ta dyskusja toczy się od dłuższego czasu. kto zapłaci za dziury w sofcie? do tej pory z reguły mówiło się trudno i żyło się dalej, zwykle żądając dodatkowych pieniędzy, żeby problemy spowodowane przez wadliwe oprogramowanie dodatkowo załatać. powoli oprogramowanie zaczyna jeździć samochodami. samo. i trzeba zacząć rozwiązywać trudne problemy. na razie liczba opcji jest prosta do wyobrażenia. a co będzie za 10 lat?
…przeczytałem właśnie krótki wywiad z Matem Prince’m, który jest jednym z założycieli CloudFlare. w jego odpowiedziach zwróciłem uwagę na dwie rzeczy - że lubi opowieści, a to sprawdzony sposób, żeby ludzie zapamiętali, co do nich mówimy. po drugie, jest skromny, ale pokazuje jedną ważną rzecz - w CloudFlare, dzięki skupieniu na jednym zadaniu, robią lepiej wiele rzeczy związanych z infrastrukturą, niż potężni tego świata - w szczególności Amazon i Google. esencjalizm once again. i storytelling. ...
wywiad z Michaelem Haydenem, byłym szefem NSA o tym jakim zagrożeniem stało się Blackberry (oraz jak to było ze słuchaniem rozmów Angeli Merkel), na jakiej zasadzie uważa, że NSA może czytać komunikację obywateli USA, że Izraelczycy byli na tyle uprzywilejowani, że mogli wnosić do siedziby NSA swoje laptopy i komórki i wiele innych stwierdzeń. z drugiej strony - rekomendacje przygotowane dla prezydenta Obamy. przy okazji okazuje się, że w grupie roboczej IETF zajmującej się kryptografią, siedzi pracownik NSA, który w dodatku zachowuje się nieco dziwnie i rzuca pomysły lekko amatorskie - specjalnie? krzywe eliptyczne, tak ostatnio źle komentowane, znowu w świetle reflektorów - błąd w generatorze liczb losowych OpenSSL, rzuca nowe światło na to, co właściwie testuje się dla zgodności z FIPS 140-2. dyskusja czy lepiej mieć 384GB czy 768GB w serwerze. no i w końcu Apple, realizujące konsekwentnie strategię ograniczonej dostępności dóbr - ludzie rzucają się na nowe Maci Pro, produkowane w USA, jak gdyby ich sprzętowa konfiguracja była czymś niesamowicie rewolucyjnym. nie jest. ...
…ostatnio zaimplementował też twitter. i bardzo dobrze. zachęcam do zakładania u siebie. ja właśnie kupuje sobie certyfikaty…
bardzo ciekawe badanie wykonane w dobrej wierze na tysiącach elementów sieciowych. polecam pociągnięcie 596GB danych i przejrzenie ich, lub choćby rzucenie okiem na mapkę hostów - Polska jest wyraźnie widoczna. o czym to świadczy nie muszę mówić.
bardzo miłe spotkanie. dziękuje wszystkim, którzy przybyli, zadawali pytania i organizatorom, którzy zaopiekowali się mną na miejscu :) mam nadzieję, że to co pokazałem i to o czym rozmawialiśmy wydało się Wam ciekawe. materiały jak zwykle w sekcji prezentacje. do zobaczenia… wkrótce?
od 14 do 21 kwietnia w Krakowie odbywać się będzie czwarta edycja otwartych szkoleń i prelekcji związanych z bezpieczeństwem - KrakYourNet. zostałem zaproszony, żeby opowiedzieć coś “na temat”, w związku z tym pojawię się 14’ego kwietnia i opowiem trochę o bezpieczeństwie sieci IPv6 oraz sieci operatorskich. ponieważ będę na miejscu całe popołudnie, tematy możemy potraktować jako wyjściowe do dyskusji - jeśli tylko obecni będą zainteresowani interakcją :) do zobaczenia za tydzień w Krakowie! ...
…najprościej to zablokować - tak zrobi Pakistan, blokując swoim użytkownikom możliwość korzystania z sieci VPN. oczywiście sprawa nie jest prosta, ponieważ z jednej strony kochamy prywatność, z drugiej strony czasami faktycznie dobrze byłoby móc bardzo szybko ustalić kto i co przesyłał w swojej sieci aby zatrzymać wszelkiego rodzaju zwyrodnialców i oczywiście (jakże to teraz popularne i mocno nadużywane słowo) - terrorystów. może to ciekawy temat do publicznej dyskusji? np. na najbliższym CONFidence? ...
CONFidence 2010 właśnie się kończy, w imprezie znacząco nazwanej ‘game over’. miałem przyjemność uczestniczyć i nawet opowiedzieć o bezpieczeństwie IPv6 (prezentacja znajduje się w dziale prezentacje). małe podsumowanie sesji na których byłem: Jak poznałem Twoją dziewczynę - nie można było pozbyć się ciągłego wrażenia że sesja jest nastawiona bardziej na autoreklamę niż coś rewolucyjnego, tym bardziej że część demonstrowanych technik miała bardzo dyskusyjną skuteczność, ale nienajgorzej się tego słuchało - chodziło o to jak w serwisach typu FaceBook podszywać się pod znajomych znajomych 2010 – rok exploitów - dobra sesja sponsora CONFidence, rzeczowo podsumowująca to co się działo w 2010 roku Lockpicking - niestety nie byłem, ale zarówno sesja jak i późniejszy konkurs na 'rozkuwanie się w parze' zrobił furorę na CONFidence Dev and blind - nieco hermetyczna sesja, ale pare dosyć ciekawych uwag co do współpracy pomiędzy developerami i ludźmi od bezpieczeństwa i testów penetracyjnych Zarządzanie serwerem z użyciem DSSH - podobnie jak poprzednia, bardzo konkretnie adresująca jeden konkretny problem z którym zmierzyła się popularna w Czechach firma integratorska Nowe podatności w masowo wykorzystywanych technologiach - co ciekawe, Pavol nie pokazał nic nowego, ale to co pokazywał i tak było imponujące - od "w biegu" łamanego RFID w układach stosowanych w transporcie publicznym (również naszym, polskim), po łamanie szyfrowania A5/1 i A5/3 (gdy rozpoczną się wdrożenia LTE w końcu będzie można korzystać z IPsec zestawianych per-rozmowa, a nie zamkniętych schematach szyfrowania które mimo skompromitowania są uznawane przez operatorów za wystarczające) Odkryce i wizualizacja protokołów sieciowych za pomocą narzędzi do wyrównywania sekwencji biologicznych - ciekawe badania kolegow z PCSS, niestety zabrakło mi jakoś jasnego wytłumaczenia do czego to konkretnie ma służyć oprócz zadania, które prowadzący przedstawił na początku (badania transmisji z zamkniętego oprogramowania do otwartej biblioteki dostarczonej przez twórcę tegoż oprogramowania) Łamanie aplikacji w środowiskach z dzielonym hostingiem - prosta demonstracja jak można się podszywać za kogoś innego w środowiskach gdzie PHP jest współdzielone pomiędzy wieloma użytkownikami w ramach systemu operacyjnego, lub twórcy kodu przepisują go wprost z popularnych książek - żadna rewelacja, ale z demem pokazane co i jak Ukierunkowane ataki - od bycia ofiarą do kontrataku - świetna sesja Andrzeja Dereszowskiego, który pokazał jak można zaatakować 'exploitującego' - a dokładniej platformę Poison Ivy i przejąc kontrolę, prowadzić monitoring, etc. bez wiedzy 'właściciela botnetu' - naprawdę coś co warto obejrzeć, parę miesięcy pracy i świetny rezultat - tylko pogratulować! Paranoja czy zawyżone standardy bezpieczeństwa - Tomas na pewno miał jakiś pomysł na tą sesję, ale wyraźnie przeszkadzała konieczność mówienia po angielsku, mijanie się z faktami (i to dosyć rażące) w paru miejscach oraz zakończenie sesji 30 minut przed czasem - zdezorientowało to uczestników :) parę ciekawych choć nierealnych (wytknięte przez Nicka Nikiforakiska 'jedno główne hasło' ośmieszało nieco stwierdzenie o 'paranoicznym' bezpieczeństwie...) pomysłów... cóż, na pewno można to przedstawić lepiej i w sposób bardziej przemyślany następnym razem ...i tutaj opis się urywa. po poprowadzeniu swojej sesji o IPv6 (ciekaw jestem czy ktoś kto czyta ten blog był i może jakoś skomentować?) musiałem uciekać na samolot. bardzo ciekawie zapowiadała się sesja Dmitryja Skylarova o łamaniu podpisów w zdjęciach wykonywanych aparatami Canona - ale mam nadzieję na wideo. prezentacje i materiały powinny być dostępne na stronie konferencji wkrótce.
na najbliższej edycji konferencji CONFidence, która odywać się będzie wyjątkowo w Pradze, opowiem troszkę ale ze szczegółami o bezpieczeństwie i niebezpieczeństwie związanym z tym jak obecnie IPv6 wdraża się w sieciach i co to dla nas, przeciętnych zjadaczy chleba, oznacza. będzie to swoją drogą również podsumowanie doświadczeń z paru konferencji na których uruchamialiśmy IPv6. do zobaczenia w Pradze!