Confidence, OWASP i Testing Cup

Opublikowany: 16-06-2014 23:05 przez Krystian

Druga połowa wiosny to zdecydowanie dobra pora na odwiedzanie wszelakich konferencji. Zwłaszcza jeśli odbywają się one z dala od stałego miejsca pracy, po za weekendem i można się na nie wybrać w ramach zdobywania wiedzy (tj. bez straty urlopu).


Na niedomiar konferencji nie możemy narzekać. W zasadzie co tydzień coś ciekawego ma miejsce w naszym kraju (a jeszcze te wszystkie soczyste konferencje w Europie i w USA!). Gdyby się uprzeć, to można by było większość roku spędzić na wyjazdach. Naturalnie, po pewnym czasie każdemu by się takie życie na walizkach znudziło. Zwłaszcza pracodawcy (-;


Confidence

Do tej pory zawsze coś mi wypadało, więc jakoś nie było okazji wybrać się na Confidence. W tym roku postanowiłem odstawić w kąt różne "naglące i pilne" sprawy i przejechać się do Krakowa. Przyznam się szczerze, że nie rozczarowałem się. Konferencja była na bardzo wysokim poziomie. Mam tutaj na myśli zarówno stronę merytoryczną (prelekcje!), rozrywkową (X-traction Point oraz CTF przygotowany przez Dragon Sector) jak i organizacyjną.


Zacznijmy może od tej pierwszej kwestii, czyli prelekcji, bo to dla nich przede wszystkim (ale nie tylko) wybrałem się na Confidence. Moją uwagę przykuły przede wszystkim: pierwsza prelekcja konferencji, czyli "50 Shades of RED: Stories from the "Playroom"" (ogromny luz i humor prowadzącego), prelekcja o bezpieczeństwie bankomatów, "Shameful secrets of proprietary protocols" (fajne przedstawienie podejścia do testów tego typu protokołów), "Evaluation of Transactional Controls in e-Banking Systems" (dobre rozpoznanie tematu). Z drugiego dnia konferencji najbardziej zapadły mi w pamięć prezentacje: "Security Implications of the Cross-Origin Resource Sharing" (dobrze opowiedziane), "On the battlefield with the Dragons – the interesting and surprising CTF challenges" (kilka opowiastek z CTFów w których uczestniczyli chłopcy z DS), "Exploring treasures of 77FEh" (za solidne upewnienie widowni, że "bezpiecznicy" są wszędzie potrzebni :D ) oraz "Hacking the Czech Parliament via SMS" (za całokształt, zwłaszcza za posiadanie jaj i trollowanie zadufanych w sobie polityków).


Nie samymi prelekcjami człowiek żyje, więc na ogromny plus zasługują dodatkowe atrakcje, którymi był X-traction Point przygotowany w piwnicy Hotelu Forum przez panów z Core Group. Nie będę dokładnie opisywał na czym polegał X-traction Point, ale generalnie chodziło o zabawę polegającą na: strzelaniu, otwieraniu zamków oraz obchodzeniu alarmów. Wszystko to w celu wydobycia "dokumentów" z serca "złej organizacji", która za swoją kwaterę główną wybrała piwnicę Hotelu Forum!


Drugą ważną atrakcją był CTF przygotowany prze CTF'owych wymiataczy, liderów światowego rankingu, czyli przez zespół Dragon Sector. Z tego co pamiętam to turniej był indywidualny, a uczestnicy mieli do rozwiązania typowe dla tego rodzaju zawodów zadania: web, re, pwn, crypto oraz stegano. Dobra okazja do podciągnięcia skilla.


Pozostałe atrakcje to naturalnie możliwość integracji z innymi uczestnikami konferencji. Integrować można było się podczas przerw zajadając ciasteczka (chwała organizatorom za to, że rano rzucili coś konkretnego, bo nie zaplanowałem śniadania :P ), podczas obiadu - zajadając mięsko z grilla (wiem, wiem, niezdrowe (-; ) lub wieczorkiem, sącząc piwko i siedząc na leżakach.


Ostatnia sprawa to organizacja samej konferencji. Opuszczony hotel Forum to wprost idealna lokalizacja na tego typu spotkanie. Wszystko przebiegło sprawnie i obyło się bez opóźnień, to ogromny plus. Z tego co wiem, to konferencja miała jeden minus, którym był brak klimatyzacji. Niektórym mogło to przeszkadzać, chociaż dla mnie nie było to szczególnie problematyczne. Może ze względu na moją nieczułość na skrajne temperatury (-;


OWASP Kraków

Wymienione wcześniej sposoby nie wyczerpują listy metod integracji z innymi uczestnikami Confidence. Trzeba wspomnieć, że dzień przed Confidence odbyło się małe before party na barce przycumowanej na Wiśle. Niestety pogaduchy i piwkowanie nie było moim głównym zajęciem, ponieważ podczas before party odbyło się spotkanie OWASP Kraków, na które zostałem zaproszony w roli prelegenta.


Ze względu na międzynarodowy charakter samego Confidence prelekcje na OWASP zostały przygotowane również po angielsku. Dzięki temu miałem okazję po raz pierwszy zrobić publiczną prelekcję w innym niż ojczystym języku.


Ponieważ audytorium nieco różniło się od tego z ŁódQA i PTaQ postanowiłem też zmodyfikować samą zawartość mojej prezentacji (do znalezienia tutaj), aby ciężar merytoryczny przenieść z bezpieczeństwa (które jak można było założyć było odbiorcom dobrze znane) na proces wytwarzania oprogramowania. Z samej prezentacji nie byłem do końca zadowolony (chociaż od innych słyszałem krzepiące zapewnienia, że było ok :P), ale w końcu praktyka czyni mistrza, więc z czasem powinienem poczuć się pewniej wygłaszając prelekcję po angielsku (-;


Testing Cup

Jeszcze dobrze nie wyschły rzeczy z wyjazdu na Confidence i OWASP, a już przyszło mi pakować się na wyjazd do Warszawy na Testing Cup. Tym razem zostałem tam wysłany w celu reprezentowania firmy, w której pracuję (czyli Rule Financial) podczas ogólnopolskich zawodów. Zawody były oczywiście połączone z konferencją oraz innymi atrakcjami.


Jeśli chodzi o zawody to były bardzo udane. Przez trzy godziny mieliśmy znaleźć możliwie najwięcej błędów w testowanej aplikacji. Jak można było przypuszczać ja zabrałem się za testowanie bezpieczeństwa, dzięki temu moje dwie koleżanki z zespołu mogły zabrać się za testy głównych funkcji i nie wchodziliśmy sobie wzajemnie w paradę. Przyznam się szczerze, że szukanie dziur mając do dyspozycji tylko przeglądarkę bez pluginów nie jest takie proste, zwłaszcza kiedy przywykło się do różnych użytecznych narzędzi. Poczułem się jak Iron Man wyrwany ze swojego wdzianka.


Mimo wszystko testować trzeba jakoś było i w sumie znalazłem cztery poważne problemy, co wraz z błędami znalezionymi przez moje koleżanki z zespołu dało nam solidne 10 miejsce. Całkiem nieźle jak na debiut (-:


Jeśli chodzi o prelekcje to w przeciwieństwie do Confidence na Testing Cup jednocześnie miały miejsce dwie prezentacje + panel dyskusyjny, więc nie wszystko można było zobaczyć. Ponadto z przyczyn osobistych opuściłem prezentacje pierwszego dnia, zaś drugiego dnia jedna mi wypadła, ponieważ wybrałem się na zwiedzanie Stadionu Narodowego. Z tych, które widziałem podobały mi się: prezentacja o tym, żeby ludzie z działu QA byli szerzej wykorzystywani i nie stali się służącymi developerów, prelekcja Mateusza z Securing'u o testach bezpieczeństwa (chociaż z przyczyn oczywistych za dużo nowości w niej nie znalazłem dla siebie :P ) oraz prezentacja Aleksandra o odpowiednim podejściu do testowania oprogramowania.


Jeśli chodzi o szeroko rozumianą rozrywkę to after party mi do gustu nie przypadło. Większość trzymała się w swoich grupkach, więc poziom integracji był dość niski. Wspomniana wcześniej wycieczka po stadionie należała raczej do standardowego obchodu i niczym się nie wyróżniała.


Co do samej organizacji to jestem pełen uznania. Zdarzało mi się kiedyś pomagać przy organizacji imprez z dużą ilością komputerów (WCG i SEC w Warszawie) i wiem jak wiele problemów może wystąpić kiedy trzeba dostarczyć tak dużo komputerów uczestnikom imprezy. W przypadku Testing Cupa obyło się bez problemów technicznych, no może za wyjątkiem drobnych problemów z pendrive'ami. Lokalizacja oczywiście była bardzo fajna, w końcu to Stadion Narodowy. Mieliśmy też na niego blisko, z naszego apartamentu było go widać przez okno (w sumie na Confidence też widziałem z okna Hotel Forum, grunt to dobry nocleg! :D ). Jedyny problem to brak przekąsek podczas przerw kawowych (tak, tam też nie jadłem śniadania).


Powrót z imprezy utrudnił jakiś amerykański prezydent, który postanowił akurat wtedy zawitać do Warszawy. Trochę mi ulżyło jak się dowiedziałem, że ci wszyscy tajniacy nie szukają mnie (z jakiegokolwiek powodu!) tylko pilnują tego prezydenta. W sumie przekichana fucha, ciągle ktoś za nim łazi, a jak przemawia to musi mieć te bezużyteczne kurtyny balistyczne dookoła siebie.


Na koniec muszę wspomnieć, że najbliższa moja prelekcja odbędzie się na najbliższym meet.php. Opowiem o bezpieczeństwie projektów tworzonych w oparciu o Symfony2. Z kolei najbliższa konferencja, na którą się wybieram to Secure 2014. Słyszałem, że całkiem zacne warsztaty mają tam być.


See ya soon, bro
Brak komentarzy