awesomeness

Новогодние резолюции

Традиция несоставления новогодних резолюций продолжается, но зато у меня наметился список задач на новогодние каникулы. Их три и они очень приятные и не так, чтобы обязательные, но я жду-не дождусь, когда за них возьмусь:

1. Покодить что-то под Alexa, которую мне подарили на AWS Summit. Для начала нашла какой-то навык для Pager Duty, попробую сначала установить как есть, а потом под свою команду немного помодифицировать.

2. Сделать ленточки для причёсок акробатической тройки, в которой в этом году выступает Алиска. Нам прислали совершенно сказочные купальники в стразах и с ручной росписью, а украшения для причёсок они «не делают». Хорошо, что я вовремя вспомнила, что в прошлом году была такая же проблема с этой мастерской, и попросила их прислать три отреза под украшения. Буду томными предновогодними вечерами делать красиво :)

3. Написать playbooks для установки и конфигурирования StrongSwan VPN на FreeBSD. Это как минимум. Как максимум, «приделать» всю эту конструкцию к проекту Algo компании Trail of Bits, который обещает за включение в их playbooks системы FreeBSD баунти в размере $500. Мне не столько денег хочется, сколько славы сделать свой вклад в этот замечательный проект. Пользуюсь VPN, запущенным на AWS на основе этого проекта, уже несколько месяцев, как с телефона так и с компьютера.

Так что вот... получается резолюция :)

С наступающими праздниками!
awesomeness

Снова о девочках-инженерах

Моя любимая мозоль, не иначе :) Вчера натолкнулась на проект от Y-Combinator, где женщины-инженеры отвечают на вопросы о своём опыте в своей отрасли. Я прочитала по диагонали ответы и поняла, что вижу одно и то же. Описание ситуаций или проблем в таком ключе, который... как бы это сказать... отнюдь не способствует привлечению девушек. Мне это видится прямо-таки на грани диверсии. Нет, я понимаю, что проблемы есть и мы все с ними сталкиваемся. Но если ими одними ограничиваться, да ещё и не предлагая вариантов того, как их исправить (или хотя бы избежать, если речь об одном-единственном человеке и задачи исправить весь мир не стоит), то зачем всё это затевать.

Я спросила автора проекта в твиттере, могу ли я поучаствовать в нём в роли одной из отвечающих женщин-инженеров (все ответы анонимизированы) и получила радостно-энергичное, как мне показалось, предложение написать на адрес проекта. Написала им письмо о том, почему я хочу поучаствовать и что могу привнести. Посмотрим, ответят ли и захотят ли меня.

Хетти, а Вы не хотели бы поучаствовать?
awesomeness

DefCon, завершающий день

К воскресенью тренинги закончились, остались только выступления по основным трекам и по так называемым тематическим «сёлам». Одно из самых понравившихся мне выступлений было посвящено тому, как пробить себе дорогу в мир исследователей компьютерных уязвимостей. Это выступление, как и почти все на этом DefCon, было рассчитано на широкие массы, но при этом давало огромное количество инсайдерской информации, которую трудно получить где-то ещё. Больше всего мне понравился вот этот слайд. Тем, что очень сильно резонирует с моими собственными ощущениями:



Я запостила его в твиттер и получила неожиданно огромную реакцию. Оказывается, не только у меня резонирует. Дэн Камински прокомментировал этот слайд, сказав, что он содержит «столько правды, сколько в принципе можно впихнуть в слайд PowerPoint». Кстати о Камински. Сам он на DefCon не выступал, зато выступал на детской хакерской конференции r00tz, проводимой в те же дни в одном из центральных залов конференции. R00tz проходит уже не первый год и пользуется грандиозным успехом. О чём Дэн рассказывал детям 7-17 лет? О том «как всё это работает». После выступления написал восторженный твит: «с детьми всё в полном порядке». Есть идея взять на следующий год детей с собой, чтобы иметь возможность послушать выступления в мирной тихой обстановке детской конференции. Без детей на неё не пускают ¯\_(ツ)_/¯

Что ещё было интересного... Я прогулялась по залу, где проводился DefCon CTF, одно из самых престижных ctf соревнований в мире. Увидела своими глазами команду университета Карнеги-Меллон. Среди них была девушка. С розовым лаптопчиком. Они в этом году снова победили.

С ещё одной участницей DefCon CTF мне посчастливилось лететь рядом в самолёте. Австралийка, работает в Google в команде, занимающейся поиском. Мы весело провели время, пытаясь прочитать крипто-надпись на подаренной ей футболке.

Самое сильное впечатление от конференции? Заманчиво светящиеся супер-компьютеры на сцене одного из конференц-залов.



Эти компьютеры участвовали в конкурсе автоматизированных систем поиска уязвимостей. Компьютер-победитель получил два миллиона долларов и чёрный бейдж почётного участника всех последующих DefCon-ов, обнаружив уязвимость, которая не предполагалась авторами конкурса. Говорят, что его отправят в музей Smithsonian.

Самая большая неожиданность? Очень низкий технический уровень публики в среднем. Это диктует уровень отбираемых выступлений и, в особенности, тренингов.

Самое приятное? Ощущение, что ты находишься в среде, где любят и ценят то, что ценишь ты. Что в это можно погрузиться с головой «и пусть весь мир подождёт».

Самое неприятное? Для меня это были бессмысленные вечеринки. Больше не пойду, разве что с хорошей компанией. Но в то же время, с хорошей компанией и без вечеринки есть, чем заняться на хакерской конференции.

Мысли на будущее: хочу на следующий DefCon всей семьёй; распланировать программу немного заранее; не ходить на тренинги (разве что по теме, с которой вообще никогда не приходилось иметь дела); выбрать выступления не по принципу «вот это мне вроде в работе актуально», а по принципу «вот эта тема важная и тут знают, о чём говорят» — для расширения кругозора; взять с собой переходники, паяльник и серийный порт.

Если я о чём-то интересном вам не упомянула, спрашивайте — я расскажу с удовольствием.
awesomeness

DefCon, день третий

На третий день мне повезло даже больше: я снова хотела попасть на тренинг, на этот раз по криптографии в питоне. Но утром мой добрый приятель с восточного побережья, успевший получить браслеты [предварительной записи] почти на все тренинги сразу, сказал, что у него перебор и отдал мне свой браслет. Это означало, что в очередь можно было не сидеть, а сразу приходить к началу тренинга.

Впрочем, к этому моменту сидение в очередь меня уже не пугало :) Там можно было пообщаться об интересных вопросах. Оказалось, что огромное число людей приехали на конференцию из других стран. Я встретила там шведского исследователя, датского участника команды CTF, сисадмина из Индии и ещё одну участницу австралийской команды CTF, которая, правда, сама прилетела из района залива и поэтому не считается.

Сначала мы сидели в очереди по одному, потом подошёл гун и сказал, что какая-то у нас не такая очередь и предложил сесть по двое. Потом ещё один гун передвинул нашего червяка на половину холла назад по просьбе сотрудников отеля, которым мы чем-то мешали.

О гунах! Это очень важные персонажи на DefCon. Добровольцы из числа уважаемых представителей хакерского сообщества. Спорить с ними или пытаться одурачить считается верхом нахальства и уважающими себя людьми не практикуется. Выглядит большинство из них очень колоритно и ведут себя бесконечно обаятельно :) Это вам не унылые сотрудники какого-то там обслуживающего агентства, а полноправные хозяева творящегося действа.



Из курьёзов этого года: один из участников конференции вдвоём с гуном предотвратили кражу в ювелирном магазине Вегаса. Вот вам и хакеры-криминалы.

Да, так вот, возвращаясь к очереди: сидим ждём. Подходит гун: «у кого розовые браслеты — проходите на тренинг номер один. Только знаете что ребята... вы попали! Я дальтоник и ничерта в ваших браслетах рассмотреть не могу. Кто тут из вас не дальтоник?» Я поднимаю руку. Гун: «Так, если вы хотите попасть на тренинг, вы должны получить добро вот от неё». Короче, час в очереди прошёл совсем нескучно. Я даже лаптопа не открывала.

Но это всё было во второй день. А тренинг про крипто в питоне оказался совершенно ламерским. Я надеялась послушать о плюсах/минусах pycrypto, cryptography и каких-нибудь новинок и потренироваться в использовании новых библиотек. Но все задания были на уровне «давайте захешируем пароль, как это делает Windows» и после того, как я первой решила четыре из семи задач, я поняла, что нахожусь не в той комнате (if you are the smartest person in the room you are in the wrong room) и быстренько оттуда свалила.

Я уже было открыла несколько статей по интересующей меня тематике, чтобы не тратить зря время и заняться самообразованием. Но тут я открыла твиттер и увидела сообщение о том, что на первом этаже проходит OpenCTF и что в нём участвует мало-премало женщин. До окончания 25-часового конкурса оставалось чуть менее четырёх часов и я, подхватив рюкзак, рванула на первый этаж исправлять статистику :)

Для участия в OpenCTF нужно было подключаться к внутренней сети и сделать это можно было либо подобрав ethernet со стола (чёрт! я не взяла с собой переходник ethernet-thunderbolt!), либо подключившись к эакрытой WiFi-сети конференции. Я не смогла вспомнить пароль к account-у, который создала ещё дома, и мне пришлось создавать новый прямо там на месте. Но мою решимость было уже ничем не перешибить :) Вот так, наверное, опасные хакеры и ловятся, когда как клептоманы не могут отказать себе в удовольствии и теряют бдительность. Позже я сходила в зал, где была расположена доска овечек — экран, где высвечиваются взломанные account-ы. Ничего своего я там не обнаружила.

С конкурсом ctf у меня получилось не очень... Я прошла «sanity check» и на этом всё. Взялась за одну задачку из категории крипто и если бы у меня было немного больше времени (и я не была бы настолько уставшей), я бы её точно расковыряла. Позже выяснилось, что я была очень-очень близка к ответу. Но зато я поразмяла мозги и в качестве поощрительного приза получила приглашение на вечеринку для участников конкурса. Пригласила с собой коллегу, поскольку пропуск на вечеринку предполагал +1 человека. Коллега остался на вечеринке до утра. Мне самой после часа там стало скучно и я отправилась спать. В очередной раз убедилась, что вечеринки — не моё... Мне гораздо легче заговорить с человеком, просто стоящим/сидящим в зале рядом со мной, чем в полумраке под тымц-тымц-тымц.

Но может быть, в этом и прелесть? Ты ничего не потеряешь, не сходив на вечеринку. Ты ничего не потеряешь, уйдя с неинтересного тренинга. Выбирай что хочешь и делай то, к чему лежит душа. И не обращай внимания ни на кого, кто имеет своё мнение о том, чем тебе лучше заниматься.
Tags: ,
awesomeness

DefCon, пока не забылось

Ко второму дню я внимательно перечитала программу, отметила в ней свои приоритеты и предпочтения и, преисполненная решимости, отправилась по выступлениям. Если в первый день количество выступлений (и открытых для них помещений) было очень ограничено, что создавало немыслимые «пробки», то начиная с пятницы (второй день из четырёх) всё стало гораздо спокойнее.

Я пришла заранее на выступление двух сотрудников Etsy об их security logging infrastructure и бонусом прослушала часть предыдущего выступления о том, как стать сотрудником ЦРУ, ФБР и разных других сил сомнительного добра. Я уже не в первый раз слушаю выступления сотрудников Etsy (в этом году Katherine Daniels из Etsy выступала на конференции Velocity и тоже, кстати, рассказывала о мониторинге и анализе логов). Мне очень нравится их спокойный и разумный подход к задачам. Выступление на DefCon тоже было в этом же ключе. Они представили свою платформу four-one-one, код которой обещали открыть с минуты на минуту. (О! Они его открыли таки! Ссылка перебрасывает сразу на Github.)

В программе конференции помимо выступлений были тренинги продолжительностью по пол-дня. Те самые, на которые мне удалось предварительно записаться. Но шанс попасть на интересовавший меня тренинг по безопасности в облаке у меня по-прежнему был: если прийти сильно заранее, то в режиме живой очереди можно занять освободившиеся по какой-либо причине места. После презентации Etsy у меня оставалось чуть более часа, поэтому я сразу уселась на ковре в начавшей образовываться очереди. Я была, кажется, шестой, причём четыре человека передо мной целились на тот же самый тренинг. И я на него, ура, всё-таки попала! Свободными оказалось ровно пять мест.

Тренинг был очень-очень прикладной. Мне повезло, что у меня уже бы свой account в AWS — это оказалось обязательным условием участия в тренинге, о котором я не знала. Место мне досталось на самом виду — даже не за первым столом, а перед ним, боком к инструктору. Для меня тренинг пришёлся очень по уровню: многое из того, что мы там делали, я проделывала уже тысячу раз, а то немногое, что было для меня в новинку, было именно тем, что меня интересовало. Многим пришлось куда тяжелее, они спотыкались на каждом шагу и с благодарностью принимали стороннюю помощь. Там я познакомилась с девушкой-сисадмином, специально приехавшей на конференцию из Индии.

Помимо того, чтобы попробовать что-то новое, мне, знающей как выстроены облачная инфраструктура и процессы CI к нашей компании, было ещё интересно как это делают другие. Но когда инструктор представил нам свою сборную солянку из Jenkins+Puppet/Ansible-local+Packer+gauntlt, моя душа не выдержала и по окончании тренинга я подошла сказать, что большую часть всей этой связки можно сделать одним сценарием в ansible. Товарищ пожал плечами: «Но Packer хорошо работает, он же специально для этого придуман». «Да, но он не нужен — в ansible это делается одной строчкой». Позже, когда я приехала домой, я быстренько наклепала proof of concept и послала инструктору: https://twitter.com/oley/status/762940281662558208

В общем, второй день прошёл строго по плану и назавтра я планировала повторить успех :)
Tags: ,
awesomeness

Курс по алгоритмам

Хаха, вы думали, он закончился? Я тоже так думала! :)

Вчера получила письмо от Курсеры с предложением быть ментором (ну, TA скорее) по курсу «Algorithms: Design and Analysis, Part 2». Для этого надо пройти инструктаж и можно начинать в любой момент. ВременнЫе обязательства — 3 часа в неделю на протяжении одного курса (7 недель). С одной стороны, это больше, чем я могу выделить безболезненно. С другой, это хорошая возможность закрепить материал и заодно сдвинуть гендерный баланс в нужную сторону.



Предложение можно принять и позже, поэтому я пока оставлю вопрос открытым.
awesomeness

DefCon, продолжение первого дня

Время выступлений первого дня подходило к концу. Тут выяснилось, что в принципе чтобы слушать выступления, можно вообще никуда не ходить, потому что выступления с четырёх главных треков транслируются по отельному TV. Мы собрались в номере одного из коллег, смотрели выступление активно артикулировавшего дядечки и... ничего не слышали :( Вот что бывает, когда хакеров в одном месте слишком много — как то дитя, что у семи нянек да без глазу. Пропустить выступление было тем более обидно, что дядечка этот — автор бейджа со всеми его безумными головоломками. А нам очень хотелось подсказок! :)

К слову, бейдж этого года — это крошечный x86-совместимый компьютер Intel Quark D2000. Головоломки на нём были как снаружи (в виде крипто-надписей), так и внутри (но как забраться внутрь, это надо было ещё сообразить). Посмотрев на первую же надпись и прикинув частоту появления различных букв, я подумала, что это простой подстановочный шифр, и пообещала к ужину его сломать. Позже выяснилось, что это, вероятно, OTP и попытки взломать его были пустой тратой времени... До сих пор не видела сообщений о том, что кто-то эту фразу прочитал. Но зато мы прочитали кучу других, а мне даже удалось посмотреть, что внутри, через терминал, благодаря моему старинному другу, с которым мы не виделись почти двенадцать лет и вот встретились на конференции.

Всё это время я героически боролась не только с безнадёжным шифром, но и с яростным желанием спать. Два часа сна ночью, да полтора рано утром в самолёте — вот и весь мой сон. Впрочем, 3.5 часа — это вполне в рамках DefCon-а. Я слышала про неписаное правило конференции под кодовым названием 3-2-1: минимум 3 часа сна, 2 приёма пищи и 1 душ в день. Вообще в infosec-е правило 3-2-1 означает совсем другое, но в режиме конференции, проводимой в пустыне, это правило куда актуальнее.


Да, возвращаясь к конференции и коммуникациям. Организаторы конференции предоставляют две сети WiFi. Одна требует предварительной регистрации и организована как-то нетривиально, с хитрой изоляцией сессии каждого подключившегося. Вторая открыта для всех и на ней хакеры как только не развлекались. Кто-то обнаружил на стене записку для сотрудников казино: «У нас тут DefCon — переключайте свои телефоны в авиа-режим». Я предпочла оставаться на LTE и пользоваться VPN-ом для шифрования интернет трафика. Как стало ясно на третий день, это была довольно бессмысленная затея.

Но пока ещё не закончился первый день. После ужина у меня в планах оставался один пунктик — посещение вечеринки в честь женщин-хакеров, проводимой в рамках микро-конференции TiaraCon в том же месте. Я поднялась на 26-й этаж, заглянула на вечеринку, выпила жестянку колы и как-то больше ничего. Сказывались недосып и отсутствие хотя бы одного условно знакомого лица. Какие-то странные люди, мужчины и женщины и как-то всё неловко, неуместно и вообще уныло. К сожалению, это ощущение неуместности подобных сборищ не прошло у меня до сих пор...

[следующее продолжение следует с опозданием...]
awesomeness

DefCon, впечатления n00b'а

Рассказать об этой конференции в двух словах не получится, я попробую по порядку, но не обещаю, что у меня это хорошо получится. Вот тут можно почитать основные факты.

Масштаб и размах поражают воображение: в этом году под конференцию были арендованы залы сразу двух смежных отелей в Вегасе общей площадью более 30 тысяч квадратных метров (три гектара). Количество участников превысило двадцать две тысячи (организаторы рассчитывали на двадцать). Предварительной регистрации нет, зарегистрироваться на конференцию можно только на месте и только за наличные с целью привлечения тех, кто желает оставаться анонимным.

В прошлые годы это составляло проблему: очередь на регистрацию выстраивалась на многие часы и был даже год, когда людям приходилось стоять часами на невадском солнцепёке, чтобы попасть на конференцию. К счастью, цели «выдержать в очереди всех поровну» у организаторов не стоит: можно скинуться коллективом и послать с деньгами гонца, чтобы выкупил бейджи сразу на всех. Чем я и воспользовалась с радостью. Засланные казачки занимали очередь едва ли не с полуночи. В этом году организаторы превзошли сами себя: организовали регистрацию так, что среднее время стояния в очереди составило 25 минут.

Но очереди на этом отнюдь не закончились, а только начались. Я как-то не сразу просекла масштаб проблемы и в результате весь первый день провела в шатаниях между казино и глазении на всяких тёмных и пёстрых личностей. По правилам безопасности запрещено пускать на этаж толпу в три тысячи человек, пока другие три тысячи его не покинут. У эскалатора собиралась плотная очередь из хакеров, тянувшаяся через всё огромное казино отеля. Чтобы записаться на семинары, нужно было подниматься по тому же эскалатору (это я потом уже поняла, что можно было попасть туда, обойдя очередь... блин). Короче, на семинары мне записаться предварительно не удалось. Запивать такую пичальку я отправились в кофейню, украшенную по мотивам Гарри Поттера, в компании своих коллег. Шесть человек (весь десант от нашей компании), оказывается, отлично помещаются во внедорожнике Убера.

Но эта печаль была не так чтобы печаль... Настоящая печаль заключалась в том, что мой офигенный электронный бейдж отказывался включаться! Идти к стойкам регистрации с просьбой поменять, пока они там заняты регистрацией тысяч человек, мне показалось плохой идеей. Но была надежда, что проблема просто в севшей батарейке. И поскольку делать было нечего, а бейдж очень хотелось, я отправилась по солнцепёку в ближайшую аптеку за батарейкой. Когда я увидела пустой крюк от батареек нужного мне размера, стало ясно, что не я одна такая горемыка. На складе батареек тоже не оказалось и я побрела в следующую аптеку. Ура, там батарейки ещё оставались. Выковыряла старую, зубами расковыряла упаковку с новой, воткнула, набрала код Конами и вот оно счастье: мой череп призывно замигал голубыми глазками.

[продолжение следует...]