Powiew świeżości
1 grudnia 2018 odbyła się pierwsza edycja konferencji „What The H@ck” organizowanej przez znany w branży cyberbezpieczeństwa portal ZaufanaTrzeciaStrona.pl. Impreza zapowiadała się bardzo obiecująco. Do udziału zachęcała duża ilość ścieżek tematycznych oraz prelegentów, których w branży wszyscy znają i cenią. Do tego niska, jak na konferencję z dziedziny security cena biletów i przypadający na sobotę termin, dzięki któremu udział w wydarzeniu nie krzyżował żadnych planów służbowych.
Konferencja zapowiadająca się na najciekawszą i największą w branży nie mogła zatem umknąć mojej uwadze. Postanowiłem zamówić bilet VIP gwarantujący miejsce siedzące w pierwszych rzędach na każdej z wybranych prelekcji. Z obszernej agendy wybrałem prawie wszystkie wystąpienia w ramach ścieżki głównej zachęcony gronem prelegentów, wśród których znalazły się znane ze swoich wystąpień postacie, m.in. Paula Januszkiewicz (CQURE), Piotr Konieczny (Niebezpiecznik.pl), Michał Sajdak (Sekurak.pl), Adam Haertle (ZaufanaTrzeciaStrona.pl).
Zaczęło się
Mimo, iż drogę z Poznania pokonałem wyjątkowo sprawnie i na miejsce przybyłem przed czasem na wejściu spotkał mnie już niemały tłum i konieczność oczekiwania na odbiór pakietu w krótkiej kolejce. W holu, gdzie swoje stanowiska prezentowali partnerzy konferencji tłok był taki, że trudno było się poruszać. Pierwsza nauka, którą powinni wynieść organizatorzy przed kolejnymi edycjami to konieczność doboru większego obiektu na potrzeby organizacji konferencji. Zainteresowanie imprezą przerosło chyba oczekiwania wszystkich. Dało się to odczuć nie tylko przy rejestracji, ale również przy przemieszczaniu się pomiędzy salami i próbach znalezienia wolnego miejsca. Ten ostatni problem na szczęście mnie nie dotyczył, gdyż jak wspomniałem wcześniej zaopatrzyłem się w wejściówkę VIP. Dzięki niej zająłem miejsce w 2. rzędzie, a dwóch panów siedzących tuż przede mną okazało się później gośćmi specjalnymi w osobach Marka Zagórskiego (Minister Cyfryzacji) oraz Tomasza Zdzikota (Wiceminister Obrony Narodowej). Mimo to jednak z niespodzianką spotkałem się przy obiedzie, gdzie do wyboru pozostała mi jedynie pizza. Okazało się to jednak zbawienne, gdyż niemożliwym było znaleźć kawałek stolika, przy którym można by skonsumować posiłek wymagający użycia sztućców. To tyle marudzenia. Jak na pierwszą edycję tak dużej imprezy organizację należy uznać za udaną a drobne niedociągnięcia na pewno zostaną wyeliminowane w przyszłości.
Wystąpienia
Pozwolę sobie na krótkie streszczenie wystąpień, na które najbardziej oczekiwałem. Na pierwszy ogień pójdzie Piotr Konieczny (Niebezpiecznik.pl). Po tym wystąpieniu szczerze mówiąc spodziewałem się nieco więcej. Piotr przedstawił, co prawda efektowną i wzbudzającą żywiołowe reakcje publiczności prezentację, jednakże o mało odkrywczej, jak na konferencję z branży bezpieczeństwa treści. Skupił się w niej na mitach dotyczących m.in. ryzyka związanego z płatnościami internetowymi oraz zbliżeniowymi i przejmowaniem kamer w laptopach. Konkluzją wystąpienia było stwierdzenie, że w bezpieczeństwie często przykładamy wagę do kwestii, które tylko z pozoru są istotne, a moglibyśmy osiągnąć dużo lepsze efekty mniejszym nakładem pracy gdybyśmy skupili się na rzeczach najważniejszych. W swoje wystąpienie Piotr wplótł kilka efektownych tricków socjotechnicznych udowadniając tym samym, że nawet specjaliści od bezpieczeństwa mogą dać się zwieść. Wystąpienie było na pewno ciekawe i efektowne, ale czy ludziom z branży dało jakąś wartość? Moim zdaniem nadawało się bardziej na konferencję o tematyce bardziej ogólnej (IT, Internet, finanse, bankowość). Spotkałem się kilka razy z określeniem, że „Niebezpiecznik” to taki pudelek dla informatyków. Ale to właśnie dzięki temu, że ten pudelek” jest tak popularny i czytają go nawet osoby spoza branży, dziesiątki tysięcy Polaków zachowują się w Internecie dużo ostrożniej. Edukacja użytkowników w formie show, które prowadzi Piotr Konieczny to na prawdę dobra robota. Nikt chyba nie przykuwa uwagi swoimi wystąpieniami tak, jak on, i nikt chyba nie miał okazji przeszkolić tylu pracowników różnych instytucji. Od marki tego kalibru w przyszłości chciałbym jednak zobaczyć więcej „mięsa”.
Adam Haertle (ZaufanaTrzeciaStrona.pl) wystąpił z prezentacją pt. „Nie znam się na bezpieczeństwie”. Przekonywał w niej, że specjalistą od bezpieczeństwa może zostać każdy i nie jest do tego wymagana ekspercka wiedza techniczna. Zachęcał uczestników do działania oraz tworzenia własnych treści i obiecywał pomóc tym, którzy chcieliby wypromować swoją twórczość. Jeżeli na ten artykuł trafiliście z polecenia Adama, to znaczy, że nie rzucał słów na wiatr :).
W swojej prezentacji przedstawił on jedną bardzo istotną tezę: za nieodpowiedzialne działania użytkowników komputerów odpowiedzialni są specjaliści od bezpieczeństwa. To my powinniśmy wziąć na siebie odpowiedzialność za edukację i ochronę użytkowników. „Linki są po to, żeby je klikać” – mówił Adam, nie możemy zatem oczekiwać od zwykłego użytkownika komputera, że przy każdej czynności będzie on szacował związane z nią ryzyko. Podejście to przypomniało mi pewną zasadę zarządzania opisaną w książce „Ekstremalne przywództwo” (org. „Extreme Ownership”) autorstwa Jocko Willink i Leif Babin. Podejście polegające na braniu na siebie pełnej odpowiedzialności przez menedżerów okazuje się przynosić bardzo dobre efekty i to w dziedzinie bardzo zbliżonej do cyberbezpieczeństwa, bo w działaniach bojowych prowadzonych przez U.S. Navy SEALs. Wystąpienie Adama otworzyło mi oczy i spowodowało, że zupełnie inaczej podchodzę teraz do incydentów bezpieczeństwa spowodowanych nieświadomymi działaniami użytkowników. Jeżeli dzieje się to w środowisku, za które jestem odpowiedzialny, traktuję to jako osobistą porażkę, a nie winę „durnego użytkownika”.
Trzeci z najbardziej znanych polskich serwisów internetowych poświęconych bezpieczeństwu – Sekurak.pl zaistniał na konferencji dzięki wystąpieniu jego założyciela – Michała Sajdaka. Michał wystąpił z prezentacją pt. „rekonesans sieciowy na żywo”. Prezentacja o charakterze praktycznym przydatna na pewno dla każdego pentestera była już jednak pokazywana w ramach cyklu imprez Sekurak Hacking Party. Michał zaprezentował szeroką gamę serwisów Internetowych, które pomocne mogą być w testach penetracyjnych i przyznam, że niektóre z nich były dla mnie nowością. Znowu jednak odczułem pewien niedosyt. Widziałem już dużo ciekawsze prezentacje w wykonaniu „sekuraków” i na konferencji tego kalibru spodziewałem się czegoś więcej. A może po prostu za dużo już widziałem?
Ostatnią z postaci znanych mi ze sceny security, na której wystąpienie bardzo czekałem była Paula Januszkiewicz (CQURE). Paulę widziałem wcześniej na żywo jedynie na webinarach. Z jej wystąpienia wyniosłem tylko jeden wniosek: nie chciałbym być odpowiedzialny za bezpieczeństwo w firmie, która testy penetracyjne zleca Pauli 🙂 Paula rozpoczęła prezentację krótką anegdotą na temat tego o ile łatwiej ma w branży jako kobieta i blondynka. Opowiedziany przez nią scenariusz testów socjotechnicznych, w których wykorzystuje swój urok był może trochę ubarwiony, ale na pewno bardzo zabawny. Żeby jednak nikt nie miał wątpliwości, że poza urokiem Paula dysponuje też wiedzą ekspercką, zaprezentowała kilka znanych ataków na mechanizmy uwierzytelniania w systemach Windows. Przeprowadzony przy użyciu metasploita atak na protokół SMB wykorzystywał znaną już od jakiegoś czasu podatność, jednak sprawność z jaką Paula posługiwała się narzędziami i jej komentarz opisujący mechanizmy uwierzytelniania oraz przechowywania hashy warte były na pewno uwagi. To wystąpienie zapadło mi chyba najbardziej w pamięci. Być może dlatego, że nie widziałem go nigdzie wcześniej.
Z ciekawą prezentacją wystąpił też Tomasz Onyszko (Predica). Opisał on w niej dosyć interesujące case study dotyczące szkód spowodowanych przez wirusa NonPetya u jednego z jego klientów. Historia ciekawa i mrożąca krew w żyłach wszystkim adminom opatrzona była szeregiem wskazówek i dobrych praktyk dotyczących podnoszenia poziomu bezpieczeństwa w usługach katalogowych Active Directory.
W dobry nastrój wprowadził mnie swoim wystąpieniem Łukasz Jachowicz, którego nazwiska wcześniej nie kojarzyłem. Jak się później okazało Łukasz (pseud. Honey) był założycielem bardzo popularnego w czasach mojej młodości serwisu 7thguard.net poświęconego tematyce Linuksa oraz wolnego oprogramowania. Łukasz przypomniał mi czasy, w których nie było youtuba i polskojęzycznych manuali, a Debiana instalowało się z kilkunastu dyskietek ściągniętych na łączu 28kbit/s w bibliotece uczelnianej. Dzięki tej prezentacji przypomniałem sobie noce spędzone nad zinami tworzonymi przez phreakerów marząc o zostaniu drugim Kevinem Mitnickiem. Dla osób młodszych, które nie wiedzą kim byli „Gumisie” wystąpienie Łukasza nie było pewnie aż tak interesujące, ale dla tych, którzy mają na karku 35-40 lat ten nostalgiczny świat wart był przypomnienia.
Wrażenia
Konferencję uznać należy na pewno za udaną, a za jej organizację, skalę i dowieziony poziom należą się wielkie gratulacje pomysłodawcy – Adamowi Haertle. Czekam już z niecierpliwością na kolejną edycję. Mam też taką cichą nadzieję, że ta impreza zmierzać będzie w kierunku dużych konferencji typu Blackhat. Możliwe, że była to kwestia wyboru odpowiedniej ścieżki tematycznej, ale mi osobiście brakowało trochę hackerskiego „mięsa”. Kilka tygodni wcześniej miałem okazję oglądać prezentację, którą Gynvael Coldwind przygotował na „PUT Security Day” w Poznaniu. Takich wystąpień życzyłbym sobie, uczestnikom i organizatoreom na WTH Conf.
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.
Mięso było na innych ścieżkach. 🙂 Ja celowo nie poszedłem na prezentacje z głównej sceny poza tą Sekurakową (która mnie również trochę rozczarowała). Założyłem, że na głównej będą showmani, będzie dużo show, a mało konkretów, widzę że się nie myliłem. Osobiście z ponad połowy prezentacji na WTH wyniosłem całkiem sporo, więc konferencję oceniam na bardzo duży plus.
Tak też podejrzewałem. Nauka na przyszłość. Dzięki za podzielenie się uwagą.