Konference EuroBSDcon2002, která probíhala v jednom hotelu na okraji Amsterodamu, se zúčastnilo něco přes 250 účastníků. K dispozici bylo připojení na Internet (pomalé, ale bylo), i bezdrátově, ale protože snad všem běžel na počítači dsniff a médium bylo sdílené, vybrat poštu přes nezabezpečené POP3 bylo v podstatě stejné, jako napsat svoje jméno/heslo na informační tabuli v hale (ještě, že máme ssh forwarding…). Počítače byly k vidění různých značek a barev pleti, zajímavé bylo vidět třeba malá Sony VAIO s FreeBSD, PowerBook G4 s OpenBSD nebo HP Jornadu pro změnu s NetBSD. Na konferenci byly nejenom stánky sponzorů, ale samozřejmě FreeBSD, NetBSD a OpenBSD projektů, u kterých se dala zakoupit trička, CD s instalací, manuály, rozdávaly se samolepky, plakáty atp. Vítanými stánky byl také prodej knih nakladatelství O´Reilly a Pearson Education.
Až do posledního, třetího dne jsem se domníval, že jsem na konferenci jediný z České republiky, ale těsně před odjezdem mě česky (po třech dnech angličtiny jsem vůbec nerozuměl :o) oslovila postava s nápisem NetBSD na kravatě, která se představila tuším jako Honza. Takže jsme asi byli dva :o)
Účast byla nicméně velice pestrá, nejvíce lidí bylo z Holandska (překvapivě :o), ale vyskytli se i nadšenci z US nebo z Japonska.
Program začínal v pátek sadou tutoriálů, v sobotu a neděli byly přednášky, jejichž náplň byla rozličná, ale měla společného jmenovatele, a to BSD. Bylo toho dost a často jsem nevěděl, co zvolit. Časový rozvrh byl těsný a přednášející občas jen tak tak stihli dokončit svou prezentaci a už následoval další příspěvek.
Pátek
V pátek dopoledne jsem poslouchal zasvěcené rady Hanse van de Looye a Brendy Langedijk, jejichž tutoriál měl název „Using the FreeBSD ports collection to perform network forensic analysis“. Následovaly hodně podrobné informace o postupu případného vyšetřování, na co je třeba dbát, jak prezentovat nalezené výsledky soudu atp. Až mě překvapilo, do jaké hloubky detailů a podrobností se Hans dostal. Potom jsme dostali záznam síťového provozu a úkolem bylo analyzovat, co se stalo a proč, kdo co způsobil, jaké použil nástroje apod. Postupně se ze sálu začaly ozývat hlasy, jaké že to jsou důležité informace, čím začal útok apod., a časem (asi za hodinu) jsme se dopracovali k určitým výsledkům, ale byla to hrozná „piplačka“. Útočník v průběhu vlastního útoku cílový počítač ještě „proplachoval“ Nessusem, takže výsledkem byl hodně nepřehledný záznam, kde se neustále prolínal vlastní útok na www služby a scan Nessusu, navíc na www stránkách byl (jenom) jeden obrázek a jeho přenos se tam taky všude motal (protože jsem ten den vypil nějak hodně kafe, večer jsem nemohl spát, tak jsem celý záznam analyzoval znovu a zabralo mi několik hodin, než jsem to jakž-takž rozebral, a to v záznamu simulovaného útoku byly pouze tři IP adresy…). Hans nás varoval, že kompletní vyšetřování podobného reálného případu může trvat roky, což si celkem dovedu představit, pokud je to živý systém, kam přistupuje celá řada IP adres, pokud se analyzuje i filesystém, tak je to další práce navíc. Nejvíce se používaly Ethereal, tcpdump, tcpshow a podobné nástroje.
Analýza filesystému, resp. image diskety, byla i náplní další části tohoto celku, kterou přednášela Brenda. Bylo pro mě poměrně neobvyklé vidět ženu, kterak mluví o forensic analýze filesystému pomocí prostředků dostupných v *nixu, nicméně, stejně jako Hans, i ona měla nesporně za sebou řadu praktických zkušeností.
Cílem byla v tomto případě analýza image diskety, která byl nalezena u kohosi podezřelého z prozrazování důvěrných firemních informací (šlo samozřejmě o simulaci, nedostali jsme žádná reálná data). Začalo se shrnutím dostupných prostředků, jak asi postupovat, a pak hurá na to.
Disketa byla v podstatě prázdná, ale za chvilku se ukázalo, že na ní jsou smazané soubory, které je možné obnovit, některé z nich mají sice koncovku .gif, ale obrázek to není apod. Shrnuto, podtrženo jsme v jednom souboru objevili text, který vypadal jako jakési varování, ale obsahoval i heslo, které se dalo použít na jeden z obnovených souborů, kterým byla excelová tabulka s finančními výsledky firmy.
Veškerá práce probíhala v unixovém prostředí a opět, protože jsem se s podobným druhem práce nikdy nesetkal, mě překvapilo, jak snadno jdou obnovit smazané soubory z filesystému, vyhledávat v nich řetezce apod. Používané nástroje byly Autopsy a TASK, pak jistě všem známé příkazy jako strings, file atp.
Odpoledne následoval druhý tutoriál, přednášel Ian Darwin, název přednášky byl „Secure Internet Firewalls With OpenBSD“. Protože s OpenBSD celkem dlouhou dobu pracuji, většinu informací jsem již znal, nicméně opakování je matka moudrosti a Ian je jednak dobrý řečník, jednak odborník na slovo vzatý, takže zabrousil i do oblastí, o kterých jsem dosud neslyšel. Seznámil posluchače s vlastnostmi OpenBSD, s původem a důvody vzniku a nastínil některé současné vlastnosti, i ty, které se objeví teprve v další verzi.
Sobota
Sobota, kterou zahájil skvělou a dlouhou řečí o vývoji BSD Mike J. Karels (mimochodem, kdo se chce dopodrobna seznámit se strukturou, historií a návrhem BSD, doporučuji knihu „The Design and Implementation of the 4.4BSD Operating System“, jejíž je Mike Karels spoluautorem), už byla čistě ve znamení přednášek. První dvě, které jsem navštívil, byly o VPN za použití OpenBSD/FreeBSD, přičemž hlavně ta druhá, „Advanced VPN support on FreeBSD systems“, přednášející Riccardo Scandariato, byla skutečně zajímavou „case study“, kdy byla upravena VPN podpora na BSD systému, pro podporu vícero routovacích tabulek, pro každou VPN jinou tabulku, na jednom počítači.
Hned následoval příspěvek o srovnání výkonnosti Postfixu, Sendmailu a Eximu na různých variantách Unixu, konrétně na FreeBSD, NetBSD a MacOS X.
Přednáška o ladění OpenBSD pro vyšší výkon úpravou konfigurace proměnných kernelu, sledování zatížení systému pomocí různých nástrojů apod. byla velice zajímavá, hlavně proto, že se jednalo o příklady z praxe spolu z ukázkami. Bohužel na část prezentace se z časových důvodů nedostalo a ve sbornících, kde jsou všechny prezentace vytištěné, zůstalo ještě mnoho neprobraného textu. Existují i jiné možnosti, než slepě přihazovat pamět nebo měnit procesory :o)
Poslední sobotní prezentací byl přehled možností autentizace ve FreeBSD ve verzi 5.x pomocí PAM modulů. Pobavila mě závěrečná zmínka o ověření pomocí biometrických údajů, hlavně to, jak jim autor prezentace, Dag-Erling Smorgrav, zatím vůbec nevěří, protože ověření pomocí otisku prstu přelstil pomocí gumového medvídka nebo chirurgické rukavice, ověření na základě lidského obličeje pokořila fotografie (ale muselo se s ní před kamerou trochu hýbat, aby to vypadalo „živě“), případně se dotyčný nahrál na video a potom se před ověřovací mechanismus přinesl notebook, na obrazovce se pustil mpeg a voila, access granted…
Neděle
Neděle pro mě začala zajímavým příspěvkem nazvaným „Securing Syslog on FreeBSD“ od Alberta Mietuse. Probral problematické body současného syslog řešení (UDP přenos, možnost podvrhu záznamů, jeho změny v logu či po cestě, ztráty zprávy atp.) a předvedl řešení, které nijak nezasahuje do současného kódu, ale (v krátkosti) počítá z každé zprávy hash a posílá ho také na syslog, kde se potom, off-line, ověří, zdali hash odpovídá.
„Using BSD for current and next generation voice telephony services“ – to byl název další přednášky a hodně mě zaujalo, co že to GNU Bayonne, OS systém pro telefonní služby umí, kde všude již je nasazen a jak slouží. Když člověk vidí komerční systémy, které umí zhruba totéž, a diví se, co to všechno umí a jak na to ta firma vlastně přišla, a následně to srovná s OS řešením, které je pod BSD licencí, přijde mi, jako by si ta řešení z oka vypadla.
Xperteyes, to je název softwaru, který kontroluje, zdali se na systému něco nezměnilo, jestli někdo nepřidal/nesmazal užitele či soubor, nezměnil práva atd., to vše prezentováno na MacOS X, vypadalo to hezky, samá grafická okýnka, barvičky atp., ale celkem složitě.
Přednáška, která nakonec vyhrála jako nejlepší na EuroBSDconu, tento rok nesla název „Timecounters: Efficient and precise timekeeping in SMP kernels“. Přednášejícím byl Poul-Henning Kamp, vývojář FreeBSD, známý také svou beer-ware licencí (v podstatě něco jako „if you like this code, buy me a beer“). Poul měl absolutně fantastický projev, kterému jsem občas nerozuměl (nejsa programátor), ale i tak, informace o udržování času a synchronizaci času v kernelu jsou evidentně těžší, než jsem si myslel. Přesnost ne v sekundách, ale v nanosekundách je nesporně zajímavou problematikou. Podle Poulových měření je v současné době FreeBSD operačním systémem s nejpřesnějším udržováním času na světě. Velice zajímavá přednáška, právem vyhrála.
Ještě k té beer-ware licenci, v sobotu večer se celkem velká skupina lidí sebrala, každý vzal pivo a odnesl ho Poulovi, protože „we like your code“ :o).
No a pak už následovalo zakončení konference, předání ceny za nejlepší přednášku, poděkování sponzorům a krátká diskuse o následující EuroBSD v roce 2004. Bude s největší pravděpodobností v Paříži.
Na webu eurobsdcon2002.org se můžete podívat na obrázky z konference a kompletní program.
Ještě jedna poznámka, kterou si neodpustím – když jsem přiletěl na Ruzyň a hledal jsem svou přítelkyni, padl mi zrak na jakýsi stroj vedle parkovacího automatu, na jehož obrazovce se vyjímala BSOD. Nevím sice, co měl původně plnit za funkci, ale znovu mě napadlo to, co říkal tuším Mikeš(?) v pohádce „O statečném kováři“ – A nedají si říct a nedají…
Závěrem bych tímto chtěl poděkovat firmě Core Computer, ve které pracuji, za to, že mi umožnila být na téhle bezvadné události.
