Hlavní navigace

Reportáž z prvního dne letošního Openweekendu v Praze

Radim Radoomek Kolář 14. 11. 2001

Hned na začátku musím říci, že to byl úspěch. Pokud se organizátorům podaří zajistit podobně kvalitně i příští ročník, nemusejí se o tradici moc starat. To přijde samo. Není možné sem nahustit, co všechno přednášející publiku sdělili, ale pokusím se vám přiblížit, jak to přímo na místě od samého rána vypadalo. Kruté okamžiky ranního vstávání sobotního a dopravu však s dovolením přeskočím.

8:20
Prošel jsem pod kovovou plastikou, kterou studenti láskyplně nazývají tranzistor, a vstoupil jsem do haly v Elektrotechnické části ČVUTu v Dejvicích. Oproti letům, kdy jsem zde studoval, se mnohé změnilo. Tak například vrátný byl jiný a nástěnky- špendlíkovky byly nahrazené elegantními prosklenými inzertními panely. Zato hloučky lidí byly standardní, jen vypadaly tak nějak nadšeněji a nesálala z nich ona klasická odevzdanost a nevole při ranním vyučování.
Do učebny, oblíbené 209ky, nás však hned nepustili. Kolega-organizátor nás odchytil a nakumuloval dole pod schody a do vyšších sfér nás pustil až ve třičtvrtě na devět. Předtím ještě od jednoho rejpala padla věta, že organizace lehce skřípe, a to je dobré znamení, protože to znamená, že existuje (no jo, tak jsem to byl já, no). Byl to ale také poslední důvod ke stížnostem. Kolegové ze Studentské Unie to měli jinak perfektně připravené.

8:45
Dav byl vypuštěn do druhého patra, kde se vcelku spořádaně řadil u dveří. Tam nás velmi rychle prolustrovali a nechali nás usadit se na libovolné místo v posluchárně. To bylo naposledy, kdy byla rozumně průchozí.

8:52
Zbývalo ještě šest předních řad neobsazených. Na promítacích plátnech se objevila kompilace jádra – zřejmě, aby si ji všichni mohli plně vychutnat na ploše 3×3 metry. Byl to příjemný a zajímavý pohled.

9:02
Z reproduktoru se ozvala první slova organizátorů. Byla to tato: „Jedna, Jedna, chrrrr“.

9:09
Do sálu se nahrnul dav lidí, kteří se předem nezaregistrovali. Rychle tak opravili můj mylný názor, že některá místa zůstanou prázdná.

9:13
Plní se i postranní balkónky posluchárny, kam jsou přeneseny lavice z chodby.

9:15
Celé to začalo. Michal Medvecký poděkoval sponzorům, zadoufal v zavedení tradice a představil prvního řečníka. Zároveň se omluvil zpoždění a že technika ještě není zcela připravená a videopřenos na internetu tak začne, jakmile se technikům podaří vše nastavit. Přenosovou a projekční techniku zapůjčila firma Complex a o obsluhu se starali lidé ze System602. Dalšími sponzory byli ČVUT, www.jobs.cz a Studentská Unie, která celou tuto akci ve skutečnosti zorganizovala.

9:17
Různé typy útoku – Jakub Trávník

Jakub začal obligátním vyjasněním pojmů, kdo je to hacker a kdo cracker. Po poněkud nesmělém začátku, zcela pochopitelném při první přednášce před dosud neznámým publikem, pak schematicky přiblížil a rozdělil útoky podle typu. Zmínil útoky zevnitř i vzdálené útoky a nastínil základní možnosti obrany proti nim. Zmínil elementární, a proto tak oblíbenou, chybu např. v CGI, kdy autoři skriptu neošetří korektně vstupní znaky. Jazyk C, na němž je vybudovaný např. Apache, postrádá kontrolu limitů polí, což tvůrcům skriptu činí potíže. Opomenuty nezůstaly ani DoS (Denial of Service) útoky a mnoho dalších hrozeb pro počítače, čímž byla připravena půda dalším rečníkům. Závěrem pak předvedl několik ukázek nekorektního CGI kódu.
HTML materiál k přednášce je zde

10:45
SSL – Dominik Joe Pantůček

Dominik vstoupil do arény a od samého počátku byl ve svém živlu. Nejprve promluvil o nutnosti a účelu zabezpečení. Politoval svou osobu, neb on se nám představil, zatímco my jsme pro něj byli zcela neznámí, a uvedl tak kapitolu autentizace a nutnost zjištění a ověření identity v komunikaci. Poté přešel k podstatě šifrování a základním principům šifrované komunikace. Rozebral elektronický podpis, zajištění nepodvržitelnosti, autentizační certifikáty, certifikační autority a další věci. V praktické části přednášky postupně osvětlil a předvedl na živo postup při tvorbě certifikátu pomocí OpenSSL balíku. Závěrem poosvětlil situaci v Čechách v oblasti zabezpečené komunikace s úřady a na komerční úrovni, kdy sice máme zákon a již i jakousi prováděcí vyhlášku o elektronickém styku, nicméně obojí je takové, že bude ještě dosti obtížné na jejich základe stvořit něco funkčního. Poté následovaly dotazy a minibeseda s publikem, kterou ukončil mohutný a zasloužený aplaus.
Materiály k přednášce bohužel zatím nejsou dostupné.

Lunch Time

Had vědění lačných posluchačů se přeměnil na hada na košíčky a vozíčky čekajících zákazníků v blízké Delvitě. Jejich sbírka baget a pečiva utrpěla viditelné šrámy, zatímco pokladní přepnuly na vyšší výkonnostní stupeň (tzv. turbo).

13:30
Ochrana na úrovni jádra – Milan Pikula

Po obědě přišel na pódium před viditelné pookřálé publikum Milan Pikula, autor systému Medusa DS9. Tato přednáška byla opravdu profesionální. Milan sice zpočátku mluvil s kadencí kalašnikova, ale přesto nebyl problém jeho slovenčině rozumět. Úvodem zmínil fakt, že nejvhodnější z hlediska bezpečnosti je mít počítač neustále vypnutý, ale není to příliš praktické. Proto je nutné hledat jiná řešení. Jako jedinou rozumnou alternativu vidí ochranu přímo v jádru. Představil v obecné rovině stávající modely ochrany, které však nejsou dostatecně komplexní, neboť ve valné většině případů se jedná o konkrétní implementaci některého úzkého bezpečnostního modelu. Poté vyjmenoval požadavky, které od zabezpečení požadujeme (odstínění aplikací, přesná přístupová práva, různé úrovně přístupů a snadné spravování systému), a přístupy ke stanovení určité naší bezpečnostní politiky. Na příkladu přístupové matice, kde Adam a Eva mají definovaný přístup k sešitu mat. analýzy a Evině deníčku, demonstroval nedostatečnost konkrétních definic pro konkrétní data. „… tu úplne chýba podchytenie hada a prístupu na jablko …“, které výčtové mechanismy nejsou schopné ošetřit.
Několika slovy představil řešení GRSecurity a LIDS. Poté se věnoval robustnějším RSBAC, SELinuxu od NSA, TrustedBSD a nakonec Meduse. Té byl ostatně věnován zbytek přednášky. Milan vysvětlil princip virtuálních světů, kdy každý typ zařízení i dat je přiřazen do některého virtuálního světa, který má určitá privilegia, a zároveň každý, kdo na zařízení má přístup, má opět definována určitá privilegia v rámci svého světa. Kombinací světa přistupujícího se světem příslušným objektu, na který přistupuje, se určí, co bude dál. Prakticky pak předvedl konfiguraci security serveru – Constable, kde si každý administrátor jednoduše nastaví systém pravidel dle vlastních požadavků. Jak jsem již zmínil, Milan hovořil opravdu velmi zkušeně a asi málokoho by napadlo, že stejnou přednášku nedělá nejméně popáté. Proto mě překvapilo, když mi po přednášce řekl, že povídal první, co ho napadlo, protože na přednášce to opravdu nebylo poznat a navíc se publikum výborně bavilo. O výňatky z praktické ukázky konfigurace Medusy pro konkrétní příklady se s vámi podělím:

Nejprve vytvořil dva objekty, ten, na který se bude přistupovat (objekt), a útočný program (subjekt)

„… Vytvorme si pokusné súbory: /bin/ladin a /bin/bush …“
„… dáme /bin/bush-ovi UID=0, EUID=0, ECAP=CAP_FULL … a to by mu mohlo stačiť …“

poté demonstroval, jak má subjekt přístup na objekt

„Bohužiaľ, /bin/bush má prístup k hocičomu. Teraz sa pokúsime zastreliť /bin/ladin“
„… bohužiaľ sme ho zastrelili … pokúsime se nájsť, kde bola chyba …“

chvíle konfigurování a /bin/ladin měl pak být pro bushe neviditelný

„Zase ho vidíme … Zase ho zastrelíme …“

nepovedlo se, Medusa nedovolila bushovi zastřelit ladina

„ako vidíme špionáž možno majú dobrú … ale nevedia ho odtiaľ vyhrabať …“

další řádek v konfiguráku a objekt a subjekt jsou odstíněné

„… tak a už ho ani nevidíme …“
„Ako vidíte, reálny svet vieme s Medusou namodelovať celkom ľahko, stačí zopár riadkov konfigurákov …“

Když pak Milan v závěrečné diskusi s publikem prohlásil, „… ja sa bezpečnosťou nezaoberám …“, publikum by sneslo klidně ještě další hodinovou přednášku. Nicméně čas se nachýlil a se slovy „Vraveli mi: dobrá prednáška je taká, ktorá vyčerpá tému … i poslucháčov“ ukončil Milan své působení. Odměnou mu byl mohutný aplaus. Věřím, že jen málokdo v sále nepojal úmysl si Medusu minimálně zkušebně nainstalovat.
Text přednášky je zde a zde jsou stránky projektu Medusa DS9

15:00
Kryptologie – Vlastimil Klíma

Započala přednáška zřejme nejznámějšího českého kryptologa, pana Vlastimila Klímy z firmy DECROS. Pan Klíma se již 20 let zabývá kryptologií a kryptoanalýzou a na svém kontě má i několik vlastních šifer. Jedná se tedy o člověka zajisté povolaného k přednášení tohoto nelehkého tématu. Úvodem, při obligátním vyjasňování pojmů, se svěřil se svým (údajně nepříliš úspěšným), bojem proti používání zběsilých patvarů, zaváděných do češtiny, obvykle techniky. Místo šifrování, dešifrování totiž většina lidí zavile používá slova jako kryptování, autentifikace, dekryptace apod. (k pobavení publika i svému vlastnímu pak v průběhu přednášky sám šlápl do močálu patvarů, ovšem při diskusi snad nepadl dotaz, kdy by tazatel patvar nepoužil). Bohužel opravdu není možné materiál řekněme na semestr (úvodní kurs nejdoucí do hloubky) rozumně vměstnat do 90 minut, a tak nemohl ani u velmi zajímavých pasáží do hloubky. Nicméně věřím, a závěrečné dotazy tomu nasvědčovaly, že minimálně Vernamova šifra utkvěla v hlavách přítomných, a nejen ta. Pan Klíma nastínil principy proudových i blokových šifer. Zmínil budoucí standardy v šifrování, kdy v USA zvolili za AES (státní standard pro šifrování neutajovaných dat) belgickou Šifru Rijndael. A jak je dnes obvyklé, bude tato brzy standardem po celém světě. Přiblížil také problematiku generátoru náhodných čísel i praktického používání šifrování. Soudím, že přes postupující únavu v radách posluchačů a tématicky poněkud teoretický námět své přednášky byl pan Klíma velice úspěšný a aplaus to ostatně potvrzoval.
Slajdy k přednáškám zatím nejsou k dispozici, nicméně v např. v časopise Chip vyšlo prakticky vše, kontakt na pana Klímu je: Vlastimil.Klima@decros.cz

16:30
Hacker versus Administrátor – Michal Medvecký a Pavol Lipták

Pokud byl na setkání přítomný někdo z bývalého páně Dastychova týmu, oči se mu rozšířily a právě v tuto chvíli mohl zapnout odposlech. Michal a Pavol předvedli typický hack serveru přes díru v CGI kódu. Pavol u tabule komentoval probíhající děj a Michal bušil do klávesnice. Obětí hacku se stal vlastní server Openweekendu. Jeho admin, který sám do kódu díru přidal, stál opodál a v jednu chvíli Michalovi radil, co dál podniknout. V podstatě chlapi ukázali, že kdo má čas a umí anglicky dost na to, aby pochopil, co říkají RFC, Bugtraqy či helpy k hotovým exploitovým skriptům, se dnes může stát hackerem. Tedy přesneji hackerem pro novináře, crackerem pro odborníky a script-kiddiem pro hackery. Chyb, které lze zneužít, například v CGI skriptech, je moře a jsou svou povahou jak dost nebezpečné, tak i velmi snadno zneužitelné i pro začátečníky. Pavol průběžne na druhé promítací ploše ukazoval ve schematu, co by měl admin dělat a jak se proti chybám a útokům bránit. Zároveň zdůraznil, že mnohé ochranné prostředky, kterým lidé bezhlavě věří, jsou neúčinné, a které jsou naopak dobré. Jak se postarat o stroj, aby byl odolný a dobře chráněný, bylo však námětem až přednášky v neděli.
Text přednášky najdete zde

První den Openweekendu se velmi vydařil. Neděle jsem se bohužel již nemohl zúčastnit, ale texty přednášek jsou mnohem kompletnější než pro den první a naleznete je VPN, IPSEC Vladimír Kotal
Firewally, IDS Martin Tomášek
Aplikace firewallu
Linux: iptables, ipchains – Pavol Lupták (SH)
BSD: ipfilter, ipfw – Michal Kutnohorský (freebsd.cz)
SSH – Petr Nejedlý
Linky, kde hledat – Tomáš Borland Valenta

Fotografickou dokumentaci pořídil redaktor Britských Listu Štěpán Kotrba, takže můžete nahlédnout do atmosféry v sále alespoň zprostředkovaně touto cestou.

Na adrese Openweekendu se můžete přihlásit do maillistu, který vám oznámí, až bude celý videozáznam (téměř) Openweekendu k dispozici plus další informace.

Těším se na příští ročník Openweekendu, byť mám obavu, že jeden sál nebude zdaleka stačit a druhá posluchárna, kam byly přednášky letos přenášené videotechnikou vesměs pro jednoho člověka, bude podstatně plnější než letos.

Našli jste v článku chybu?

16. 11. 2001 14:01

Navara (neregistrovaný)

Na OpenWeekendu mi schazelo zajistene nejake ubytovani (klidne telocvicna) - coby student nemuzu dat tolik penez za ubytovani, kolik v Praze chteji, takze jsem ani nemohl prijet :o(

15. 11. 2001 18:35

Lembloud (neregistrovaný)

Mno, funkce verejneho a tajneho klice zas tak vseobecne znama vec neni :-) V kazdem pripade, kdyz uz pises clanky do Roota, zkus si pripravit nejakou prednasku o vseobecne nezname veci (ty prekladace by me celkem zajimali ;-)

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Nenechte se ošidit, když vám staví dům

Nenechte se ošidit, když vám staví dům

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Vitalia.cz: Co pomáhá dítěti při zácpě?

Co pomáhá dítěti při zácpě?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?