Ja przygotowuje się do kolejnej, 7 edycji konferencji CONFidence, a tutaj w Polsce pojawiają się kolejne imprezy. W kwietniu odbędzie się w Krakowie SEConference- bardzo ciekawa impreza Polska (Kraków będzie niebawem ochrzczony stolicą polskiego underground’u;-)- przynajmniej jeśli chodzi o imprezy.
Patrząc na prelegentów to ciekawie się zapowiada. Językiem wykładowym jest Polski. Patrząc 6 lat wstecz to znaczny postęp obserwujemy. Takie zmiany lubimy!
Od dłuższego czasu zastanawia mnie amerykańska kultura wymiany informacji na temat numerów kart kredytowych. Często spotykam się z propozycjami w stylu: wyślij mi swój numer karty kredytowej, a my obciążymy Twój rachunek… Zawsze wychodzę na paranoika mówiąc, że nie jestem zainteresowany takim realizowaniem transakcji. Co ciekawe zbliżona moda już od dawna w naszym kraju funkcjonuje, posłużę się przykładem hoteli polskich - tak, tak robimy konferencje i współpracujemy z hotelami.
Do rzeczy. Coraz częściej podczas rezerwowania noclegu hotele wymagają gwarancji w postaci zabezpieczenia transakcji numerem, skanem karty kredytowej z jednoczesną zgodą na obciążenie karty. I tu pojawia się pierwsze pytanie, w jaki sposób powyższe dane mają być dostarczone. Odpowiedź brzmi mail lub faks do recepcji hotelu. Praktyka powyższa zastanawia, bo nie mamy jakichkolwiek gwarancji co się z tymi danymi będzie działo. Rozważmy dwa scenariusze:
- Mail - znamy stan zabezpieczeń sieci hotelowych, a właściwie ich brak. Niejednokrotnie goście hotelowi (nawet restauracyjni) otrzymują dostęp do wspólnej sieci razem z personelem hotelu. Nie ma separacji, nie ma polityki bezpieczeństwa (naprawdę! czyżby hotele nie przechowywały danych osobowych i nie podlegają pod GIODO??;-), nic nie ma, a raczej jest wszystko w jednym worku no i jest Internet. Nie ma się co oszukiwać, dostęp do komputera recepcji Hotelu jest nago wystawiony na świat zewnętrzny (mam na myśli nie tylko “wyszukane” systemy hotelarskie:) ale również pocztę pracowników, którzy nie rozróżniają bit’u od bajt’u podając wielkość łącza w hotelu - nawet nie zauważą, że im komputer spowolnił, bo wysyła kopię poczty na świat.
- Faks - konwencjonalna technologia może być lepsza ale… nie jest. Dokument z kopia naszej karty kredytowej przechodzi przez xxx rąk, osób o często niewygórowanych zarobkach, które z przyjemnością ‘podgonią’ napiwki łatwym zyskiem.
No dobrze, jeśli już przekazaliśmy nasz numer karty, albo zostaliśmy do tego zmuszeni, to co możemy zrobić dalej jeśli zreflektujemy się i będziemy chcieli naprawić nasz błąd? Testowałem to w hotelu 4 gwiazdkowym, w Krakowie (Par* I**). Po zakończeniu konferencji, bardzo grzecznie poszedłem na spotkanie i poprosiłem o usunięcie bezpowrotne danych z poczty elektronicznej, z dokumentacji papierowej oraz o przedstawienie polityki bezpieczeństwa, która uspokoi moje obawy. Okazało się, że hotel nie posiada wspomnianych dokumentów ale zostałem zapewniony, że osbługa hotelu dba o bezpieczeństwo przechowywanych danych do tego stopnia, że wydruk karty gdzieś się zapodział… Wow. Jakoś mnie to nie uspokoiło. Mimo kilku próśb rozmowy z osobą kompetentną nie udało mi się nic sensownego ustalić - znaczy udało się, hotele w Polsce czują się bezkarne, nie posiadają podstawowych dokumentów związanych z bezpieczeństwem i czekają, aż ktoś skorzysta z ich rozbudowanych baz klientów. Podsumowując polecam ostrożność w kontaktach. Oczywiście nie zachęcam do wykorzystania słabości hotelu - to nie jest ambitne wyzwanie…
Organizowanie konferencji ma swoją wartość dodaną. Pojawia się duża ilość nowych znajomych, zawiązują się ciekawe przyjaźnie etc. Prawdopodobnie jest to również największa wartość dla uczestników, którzy na godzinnym wykładzie mogą otrzymać wskazówkę którą drogą podążać podczas opisywania problemu. Tyle tytułem wstępu…
Ja również z tej wartości dodanej korzystam. W ostatnim czasie miałem okazję rozmawiać z dwoma specjalistami z zakresu bezpieczeństwa IT w Polsce. Oboje dobrze znani ale z racji, że to były spotkania nieformalne nazwisk nie będę przytaczał. Rozmawialiśmy na temat aktualnego biznesu, firm, które wyszykują ‘tonami’ błędy w kolejnych aplikacjach (lub też w kolejnych wersjach), na temat BCP, DRP i innych ‘wielkich’ terminach związanych z bezpieczeństwem. Początkowo wyznawałem stanowisko, że to ma sens. Ale po przemyśleniu (uwaga, potrzebowałem na to miesiąca- sic!) zaczynam tracić wiarę. Znacznie łatwiej przyszło mi przyswojenie, że wszelkie BCP etc, gdzie nasza redundancja polega na postawieniu kolejnego pudełka, w tym samej lokalizacji i na przykład z powodu cięcia kosztów kilka firm korzysta z tego samego miejsca jest niewiele warta. Pierwsze lepsze trzęsienie ziemi lub jak powiedział mój rozmówca zasrana godzilla rozniesie wszystko w pył… O tyle większe wątpliwości miałem z wyszukiwaniem błędów w aplikacjach ale… właśnie jaki ma sens znajdowanie błędu w wersji 2.0.1.0.1 skoro za miesiąc pojawi się wersja 2.0.1.0.2 i to wszystko co poprawiliśmy jest bezużyteczne…. To nie moje słowa (niestety) ale w pełni oddają bezsens sekjurity biznes. Nie znaczy to bynajmniej, że nie szanuje pracy jaką wykonują ludzie, którzy znajdują błędy - ich wiedza jest naprawdę niesamowita, godna podziwu. Raczej zadaje sobie pytanie: jaki to ma sens w ujęciu długofalowym.
Z czego wynikają błędy. Najczęściej są winą błędów implementacji (również nie moje słowa), które wynikają z niewiedzy specjalistów (programistów, bezpieczników etc), którzy napompowani są powierzchowną wiedzą (a może wypompowani z wiedzy, bo wszystko w końcu można znaleźć w googlu)… Po tych rozmowach próbuję się odnaleźć i zastanawiam się od nowa jakie działania mają sens, próbując przebudować w swojej głowie środowisko i biznes…
Część z Was mam nadzieje pamięta występ Pavol Luptak z poprzedniego CONFidence, na którym wspominał o zagrożeniach związanych z zakupem biletów komunikacji miejskiej przez SMS. Pavol nie zaniechał testów i zajął się kartami RFID. Udało mu się dokładnie przebadać chipy Mifare. W ostatnim czasie udało mu się również przeanalizować=przełamać zabezpieczenia paszportów biometrycznych RFID opartych o NXP JCOP 41 72k (wykorzystywane na Słowacji, w Niemczech). Czy macie jakieś doświadczenia z naszymi paszportami? Jak to jest u nas zbudowane?
Agenda już jest dobrze znana. Mogą nastąpić pewne zmiany, na przykład dołożyłbym jeszcze dwa wykłady tylko zastanawiam się jak to zrobić, abyśmy wytrzymali w fotelach. Niezależnie od ewentualnych zmian to napiszcie mi co uważacie o aktualnej liście prelegentów? Czy wydaje Wam się równie, a może bardziej ciekawa niż poprzednia?
W przerwie między konferencjami mogę się dzielić doświadczeniami przy organizowaniu konferencji. Kto organizował doskonale wie ile jest z tym pracy, a kto nie ma takich doświadczeń nigdy nie zrozumie cyklu przed i po konferencyjnego. Moje obserwacje po 15 imprezach są takie, że najważniejszy jest zgrany zespół ludzi, którzy w dowolnej chwili mogą odpowiadać za dokończenie zadań kolegi/koleżanki. Mam przyjemność w takim zespole pracować, z doskonałymi współpracownikami. Przejdźmy do meritum. Co jakiś czas będę publikował mniej lub bardziej zabawne sytuacje, które miały miejsce podczas organizowanych przez nas konferencji. Rozpoczynamy od środy.
Ostatnie miesiące to głównie odpoczynek, podsumowania, wczasy, plany i podsumowania blablabla. Wypada wspomnieć, że były to również przygotowania do kolejnego spotkania operatorów sieciowych PLNOG oraz CONFidence edycja Warszawska. W ramach przygotowań byłem z naszym polsko-confidencowym namiotem na HAR. Impreze polecam. Duży ładunek energetyczny, możliwość rozmowy z różnej maści pasjonatami.
Poznałem wiele ciekawych osób, okazało się, że nie byłem jedynym Polakiem, razem z Jackiem i Markiem (dzięki za pomoc) rozbiliśmy Polską wioskę (pomagali nam jeszcze przypadkowi przechodnie - jak Sven (c-base) znajomi od światełek typu LED (zawodowi odpowiednicy wrocławskiego PIWA). W naszym living-room głównie rozmawialiśmy, graliśmy w WII (dzięki Adam za drugi kontroler;-), próbowaliśmy odpalić C64, próbowaliśmy się recoverować po nocy etc - było ciekawie. O imprezie, wykładach dużo można pisać, pewnie w wolnej chwili zrobię podsumowanie zbliżone do tego jakie można spotkać na polskich blogach o CONFidence ale jeszcze nie teraz, jeszcze nie teraz. Skrótowo powiem, że pierwszy wieczór zaczęliśmy od imprezy z NOC’nikami, a później się już potoczyło…. Dzięki Eli i Maćkowi impreza trwała do rana, a jak się skończyła każdy pewnie może się domyślić.
Zgodnie z obietnicą tutaj są dostępne prezentacje z większości wykładów CONFidence. Na pozostałe jeszcze czekamy. Tymczasem zapraszam do częstowania się wykładami…
Trzy zdania wytłumaczenia z milczenia po konferencji. W trakcie konferencji, a po niej szczególnie miałem problemy zdrowotne z najmłodszym dzieciakiem (spędziliśmy 2 tygodnie w szpitalu co okazało się traumatycznym przeżyciem dla dziecka i taty, czyli mnie). Patrząc na ogólny luz w szpitalu można do reszty osiwieć. Wyniki badań tragiczne, zwiastujące najgorszą diagnozę, a lekarze mają luz do potęgi typu USG trzeba zrobić, jest wtorek 9 rano, za późno. USG zrobimy, jutro dzisiaj trzeba poplotkować… Kto był, widział, wie jaka niemoc ogarnia człowieka. Aby doprecyzować nie byliśmy w szpitalu anonimowo - znaliśmy personalnie ordynatora i 3 lekarzy… Jednym słowem: żałość.
Ok, wracając do tematów, które Was mogą zainteresować. Mam wszystkie prezentacje i będą dostępne dzisiaj na stronie. Nagrania audio nie dotarły do nas z firmy, która nas obsługiwała. Podobnie z wideo. Dostaliśmy próbkę, na której pojawiają się głowy uczestników na wizji, co zakwestionowaliśmy i firma nabrała wody w usta - totalna cisza… Na pewno je odzyskamy ale może to jeszcze chwile potrwać! Ogólnie na dzisiaj i jutro szykujemy ostrą aktualizację materiałów, nie tylko CONFidence ale również PLNOG2, 4developers. Sieciowców zapraszam po PLNOG, a z 4developers szczególnie polecam ścieżkę zarządzanie projektami - każdemu z nas potrzebne - mnie szczególnie przypadła do gustu w kontekście projektu jakim jest organizowanie konferencji :)
Krótkie wyjaśnienie nieistniejącej strony konferencji o security, która odbędzie się w listopadzie w Warszawie. Strony nie było, bo ja z powodu problemów przed, w trakcie i po konferencji nie przygotowałem tekstów - kiepskie wytłumaczenie ale prawdziwe. Po wszystkim zdecydowałem, ze w Warszawie będzie raz w roku większy CONFidence 2.0:) - jest gdzie robić takie imprezy, a w Krakowie będziemy pewnie organizować bardziej kameralne, jednościeżkowe edycje (do 300 osób) - sala w knajpie miała kilka wad - CONFidence to nie EuSecWest na 40 osób… Co mogę zapewnić to, że postaramy się znowu ściągnąć kilka autorytetów i uzupełnić ich dobrymi prelekcjami z Polski i Europy wyłonionych na drodze CfP.
No i skończyło się… Nie odbyło się bez ran, rozczarowań (o tym kiedyś napisze), problemów no i co najgorsze nie mogłem w pełni uczestniczyć w imprezie ponieważ mój najmłodszy potomek się poważnie pochorował na kilka dni przed konferencją. Tymczasem cisza i pustka.
Co planuje:
- utworzyć forum - aby słuchać głosu uczestników
- wypromować CONFidence za granicą
- być może zmienić lokalizację
- przygotować listę speakerów na listopadowy event (ale to po ph)
Tymczasem apel do wszystkich - jak Wam się podobało, co Was rozczarowało, z czego nie byliście zadowoleni, a co było dobrym pomysłem - oprócz Tekkena:)
Dzięki zaangażowaniu kolegów z Koła Naukowego Kernel (dawno nam się tak dobrze nie współpracowało z organizacją studencką!) udało nam się zorganizować OWASP University Day, które odbędzie się 12 maja, godz. 14-18, w Auli U2, ul. Reymonta 7, w Krakowie. Nasza rola była w tym marginalna - załatwiliśmy prelegenta/prelegentów, a Kamil z koła naukowego ‘wychodził’ na uczelni resztę - no i mamy bezpłatne, techniczne spotkanie:)
Podczas spotkania rozdamy 5 bezpłatnych wejściówek na największą (tak, teraz mogę to powiedzieć, ilość uczestników zbliżona do smutnych gigaconów) w Polsce, niezależną od vendorów konferencje na temat bezpieczeństwa IT CONFidence. Kto jeszcze nie wykupił wejściówki, to już szans od poniedziałku mieć nie będzie…
Zapraszam serdecznie, wstęp bezpłatny!
