Category: it

Category was added automatically. Read all entries about "it".

awesomeness

DefCon, завершающий день

К воскресенью тренинги закончились, остались только выступления по основным трекам и по так называемым тематическим «сёлам». Одно из самых понравившихся мне выступлений было посвящено тому, как пробить себе дорогу в мир исследователей компьютерных уязвимостей. Это выступление, как и почти все на этом DefCon, было рассчитано на широкие массы, но при этом давало огромное количество инсайдерской информации, которую трудно получить где-то ещё. Больше всего мне понравился вот этот слайд. Тем, что очень сильно резонирует с моими собственными ощущениями:



Я запостила его в твиттер и получила неожиданно огромную реакцию. Оказывается, не только у меня резонирует. Дэн Камински прокомментировал этот слайд, сказав, что он содержит «столько правды, сколько в принципе можно впихнуть в слайд PowerPoint». Кстати о Камински. Сам он на DefCon не выступал, зато выступал на детской хакерской конференции r00tz, проводимой в те же дни в одном из центральных залов конференции. R00tz проходит уже не первый год и пользуется грандиозным успехом. О чём Дэн рассказывал детям 7-17 лет? О том «как всё это работает». После выступления написал восторженный твит: «с детьми всё в полном порядке». Есть идея взять на следующий год детей с собой, чтобы иметь возможность послушать выступления в мирной тихой обстановке детской конференции. Без детей на неё не пускают ¯\_(ツ)_/¯

Что ещё было интересного... Я прогулялась по залу, где проводился DefCon CTF, одно из самых престижных ctf соревнований в мире. Увидела своими глазами команду университета Карнеги-Меллон. Среди них была девушка. С розовым лаптопчиком. Они в этом году снова победили.

С ещё одной участницей DefCon CTF мне посчастливилось лететь рядом в самолёте. Австралийка, работает в Google в команде, занимающейся поиском. Мы весело провели время, пытаясь прочитать крипто-надпись на подаренной ей футболке.

Самое сильное впечатление от конференции? Заманчиво светящиеся супер-компьютеры на сцене одного из конференц-залов.



Эти компьютеры участвовали в конкурсе автоматизированных систем поиска уязвимостей. Компьютер-победитель получил два миллиона долларов и чёрный бейдж почётного участника всех последующих DefCon-ов, обнаружив уязвимость, которая не предполагалась авторами конкурса. Говорят, что его отправят в музей Smithsonian.

Самая большая неожиданность? Очень низкий технический уровень публики в среднем. Это диктует уровень отбираемых выступлений и, в особенности, тренингов.

Самое приятное? Ощущение, что ты находишься в среде, где любят и ценят то, что ценишь ты. Что в это можно погрузиться с головой «и пусть весь мир подождёт».

Самое неприятное? Для меня это были бессмысленные вечеринки. Больше не пойду, разве что с хорошей компанией. Но в то же время, с хорошей компанией и без вечеринки есть, чем заняться на хакерской конференции.

Мысли на будущее: хочу на следующий DefCon всей семьёй; распланировать программу немного заранее; не ходить на тренинги (разве что по теме, с которой вообще никогда не приходилось иметь дела); выбрать выступления не по принципу «вот это мне вроде в работе актуально», а по принципу «вот эта тема важная и тут знают, о чём говорят» — для расширения кругозора; взять с собой переходники, паяльник и серийный порт.

Если я о чём-то интересном вам не упомянула, спрашивайте — я расскажу с удовольствием.
awesomeness

DefCon, продолжение первого дня

Время выступлений первого дня подходило к концу. Тут выяснилось, что в принципе чтобы слушать выступления, можно вообще никуда не ходить, потому что выступления с четырёх главных треков транслируются по отельному TV. Мы собрались в номере одного из коллег, смотрели выступление активно артикулировавшего дядечки и... ничего не слышали :( Вот что бывает, когда хакеров в одном месте слишком много — как то дитя, что у семи нянек да без глазу. Пропустить выступление было тем более обидно, что дядечка этот — автор бейджа со всеми его безумными головоломками. А нам очень хотелось подсказок! :)

К слову, бейдж этого года — это крошечный x86-совместимый компьютер Intel Quark D2000. Головоломки на нём были как снаружи (в виде крипто-надписей), так и внутри (но как забраться внутрь, это надо было ещё сообразить). Посмотрев на первую же надпись и прикинув частоту появления различных букв, я подумала, что это простой подстановочный шифр, и пообещала к ужину его сломать. Позже выяснилось, что это, вероятно, OTP и попытки взломать его были пустой тратой времени... До сих пор не видела сообщений о том, что кто-то эту фразу прочитал. Но зато мы прочитали кучу других, а мне даже удалось посмотреть, что внутри, через терминал, благодаря моему старинному другу, с которым мы не виделись почти двенадцать лет и вот встретились на конференции.

Всё это время я героически боролась не только с безнадёжным шифром, но и с яростным желанием спать. Два часа сна ночью, да полтора рано утром в самолёте — вот и весь мой сон. Впрочем, 3.5 часа — это вполне в рамках DefCon-а. Я слышала про неписаное правило конференции под кодовым названием 3-2-1: минимум 3 часа сна, 2 приёма пищи и 1 душ в день. Вообще в infosec-е правило 3-2-1 означает совсем другое, но в режиме конференции, проводимой в пустыне, это правило куда актуальнее.


Да, возвращаясь к конференции и коммуникациям. Организаторы конференции предоставляют две сети WiFi. Одна требует предварительной регистрации и организована как-то нетривиально, с хитрой изоляцией сессии каждого подключившегося. Вторая открыта для всех и на ней хакеры как только не развлекались. Кто-то обнаружил на стене записку для сотрудников казино: «У нас тут DefCon — переключайте свои телефоны в авиа-режим». Я предпочла оставаться на LTE и пользоваться VPN-ом для шифрования интернет трафика. Как стало ясно на третий день, это была довольно бессмысленная затея.

Но пока ещё не закончился первый день. После ужина у меня в планах оставался один пунктик — посещение вечеринки в честь женщин-хакеров, проводимой в рамках микро-конференции TiaraCon в том же месте. Я поднялась на 26-й этаж, заглянула на вечеринку, выпила жестянку колы и как-то больше ничего. Сказывались недосып и отсутствие хотя бы одного условно знакомого лица. Какие-то странные люди, мужчины и женщины и как-то всё неловко, неуместно и вообще уныло. К сожалению, это ощущение неуместности подобных сборищ не прошло у меня до сих пор...

[следующее продолжение следует с опозданием...]
awesomeness

Я еду на DefCon!

DefCon — это ключевая конференция в мировом хакерского сообществе. Я целый год мечтала на неё попасть, но в последний момент чуть не сдалась. Вроде бы решила уже, что компьютерная безопасность и хакерство — это совсем не моя тема. А разбрасываться по разным темам только тратить время на несущественное. Да и всякие нелицеприятные истории с конференции, всплывавшие в течение года, тоже не добавляли энтузиазма.

Но вот две недели назад подскочил восторженный коллега «Ольга, ну ты на DefCon уже собралась?» — и вся моя решимость никуда не ехать тут же улетучилась. Я ответила, что пока не уверена, но назавтра буду знать наверняка. Назавтра у меня уже были билеты в Вегас ¯\_(ツ)_/¯.

Что в этой конференции такого особенного? Пока не знаю. Конференция проводится четыре дня, по нескольким трэкам, где рассказывают о разных хакерских новинках, о внутренней кухне взломов и т.п. Там же проводится CTF, есть «деревня» вскрывателей замков и проходит куча всяких сторонних мероприятий. Там собираются не только «белые» специалисты по безопасности, но и всякие тёмные личности и спец. службы всех стран и народов. Сеть wifi, предоставляемая организаторами, традиционно служит площадкой для взлома всего, что хотя бы на секунду случайно пролетит мимо. При малейшей возможности ломают всё, что окажется в пределах досягаемости, не гнушаясь и приёмами социальной инженерии. Вообще самый популярный совет: не берите с собой ни телефонов, ни компьютеров — взломают ВСЁ.

Кстати о советах: все выходные я читала разные статьи для салаг, впервые прибывающих на конференции infosec. Совершенно уморительные вредные советы сыпались как из рога изобилия в твиттере по хэштегу #BadDefconAdvice.

Вот говорят: «Бесспорно, в жизни надо попробовать всё. Но под "всё" обычно имеется в виду наркотики, гомосексуализм, и съемки в порно. Гораздо реже — ядерная физика, альпинизм и шахматы.» Ну так вот DefCon — это такие ядерные гомосексуальные шахматы на альпийских наркотиках. Я по-прежнему не очень представляю, зачем я туда еду :) Но я точно туда хочу: моя жизнь будет прожита зря, если я на нём не побываю!

ps: Начальство отпускает на DefCon за счёт рабочего времени компании, но без командировочных. И при условии, что мы не берём с собой рабочие ноутбуки и не подключаемся к офисной сети во время пребывания в Вегасе.
dragon

Performance review

На работе настал период новогодних резолюций. С каждого сотрудника потребовали отписаться по трём пунктам:
* что они хотели бы начать делать на работе в этом году,
* что бы они хотели прекратить делать, и
* что хотели бы продолжить.

А у вас тоже такие дурацкие performance reviews?

Думала-думала, но как ни старалась, по первым двум пунктам так и не получилось ничего придумать. Как ни крути, оба пункта о том, что человек либо делает что-то плохое, либо не делает чего-то хорошего... и что ты там ни напиши, получится донос на себя.

Поэтому я написала честно: “ничего я тут не могу придумать, зато смотрите, какой у меня богатый третий пункт!” И в третьем пункте действительно список:
* изучить Django и best practices в работе с ним в CI и production,
* подтянуть python,
* принимать более активное участие в выборе/оценке нового инструментария,
* пройти запланированные online-курсы по анализу алгоритмов, облачным делам и криптографии.

Получилась и правда своего рода новогодняя резолюция. Если добавить к ней пару пунктов, то это, в принципе, все мои индивидуально-профессиональные планы на этот год:
* довести до общественно-полезного состояния проект по поиску животных в чрезвычайных ситуациях,
* выбрать и пройти курсы по big data, придумать и реализовать проект, который будет использовать полученные знания.

Как-то это... мало?
dragon

Новинка в мире SSL

Попробовала сегодня баловства ради новинку в SSL-мире — бесплатные краткосрочные (90 дней) SSL сертификаты от Let's Encrypt. Они три дня назад вышли в публичную бету. Тут как раз и к чему прикрутить нашлось.

Как это работает: на своём сервере ставим клиента letsencrypt. Он уже есть в виде пакетов для разнообразных линуксов и во FreeBSD latest. Можно, конечно, и из репозитория на GitHub.

Дальше одной командой генерируется полный набор (ключ, цепочки, сертификат) и ставится куда надо. Например, вписывается в конфигурацию Apache. Можно самим сгенерировать csr и отдать letsencrypt-клиенту на подпись. Можно полностью поручить ему всё:

letsencrypt certonly --standalone -d mydomain.com -m admin-mydomain@gmail.com \
    --server https://acme-v01.api.letsencrypt.org/directory

Он создаёт rsa:2048 ключ, делает csr-запрос, изображает из себя веб-сервер (нужно временно освободить 80-й и/или 443-й порты), сам связывается с CA, получает сертификат и складывает всё в папочку, включая цепочки, признаваемые Apache и nginx.

Процесс по умолчанию несколько интерактивный, но легко упрощается, чтобы можно было использовать при автоматическом конфигурировании. Например, у меня для этого есть ansible.

letsencrypt certonly --standalone \
    -d mydomain.com -m admin-mydomain@gmail.com \
    -t --agree-dev-preview --agree-tos \
    --server https://acme-v01.api.letsencrypt.org/directory

Последняя строчка важна. Без неё клиент идёт на тестовый сервер и получает сертификат, подписанный "Happy hacker fake CA". Выглядит прикольно, но браузерам не нравится.

Вот так это выглядит, если всё правильно сгенерировано:


Браузеры их root CA признают. Тулза SSL Labs, которая проверяет SSL конфигурацию веб-серверов, тоже никаких претензий к ним не имеет.

С появлением Let's Encrypt причин не использовать правильно подписанные SSL-сертификаты в браузерах даже на этапе разработки не остаётся.

PS: Документация есть.
dragon

Отчёт о VolgaCTF 2015

Я так долго и громко готовилась к этому CTF, что не написать о том, как он прошёл, было бы странно.

Очень понравилась организация. Разнообразные, оригинальные, невысосанные из пальца задачи. Видно, что авторы не только очень старались, но и получали удовольствие в процессе их составления. Collapse )

В общем, в результате у нас 110-е место из 600+ зарегистрировавшихся и из 251-й команды, решившей хотя бы одну задачку. Crypto Knights на 84-м месте. Несколько часов подряд мы их даже обгоняли. Две другие команды, зарегистрированные от УлГУ, либо вообще пропустили мероприятие, либо так ничего и не решили. В любом случае, считаю, что CTF удался, участвовали мы в нём не зря и надо играть ещё!

ps: а в результате у команды Nuff Fluff 386-е место во всемирном CTF-рейтинге ;) Мелочь, а приятно.

PS: А ещё благодаря организаторам я узнала о Джессике Фридрих: http://en.wikipedia.org/wiki/Jessica_Fridrich
dragon

PlaidCTF, разбор полётов

Только что закончился 48-часовой PlaidCFT. У меня неплохой score (194-е место из 898 участников). Что должно быть радостно, потому что это одно из самых котируемых соревнований в мире CTF. А мне досадно, что сделала так мало, много времени было потрачено почти впустую из-за плохой подготовки. Поэтому пишу здесь на будущее, что надо иметь наготове для соревнований. Для себя в первую очередь, но может кому-то ещё пригодится.

На хостовой машине и в сети:
* много места, достаточно, чтобы иметь возможность при необходимости развернуть несколько дополнительных полновесных виртуалок со статическими дисками;
* свежие VirtualBox и Vagrant;
* удобный hex-editor;
* привычный графический редактор;
* IRC-клиент;
* доступ к серверу, куда можно лёгким движением руки положить любой файл в открытый доступ (ftp, http — не важно).

Гостевые машины:
* они должны быть предустановлены (не LiveCD) и обновлены (в Ubuntu 9.04, например, для этого в /etc/apt/sources.conf надо заменить xx.archive.ubuntu.com на old-releases.ubuntu.com):
+ пара базовых линуксов (apt-based и yum-based, один из них с X сервером),
+ какой-то старый линукс с устаревшим, но рабочим инструментарием, и X-ами,
+ Kali linux,
+ tails linux,
+ DOS image для VB.
* на них должны быть (где возможно):
+ компиляторы,
+ hexedit,
+ wireshark,
+ ключи для доступа куда надо (в частности, обратно на хост),
+ смонтированные с хоста каталоги,
+ другое (по мере набора опыта)...
* хотя бы один из линуксов должен запускаться из vagrant-а для удобства работы.

Остальное можно доставить по ходу. Но важно иметь наготове основной набор тяжеловесных ISOs и важно, чтобы всё со всем работало.

И ещё пара важных моментов:
* за пару дней до соревнований полезно вспомнить интерфейсы к основным инструментам (если они не используются в повседневной работе),
* обязательно просмотреть writeups с прошедших соревнований для задач хотя бы того уровня, на который претендуешь,
* последнее может привести к серьёзному комплексу неполноценности... я поняла, что многое из того, что делала вручную, натасканные команды сразу кодировали. Поэтому кодить, кодить и кодить... Хорошая тренировка: закодировать пару чужих writeup-ов.
* самой писать writeups (а в идеале, играть так, чтобы в ходе игры writeups возникали сами собой и требовали минимума дополнений).
awesomeness

Кармическая коала, черти и прочие демоны

Поиск «кармической коалы» в Google выдал поистине фантастическую ссылку: «Кармическая Коала. За и против. Христианский взгляд». Ага, это было обсуждение новой версии Ubuntu... на открытом христианском форуме. Автор темы бьёт не в бровь, а в глаз:

Об улучшениях ниже, а сначала я хотел бы коснуться темы названия нового дистрибутива.

Казалось бы в нем нет ничего плохого, однако, такое свиду безобидное словосочетание Кармическая Коала заставляет задуматься о следующем: а не пытаются ли христианам этим новым дистрибутивом Убунту навязать понятия невполне или точнее совсем нехристианские представления о карме, свойственной скорее языческим религиям, вроде индуизма и прочего.

В одном из ответов прозвучало:

Что меня ещё смущает вообще в линуксе, это демоны-процессы. Жалко что их не уберёшь...

Дискуссия фундаментальная. К прочтению обязательна!

awesomeness

PNG, альфа-прозрачность и Internet Explorer

На дворе 2009 год, а я сижу и выписываю (знакомо, да?):

<!--[if IE]>
<style type="text/css" media="screen">
div#bg {
  background-image: none;
  -ms-filter: "progid:DXImageTransform.Microsoft.AlphaImageLoader(src='bg.png',sizingMethod='crop')";
  filter: progid:DXImageTransform.Microsoft.AlphaImageLoader(src='bg.png',sizingMethod='crop');
}
</style>
<![endif]-->

и меня это огорчает все больше и больше.

Collapse )

Вывод напрашивается сам собой: в версиях Internet Explorer-а, начиная с 7-ой, использование AlphaImageLoader абсолютно неоправдано. Даже если вы не знаете, на каком сайте будет использоваться ваш код, и не можете предугадать, в каком режиме браузер будет отображать соответствующую страницу, AlphaImageLoader может лишь ухудшить, но не улучшить ситуацию. Вам остается позаботиться лишь о вымирающем виде питекантропов, которые никак не могут расстаться с IE6. Вот такие пироги!

Collapse )