασιστούν - αργά ή γρήγορα - όλοι οι κανόνες, οι συμπεριφορές, οι αποφάσεις και οι ενέργειες της.
Όλα τα άρθρα