Archiwum kategorii: InfoSec

Ataki Sieciowe 2014 – relacja

Nie ma co ukrywać – lubię konferencje IT. A już zwłaszcza takie, z których mogę dowiedzieć się czegoś na temat nowych, nieznanych mi jeszcze tematów. Ogólnie mam zasubksrybowaną właściwie każdą większa firmę szkoleniową w nadziej na to, że podeśle jakiś skrawek informacji o przeprowadzonych konferencjach, webinariach, prezentacjach, szkoleniach, warsztatach itp. itd. Staram się być na bieżąco i wydawało mi się, że nic większego mnie raczej nie może ominąć, aż tu nie dalej jak w czwartek 20.03.2014 doszła do mnie wiadomość o organizowanej w moim rodzinnym mieście konferencji z tematu, który mnie ostatnio bardzo zainteresował – mianowicie InfoSec. W tej chwili nie pamiętam już nawet skąd się o niej dowiedziałem, ale ktoś musiał puścić farbę albo na twitterze, albo przez rss. W sumie nieważne. Szybki przelew, wysłanie potwierdzenia do UMK, równie szybka odpowiedź potwierdzająca otrzymany mail i dwa dni wolne od pracy gwarantowane mogę iść się dokształcać – i to na koszt pracodawcy.

Dzień pierwszy przywitał mnie małym chaosem organizacyjnym, chociaż podejrzewam, że największy wpływ na to miało zatrzęsienie studentów (w większości płci żeńskiej – tak przynajmniej mi się rzuciło w oczy…) kręcących się dookoła. Przebrnąwszy rejestrację gdzie szalały Panie, które później prowadziły konferencję, rozsiadłem się w końcu na środku sali w szalenie niewygodnych ławkach (jak Wy możecie w tym siedzieć przez tyle godzin wykładów?!). Później mówią, że ta młodzież krzywa od komputerów i od tornistrów. Nie! Od ławek!

Dzień pierwszy składał się z następujących wykładów:

1. Otwarcie 

2. W kierunku ratyfikacji konwencji o cyberprzestępczości, gdzie Pan z Ministerstwa Sprawiedliwości tłumaczył się dlaczego Polska nie ratyfikowała jeszcze jakiejś konwencji, czy tam uchwały, czy jakiejś innego świstka papieru w którym deklarowałaby, że nie będzie wojowała na polu cyfrowym. Tłumaczył to tym, że ciągle nad tym ciężko pracują i już, już niedługo będzie finalna wersja. Nikt mu nie uwierzył.

3. eDiscovery dla polskich prawników – gdzie przedstawiciel Stowarzyszenia Instytut Informatyki Śledczej (nigdy nie słyszałem, ale jestem w tym nowy) atakował radcę prawnego z poprzedniego punktu. Samemu oprogramowaniu muszę się przyjrzeć bliżej, może być ciekawe z punktu widzenia IT forensics.

4. Dopuszczalność monitorowania pracowników w miejscu pracy – ogólnie wyniknęło z tego, że pracodawca może, ale… nie może. To znaczy może śledzić – ale tylko pod warunkiem, że: 1) powiadomi o tym pracownika oraz 2) śledzi tylko w ograniczonym zakresie. Tyle przynajmniej zrozumiałem z przekazu profesora, który dawał do zrozumienia, że nasze przepisy w tej kwestii są cholernie niejasne i nie dość precyzyjne. Ogólnie Pan radca z Ministerstwa Sprawiedliwości w tym momencie już praktycznie zapadał się pod fotel.

5. Poradnik przedsiębiorcy: jak postępować z konsumentem w cyberprzestrzeni – jeden z tych wykładów, o których zapomina się tego samego dnia.

6. Bezpieczeństwo informacji – zagrożenia fizyczne i środowiskowe. Pominięte, zapomniane, czy niedoceniane? – jedno z lepszych wystąpień podczas konferencji. Facet mówił do rzeczy, składnie i na temat, nie wdając się w prawne dyrdymały. Jedyne co raziło to wtrętki techniczne mówiące „patrzcie jak się dobrze znam” o pentestach. Ludzie, którzy są odpowiedzialni w firmach za bezpieczeństwo wiedzą o takich formach ataku, ludzie startujący w InfoSecu również, a laicy i tak nie zrozumieją.

7. Prawne i praktyczne konsekwencje braku systemowego podejścia do bezpieczeństwa informacji – case study – Pan adwokat przedstawił kilka case’ów z życia jeśli chodzi o skutki ataków. Jak to z case’ami bywa – w połowę nie uwierzyłem, a przy drugiej połowie kiwałem potwierdzająco głową na głupotę brak ostrożności kadry kierowniczej w firmach.

8. Przerwa obiadowa – ostatni raz tak spreparowane mięso jadłem w podstawówce w latach 90-tych. I to nie jest wada!

9. Prywatyzacja sfery publicznej a prawa uczestników internetowych dyskursów – temat mało dla mnie interesujący. Ogólnie wyszło na to, ze nie można obrzucać łajnem ludzi w internecie bo Cię znajdą i oskarżą, no chyba że użyjesz Tora, to wtedy Cię nie znajdą, bo Policja nie ma takich środków.

10. Trojany bankowe w Polsce – chyba najlepszy występ z całej konferencji. Jak się zacząłem kręcić wokół InfoSecu kilka miesięcy temu, to szybko wpadłem na trop Cert Polska i nie za bardzo wiedziałem do czego właściwie zostali powołani. Teraz już wiem. Widać było ogromną wiedzę merytoryczną wykładowcy i łatwość w przekazywaniu materiału. O niektórych typach ataków sam nie wiedziałem (cholera, tyle już wiem, ale jeszcze więcej nie wiem – motto mojego życia.).

11. Ataki DDoS na Grupę Allegro w 2013 roku oraz współpraca z organami ścigania przy ich zwalczaniu. – temat ciekawy, ale moim zdaniem niezbyt dobrze podany. Spodziewałem się nieco więcej informacji technicznych, chociaż sama nazwa wykładu wskazuje o czym to będzie. No i było – o współpracy z organami ścigania. Szkoda, że nie było więcej technicznego mięsa – skąd były ataki? Jakiej wielkości? Czy wiedzą jak atakujący zorganizował atak? Jakie były konsekwencja prawne dla atakującego?

12. Zgłaszanie i klasyfikacja zgłaszania naruszeń danych osobowych – niestety ten wykład mnie ominął dzięki rozgadanej kadrze profesorskiej i ich ciągłym pytaniom i dyskursom na tematy prawne.

Dzień drugi:

1. Czym jest darknet? Prawo i ciemniejsza strona sieci  – jak sam autor wspomniał na początku zostały omówione podstawy (niestety). Jako, ze z TOR-em nawiązałem już wcześniej bliższe stosunki, to nie było tu zbyt wiele nowych informacji dla mnie, wyjątkiem: i2p.

2. Słów kilka o technicznej stronie TOR – jedno jest pewne: prelegent nie jest rodzonym mówcą, co nie przeszkadza mu być doskonałym znawcą tematu. Widać, że wiedzę ma, ale jest kłopot z jej przekazaniem. Niemniej jednak jeśli będzie częściej występował na takich imprezach, to z pewnością rozwinie swe umiejętności oratorskie. Póki co polecam darmowy kurs na edX: Introduction to public speaking. Aha, no i było za krótko i za mało szczegółowo! (założę się, że ci wszyscy prawnicy uznali to za najnudniejszą część konferencji z powodu zbyt dużej ilości technologicznego bełkotu).

3. Co tak na prawdę ukrywa TOR? – naprawdę napisali „na prawdę” w agendzie? 😀 W każdym razie autor omówił kilka stron z darknetu. Poza instrukcją(?) dla nekrofilów nie było tam dla mnie nic nowego czy odkrywczego. Swoją drogą to zarówno Pan z poprzedniego wykładu, jak i tego, studiują w Wyższej Szkole Policji w Szczytnie, ale już chyba bardziej się od siebie różnić nie mogą. Ten pierwszy powolny, statyczny, ważący słowa i niepewny siebie. Ten drugi barczysty, szybki i wypowiadający jakieś 100 słów na sekundę. Cóż, chyba mają tam różne specjalizacje.

4. O Silk Road i nie tylko, tematyka handlu narkotykami w sieci TOR – Temat był mi znany już wcześniej, więc nic nowego się nie dowiedziałem.

5. Handel kartami płatniczymi w polskojęzycznej sieci darknet – jeśli ktoś nie wiedział gdzie kupić karty, jak wykorzystać słupy do zakupu towaru z Allegro i w czym najlepiej sprawdzają się paczkomaty to teraz już wie 😉

6. Aktywność grup pedofilskich w sieci TOR
7. Ściganie przestępstwa pornografii dziecięcej w sieci Internet
8. Kryptografia kwantowa
9. Wyszukiwarki internetowa a ochrona danych osobowych – zagadnienia wybrane
10. Umieszczanie plików w chmurze obliczeniowej a ochrona danych osobowych
11. Wpływ Systemów Zarządzania Bezpieczeństwem Informacji na rozwój rynku usług w chmurze (cloud computing)

Na wykładach 6-11 nie byłem, w końcu trzeba też czasami popracować. Z mojego punktu widzenia żałuję tylko nieobecności na 9., 10. oraz 11. Dodałbym jeszcze 8., ale co można powiedzieć o kryptografii kwantowej w 15 minut?

Co mi się nie podobało:

1. Reprezentuję sektor firm prywatnych, więc tematy związane z prawem były dla mnie totalnie nieinteresujące. Oczywiście rozumiem, że to Wydział Prawa i w ogóle, niemniej jednak te dysputy na temat wyższości jednej formy prawnej nad drugą, zwłaszcza w wykonaniu kadry profesorskiej był dla mnie niezwykle nużący (obserwacja własna: im starszy członek wydziału, tym nudniej rozprawiał). Nie wspomnę o tym, że owe dysputy (ktoś tego w ogóle słuchał? tak rozciągnęły imprezę w dniu pierwszym, że zakończyła się bodajże z 1,5 h opóźnieniem – rzecz moim zdaniem niedopuszczalna na tego typu konferencjach – chociaż z drugiej strony rozumiem, że ciężko było dzwonić dzwonkiem na swojego profesora, by szybciej formułował swoje myśli. Na przyszłość chyba lepiej byłoby podzielić konferencję na dwa osobne tematy:
– prawną (tutaj trafiają wszystkie wykłady o stronie prawnej cyberprzestępczości). Na sali tłumy prawników, adwokatów, radców prawnych i pół Wydziału Prawa. Zaczynacie o 8 rano, kończycie o 22, bo prodesorowie wdają się w dysputy.
– technologiczną (tutaj trafiają ludzie z branży InfoSec, przedstawiciele firm oraz studenci i pasjonaci informatyki) – zaczynamy o 8, kończymy o 16, bo umiemy się trzymać ram czasowych. Każdy wykład trwa minimum pół godziny, aby wyjaśnić wszystkie techniczne zagadnienia.

Ta uwaga odnosi się zwłaszcza do dnia drugiego konferencji. W sposób w jaki to było zrobione każe mi przypuszczać, że wśród organizatorów są dwie grupy ludzi: pierwsi bardziej lubią tematykę InfoSec, drudzy bardziej opowiadają się za prawem. Aby wszyscy mogli się wypowiedzieć wrzuciliście to wszystko do jednego kotła i daliście każdemu po 15 minut, aby jak najwięcej z Was mogło się zaprezentować. I wszystko fajnie, tylko skończyło się na tym, że ludzie techniczni (jak ja) chcieliby poznać więcej szczegółów technicznych, a zapewne ludzi od prawa tych dotyczących prawa. A może po prostu studenci mieli jakieś zaliczenie do zrobienia i do tego służył im drugi dzień konferencji. Nie wiem.

2. Niektóre wykłady były szalenie krótkie, jakby to powiedział Jerzy Engel. Wynika to głównie z faktu, że było ich chyba za dużo. Mnie oczywiście nie za bardzo interesowały tematy o pedofilii czy Silk Road, bo zdaje się że tę historię już wszyscy znają.

3. Prezentacja ataku na sieć. Nie wiem czy to było ustawione, czy nie – ciężko mi powiedzieć patrząc na to z boku. Niemniej jednak wyszło fatalnie zważywszy na fakt, że następnego dnia zpwnował organizatorów pewien Pan „z sektora bankowego” zmuszając niejako organizatorów do przyznania się do łamania prawa. Na Wydziale Prawa, ha! PWNED! Na szczęście Pan Mazur wybrnął z całej sytuacji z zimną krwią – widać zadatki na dobrego lawyera. Ale ogólnie – wyszło fatalnie. Naprawdę nie należy się takimi umiejętnościami chwalić, następnym razem może się to skończyć fatalnie.

Czego mi zabrakło:

1. Cyberwarfare – temat absolutnie na fali, zwłaszcza przy ostatnich poczynaniach Rosji wobec Ukrainy, czy wcześniej Estonii. O NSA i szpiegowaniu A. Merkel, czy robakach w irańskich elektrowniach już nawet nie wspomnę. To naprawdę duży temat w mekce InfoSec, czyli USA. A jak wiadomo Europa jest 100 lat za nimi, a my sto lat za Europą, więc niedługo i do nas to dojdzie, o ile już się nie dzieje. W końcu mamy swój plan obrony cyberprzestrzeni, no nie? 😉

2.  Prywatność, a działania służb specjalnych – no, tutaj można by zrobić cała konferencję poświęconą NSA oraz przeciekom Snowdena. A na konferencji chętnie posłuchałbym o ewentualnymi skutkach prawnych dla „zwykłych” ludzi w Polsce. Na przykład niebezpiecznik.pl ma ten swój cykl artykułów o tym co może zrobić w domu Policja w kontekście cyberprzestępczości. Kto wie, może Pan z Ministerstwa Sprawiedliwości wziąłby w końcu uwagi Wydziału Prawnego UMK na poważnie przy przepisywaniu kolejnej konwencji? <haha>

Trzy rzeczy, których nie wiedziałem przed imprezą, a które już teraz wiem:

– jest coś nowego, co ma zastąpić Tor Project i nazywa się I2P

– nigdy nie pisz na telefonie gdy filmuje Cię ekipa telewizyjna, bo wyglądasz jakbyś spał zamiast słuchać

– przez studentów jestem zaliczany już do ludzi >30, a więc „tych starych, co to używają karty bankomatowej tylko do wyjmowania pieniędzy z bankomatu” – szczerze się uśmiałem – pozdrawiam Pana Daniela 😉

Podsumowując: impreza była udana, a zważywszy na niską cenę za udział (100 zł), sprawną organizację, mięso jak ze Szkoły Podstawowej z lat 90-tych oraz chroniczny brak podobnych imprez w kujawsko-pomorskim, jestem bardzo zadowolony i za rok z pewnością również się wybiorę.