HTML

csabika25 élet és geek blogja

Annyi mondanivalóm van a világnak. Ez néha jó, néha nem jó. A web 2.0-ban élek, és az IT biztonságban dolgozom. Ezt a kettősséget nehéz feloldani, de ebben a blogban mégis megpróbálom.

Friss topikok

Linkblog

Szubjektív az Ethical Hacking konferenciáról

2010.05.03. 13:07 | csabika25 | 4 komment

Címkék: hacktivity konferencia hacker itbn ethical hacking

Nehéz egy rendezvényről úgy beszámolni, hogy ne közhelyeket és általánosságokat írjon az ember. Különösen úgy, hogy nem igazán tudja ezt a kívülálló szemével, a laikusok rácsodálkozásával megtenni, ahogy azt a mainstream média képviselői évről-évre, hacker konferenciáról hacker konferenciára megteszik. Jééé, a magyar hacker közösség nem úgy néz ki, ahogy azt az ember a hollywoodi filmekből várná. Se nagy piros access denied felirat, se autista kockák, se potyogó zöld betűk (na jó, az egyik előadó képernyővédője azért ezt hozta). A magyar hacker közösség és az eziránt érdeklődő szakmabeliek ezzel ellentétben pontosan olyanok, mint bármelyik IT-s bármelyik nagyvállalatnál. És ez így van jól, hiszen beérett az a többéves erőfeszítés, amiért oly' sokan oly' sokat dolgoztak. A következő elemzés célja, hogy a Nyájas Olvasó betekintést kapjon ebbe az egészbe.


Magyar hackerek mindig is voltak, mióta hazánkban számítástechnika létezik. Ott voltak akkor, amikor nyugatról "valahogy beérkezett" informatikai eszközöket kellett visszafejteni, amikor az első honlapok megjelentek, amikor az internetezés és a hozzá kapcsolódó szolgáltatások kezdtek tömegessé válni (Elender hack, tetszik emlékezni?). Aztán lett valamiféle közösség is, IRC-n szerveződve, aztán honlap is (Dodge Viper, ha még emlékeznek rá), 2003-ban pedig már konferencia Hacktivity néven. Az először csak 50 fővel tartott összejövetel tavaly már 500 érdeklődőt vonzott. 2005-ben megrendezésre került az Informatikai Biztonság Napja (ITBN), mely a Hacktivity-vel párhuzamosan szintén jelentős közösségépítővé vált, hiszen az 1000-1200 látogató lefedi a szakma jelentős részét. És ehhez társult az Ethical Hacking Konferencia (EH), melyet idén harmadszor rendeztek meg, és tavasszal is találkozási lehetőséget nyújt az érdeklődőknek. Van tehát három olyan konferencia, mely részben vagy egészben, de a hackeléssel foglalkozik, láthatóvá téve a szereplőket a külvilág felé. Tehát nem valamiféle misztikumról van szó, bár lehet, hogy az EH előadásai után sokan így gondolhatták.


E cikk írója, aki végigkövette mindhárom rendezvényt a kezdetektől, sőt egyiknek éveken keresztül szervezője is volt, az idei EH után mondhatja el először azt, hogy hazánk elérte azt a szintet, amit a 2000-es évek elején látni szeretett volna. Ezek a következők voltak: tömeges érdeklődés a szakma, a laikusok és a média részéről, világszínvonalú előadások olyan előadóktól, akik bárhol megállnák a helyüket, és egymással kooperáló, a másikat kiegészítő rendezvények. A közösséget és a médiát már kiveséztük, lássuk a többit! Nyugodtan mondhatom, hogy van hacker elitünk. Bátran állítható, hogy Barta Csaba, dnet, Buherátor, a most nem előadó Pánczél Zoltán, valamint az eddig (látszólag) ismeretlen Kabai András bármelyik európai konferencián a legjobb előadók között lennének. És vannak még egy páran, akiknek képességeik alapján ebben a körben lenne a helyük, csak kell hozzá még egy pár előadásnyi rutinszerzés. Vagy egyszerűen nem ismerjük őket, de az út előttük is nyitva áll a közösségbe való tartozáshoz. Az általam elitnek tartottak egy része pedig saját céget gründolt, a Silent Signal hosszú idő után újra egy olyan (ex)hackerek által alapított cég Magyarországon, amilyeneket az amerikai hírekből hallhatunk. Az EH volt az első nyilvános megjelenésük, további sok sikert nekik!

Életkép az Ethical Hacking 2010 konferenciáról, forrás: antivirus.blog.hu


Az előadásokkal kapcsolatban is csak dicséretet lehet mondani, ugyanis Fóti Marcell és a Netacademia csapata magasra tette a lécet a meghívott előadóknak. A néhány éve még nagyon megcsodált SQL injection-ök és XSS-ek már kaptak lesajnáló megjegyzéseket, de az alkalmazott buffer overflow támadások még az értő közönségből is elismerést váltottak ki. A saját fejlesztésű kódok és a 0-day támadások széles körben használt rendszerek ellen utat mutatnak mindenkinek, aki valamelyik rendezvényen "hackerként" szeretne előadni. Ez így van jól, minél magasabban van a léc, amit át kell ugrani, annál elismertebbek lesznek honfitársaink a világon.


Végül a rendezvények közötti kooperációról. Egyszerre van meg az együttműködés és a verseny. Az EH-n a másik kettő képviselői is standdal jelentek meg, a szervezők között párbeszéd van, és bár a látogatók nagy része mindhárom eseményen megjelenik, mégis más dolgokat lehet hallani. Az EH meghívott előadókkal dolgozik, szigorú minőségi kritériumokkal. A Hacktivityre szabadon lehet jelentkezni, nyitott az utánpótlás útja. Az ITBN-en a piacon dolgozó cégek mutatják be kínálatukat, de idén először nyitott az út egyetemistáknak, főiskolásoknak is. Az előadók között biztosan lesznek átfedések, de senki nem engedheti meg magának, hogy kétszer süsse el ugyanazt a prezentációt. Nekünk, nézőknek pedig ez az igazán jó: minőségi szórakozást kapni, minimális belépti díjért. A Hacktivity-n pedig magát Bruce Schneiert láthatjuk és dedikáltathatjuk a könyveit, ami bizonyosan egyfajta csúcsot jelent. De ne érjük be ennyivel! Hajrá fiúk, mutassátok meg, mit tudtok!

Élménybeszámoló a hivatalos PCI DSS tanfolyamról

2010.04.28. 12:12 | csabika25 | Szólj hozzá!

Régóta vártam, hogy eljussak a Payment Card Industry Security Standards Council (PCI SSC) által szervezett PCI Data Security Standard (PCI DSS) oktatásra, melynek idei európai állomását Budapestre szervezték. A PCI DSS ugyanis napjaink egyik, ha nem a leginkább felkapott IT biztonsági követelményrendszere, melynek részeit vagy egészét elvileg minden bankkártyát elfogadó, feldolgozó és tároló cégnek be kéne tartania. Tim, a PCI SSC vezető oktatója mellett eljött Troy, a szabvány "főszerkesztője", és a QSA program koordinálásáért felelős hölgy, akinek a nevét nem jegyeztem meg. Szóval tényleg első kézből kaptunk információkat. Magyarországon egyelőre elég kevés auditált szervezetről tudunk (ez idő szerint pl. a VISA-nál a Giro Bankkártya és az Euronet), de ha követjük az amerikai trendeket (ahogy egyébként szoktuk), előbb-utóbb Magyarországon is fejtörést fog okozni több cégnél a megfelelőség kérdése. Ehhez képest összesen négyen voltunk magyarok a tanfolyamon, ami azért elgondolkodtató... Éppen ezért próbálok egy rövid összefoglalót írni, melyben a legérdekesebb kérdéseket veszem sorra!

Első feladat a PCI DSS meghatározása. Ez tehát egy olyan szabvány, ami a bankkártyák adatainak (cardholder data) biztonságát hivatott garantálni, akár elektronikus, akár más formában. Bankkártya adat alatt értünk mindent, ami a kártyán szerepel: a számát, a tulajdonos nevét, a lejárati dátumot, a mágnescsík tartalmát, a CVV2/CVC2 számot, stb. Ezeket az adatokat előszeretettel lopják és másolják, ami nyilván nem tesz jót a technológiával szembeni bizalomnak. Érdekes statisztika, hogy az Identity Theft Resource Center szerint 2010. április végéig csak az USA-ban 1.815.103 adat szivárgott ki a pénzintézetektől, aminek túlnyomó többsége feltételezhetően bankkártyához kapcsolódik. A PCI SSC, melyet a kártyakibocsátó cégek (Visa, Mastercard, JBC, Discover, American Express) hoztak létre, a minél biztonságosabb adatkezelés érdekében ezért kétévente frissített formában kiadja a PCI DSS-t, ami jelenleg az 1.2-es verziónál tart. Októberben pedig jön az 1.3-as változat. A szabvány egyébként nagyon jól használható más területeken is, ugyanis nagyon hasonló az ISO 27002-höz, de attól eltérően egészen konkrét, az iparági gyakorlatokat gyűjti össze.

A bankkártyával kapcsolatba kerülő minden szervezetnek meg KELL felelni ennek, bár eltérő mértékben. A legkomolyabb felelősség a kártyatársaságokkal (card company) szerződő elfogadóknál (acquirer) van, akik kapcsolatban állnak a kereskedőkkel (merchant) és a szolgáltatásnyújtókkal (service provider). Elfogadóból kevés van, kereskedőből sok, a folyamatokat pedig az alábbi ábra mutatja be.

Forrás: http://www.napcp.org/resource/resmgr/p-card_introduction/figure_1_transaction_flow_ch.jpg

A kereskedők különböző méretűek, vannak, akik rengetek kártyával találkoznak, vannak, akik évente csak néhánnyal. Az elfogadó feladata, hogy a kártyatársaság szabályai alapján kikényszerítse a PCI DSS megfelelést a kereskedőitől. Az egyszerűség kedvéért a Visa Europe szabályai alapján mutatom be az elvárásokat.

A kereskedők forgalom alapján négy csoportba oszthatók, mely beosztás az elfogadó feladata:
- Level 1 merchant: Azok, akik évente legalább 6 millió Visa tranzakciót bonyolítanak le hagyományos (card present) és elektronikus (card-not-present) formában, illetve azok, akiktől kártyaadatokat loptak.
- Level 2 merchant: Az évente 1 és 6 millió VISA tranzakciószám közötti kereskedők.
- Level 3 merchant: Évente 20.000 és 1 millió közötti elektronikus (card-not-present) VISA tranzakciót végrehajtó kereskedők.
- Level 4 merchant: Azon kereskedők köre, akik évente kevesebb, mint 20.000 elektronikus vagy 1 milliónál kevesebb hagyományos VISA tranzakciót hajtanak végre.

Kereskedők megoszlása az USA-ban, forrás: http://usa.visa.com/download/merchants/cisp_pcidss_compliancestats.pdf

Különböző szinteken különböző vizsgálati követelmények vannak. Ehhez tisztázni kell a vizsgálati köröket. A legkomolyabb ellenőrzéseket a Qualified Security Assessor (QSA) végzi, mely olyan cég, melynek szakemberei klasszikus IT biztonsági auditot folytatnak a vizsgált szervezet telephelyén. Az Approved Scanning Vendor (ASV) olyan cég, mely távolról végez sebezhetőségvizsgálatot a célcég informatikai rendszereire nézve. A QSA és az ASV is külsős cég, de bizonyos pl. a Mastercard megengedi belső ellenőrök működését is, akik az idén induló képzést elvégzik. Fontos fogalom még a Self-Assessment Questionnaire (SAQ), mely egy kérdőív, amire később még visszatérek, valamint az Attestation of Complaince (AoC), ami a cég nyilatkozata a megfelelőségről. A fenti tranzakciószámok szerinti csoportoknak a VISA szerint a következő vizsgálatokat kell elvégeztetnie:
- Level 1 merchant: Évente QSA vizsgálat, negyedévente ASV vizsgálat, AoC kitöltése.
- Level 2 merchant: Évente SAQ kitöltése, negyedévente ASV vizsgálat, AoC kitöltése.
- Level 3 merchant: Évente SAQ kitöltése, negyedévente ASV vizsgálat.
- Level 4 merchant: Évente SAQ javasolt, negyedévente ASV javasolt, de a konkrét követelményeket az elfogadó határozza meg.

Vegyük elő újra a SAQ kérdését! A PCI SSC 5 csoportba osztja a kártyával kapcsolatba kerülő kereskedőket, akiknek négy különböző típusú SAQ-ot dolgoztak ki:
1. Card-not-present kereskedők(internetes boltok, telefonos értékesítők), akiknél minden kártyafunkió ki van szervezve. Magyarországon tipikusan ilyen az összes internetes kereskedő, akiknél a fizetés mondjuk az OTP oldalán történik. Övék a SAQ A.
2. Kézi lehúzokat (imprinter) alkalmazó kereskedők, akik állítólag nagyon kevesen vannak (ha vannak egyáltalán) Magyarországon. Én nem is ismertem ezt a technikát korábban. SAQ B-t kell kitölteniük.
3. Egyedi terminálokat üzemeltető kereskedők, akikből a legtöbb van az országban. Gyakorlatilag minden kis bolt, ahol van egy POS terminál, ami telefonon kapcsolódik az elfogadóhoz. Ők is a SAQ B alá tartoznak.
4. Azok a kereskedők, akik saját POS rendszereket használnak, amik az interneten kapcsolódnak az elfogadóhoz, de kártyaadatokat nem tárolnak. Feltételezésem szerint a nagy boltláncok sok POS terminállal lehetnek ezek. SAQ C-t kell kitölteniük.
5. Minden más kereskedő és szolgáltatásnyújtó. Rájuk szabták a SAQ D-t.

Például az a kereskedő, aki interneten keresztül ad el mobiltelefonos feltöltőkártyát vagy autópályamatricát, esetleg koncertjegyet, számításaim szerint Level 2 vagy Level 3 kereskedők, tehát évente ki kell tölteniük a SAQ A-t, valamint ASV vizsgálatot kell rendelniük. A kiskereskedelmi boltláncoknak, akik szerintem Level 2 kereskedők lehetnek, és gondolom, hogy POS rendszereket használnak, évente SAQ C kitöltésére lennének kötelezettek, szintén éves ASV vizsgálattal. Persze mindez az elfogadótól függ, az ő felelőssége a szerződött kereskedőktől behajtani a vizsgálatot, és az elvárt formában kommunikálni ezt a kártyatársaságok felé. Az elfogadónak pedig megéri ezt kommunikálni, hiszen a kártyatársaságok csinos büntetéseket tudnak kiróni, ha egy kereskedőtől bankkártyaadatokat lopnak. Plusz a nyomozási költség, a jogászok, az új kártyák kiállítása, stb.

A szabvány részleteibe nem megyek most bele, hiszen szabadon letölthető, én is tartottam már róla előadást, ráadásul a HOPET Kft. május végén tart oktatást is a témában. A finomságokat persze ezekből a forrásokból nem lehet megszerezni, de az érdeklődőknek jó kiindulópontot jelenthetnek.

E-számla konferencia beszámoló

2010.03.05. 14:18 | csabika25 | Szólj hozzá!

Címkék: konferencia elektronikus számla elektronikus aláírás melasz

2010. március 4-én szép számú közönség gyűlt össze a Vista Rendezvényközpontban azért, hogy meghallgassa, hol is tart Magyarországon az elektronikus számlázás. A „szokásos" szakmabeli arcok mellett számos olyan vendég is megjelent az Elektronikus számlák befogadása, E-dokumentumok a cégek gyakorlatában konferencián, akik jelenlegi és talán jövőbeli felhasználói a technológiának. Lassan 10 éves küzdelem után öröm azt látni, hogy még a pótszékekkel együtt sem mindenki tud leülni egy ilyen rendezvényen. Ki lehet mondani, a piac elfogadta az elektronikus számlázás létjogosultságát, még akkor is, ha hazánkban azért vannak döccenők.

Szendrey Szilvia, a Joint Venture Szövetség elnökének köszöntője után rögtön a konferencia talán két legjobban várt előadója kezdett, Czöndör Szabolcs és dr. Kovács Ferenc az APEH képviseletében. Amellett, hogy ismertették az APEH vonatkozó közleményét, elmeséltek néhány fontos tapasztalatot, ami mindenképpen bátorítólag kell, hogy hasson az érdeklődőkre. Az első és legfontosabb állítás az volt, hogy az APEH még sosem büntetett azért, mert valaki e-számlát használ, a számlákkal csak azért, mert azok elektronikus formában léteznek, egyelőre nem volt gond. Egyetlen példát tudtak mondani, amikor a folyamatot kifogásolták, de ekkor is csak felhívták az adózó figyelmét arra, hogy a hosszútávú archiválásra választott megoldás (ti. CD-re való kiírás) nem feltétlenül biztosítja 8 évig a sértetlenséget.

Kaptunk néhány kielégítő választ az alkalmazott szoftverekre is. Eszerint nyugodtan lehet egy szoftvert használni papír és elektronikus számlák kibocsátásra, de ezek külön sorszámtartományban legyenek. A kontírozás egyszerűen megoldható pl. számlához csatolt hiteles melléklettel (azaz e-aktába utólag becsatolt és aláírt információval), elektronikus könyvelési rendszerrel vagy akár iktatóprogrammal is. A lényeg, hogy a jogszabályban előírt elválaszthatatlanság teljesüljön. A szoftverek, folyamatok előzetes auditálására viszont az APEH-nek nincs lehetősége, azt csak egy normál ellenőrzésnél tehetik meg. Úgyhogy ha kételyünk van, bízzunk abban, hogy jól értelmeztük a jogszabályokat, és erről a revizort is meg tudjuk győzni. Eddig ezzel még egyszer sem volt probléma.

Szittner Károly, a MeH Infokommunikációs Államtitkárságának munkatársa nemzetközi kitekintést adott, egyben jelezte, hogy az állam is hamarosan belép az e-számla kibocsátók és fogadók közé. Az első fecske a mérlegbeszámolókkal kapcsolatos számlakibocsátás lesz. Az EU adatokból látszódik egyébként, hogy ebben a tekintetben a lista végén kullogunk, az összes vállalkozás kb. 5%-a képes elektronikus számlát fogadni az EU-ban levő 20%-kal szemben. Ez persze még mindig távol van az ideálistól, ezért az Európai Bizottság megrendelésére elkészült egy olyan jelentés, mely több ponton javasol előrelépéseket.

Az előadások sorát több esettanulmány követte, melyben megismerhettük az e-számla szolgáltató (First Businesspost Kft.), a számlára aláírást szolgáltató (Netlock Kft.), az e-számlát egy „elszámolóház" modellben egy modulnak tekintő (Medismart Kft.) és a kisvállalkozásokat olcsón hozzáférhető, mindenki számára ismert számlázó szoftverrel támogató (Számadó Kft.) megoldásokat, és persze a Microsec archiválási szolgáltatását is. Ami a modellek ismertetése mellett a leghasznosabb volt, az az átlagos bevezetési idők ismertetése. Egy komplex e-számlázási rendszert bevezetni 3-6 hónapig tart átlagosan, melybe az érintett üzleti területek meggyőzése is beleértendő. A legnagyobb kiadók és befogadók között a termelővállalatokat és a közszolgáltatókat találhatjuk meg, utóbbiaknál Budapesten szinte teljes a lefedettség.

Az utolsó szekcióra maradtak az ismeretterjesztési kérdések. Dr. Pócza András a MeH Infokommunikációs Főosztályáról közérthetően bemutatta az e-számla kibocsátás és befogadás folyamatát, mely részletesen is megtalálható a honlapjukon. Magyar István, az Elektronikus Számlakibocsátók Egyesületének elnöke és Lengyel Tibor a Magyar Könyvelők Országos Egyesületének elnöke is optimizmusukról számoltak be, mindketten hangsúlyozva, hogy most látják beérni hosszú évek munkáját. Hibák természetesen vannak, de a piac robbanás előtt (közben?) van.

Ami pedig a Magyar Elektronikus Aláírás Szövetség szerepét illeti, az egész konferencián érezhető volt, hogy a MELASZ-t szerves részének tekintik ennek a technológiának, és nem csak az e-aláírás miatt. A legfőbb műszaki problémát mindenki az e-számla egységes formátumának hiányában látja, melyben segítséget jelenthet a UN/CEFACT Cross Industry Invoice V2 ajánlás elterjedése. A belső egyeztetésen levő MELASZ E-számla ajánlás ez alapján készült, így reményeink szerint a műszaki problémák hamarosan feloldódnak.

Beszámoló az ELTE hackerversenyről

2009.12.12. 19:41 | csabika25 | Szólj hozzá!

Címkék: hacker elte kancellár

Ami tulajdonképpen nem is hackerverseny volt, csak ez a szó jól eladható a médiának... Ugyanis itt kőkemény programozás volt a résztvevők előtt a kihívás, amit a feladatok is bizonyítanak. De nyilván nem pusztán csak a kihívás csábította a versenyzőket, ahogy az egy ideális világban elképzelhető lenne, hanem a kancellár.hu által felajánlott 1 millió forintos fődíj is. Nem csoda, hogy idén minden eddiginél több, 25 csapat jelent meg. Ez két fős létszámmal 50 embert jelent, az ország minden részéről. Úgy tűnik, hogy a végén még rám cáfolnak a fiúk.:)

Az első kihívást a PET-Portál (gondolom, hogy Gulyás Gábor) által kitalált szteganográfiai feladat jelentheti, ami a Hacktivity tapasztalatai alapján egyáltalán nem lesz egyszerű annak, aki még életében nem foglalkozott ezzel a tudományterülettel. A második és harmadik feladat két tipikus nagyvállalati biztonsági probléma: a négyszemelv megvalósítása és az elemi jogosultságok implementálása. Eddig nem nagyon láttam rá szép megoldást, és azok is évek alatt alakultak ki. Vajon mire mennek a résztvevők 24 óra alatt?

Az igazi kihívás persze az, hogy az ELTE Informatikai Kara a legtöbbet profitálja ebből a rendezvényből. Nem mindennapos, hogy egy egyetem ekkora publicitást kap. Ezzel kell minél több embert megfogni, minél magasabbra tenni a szakmai lécet az egyetemistáknak. Részemről ebben annyit tudok segíteni, hogy felvettem a megnyitót, amit alább láthattok. Ez az első videóbeszámolóm, úgyhogy kérem a minőségét nem támadni, de jobbító kritikák jöhetnek!:)

Beszámoló az ELTE IT Security Coding Contestről

Biztonsági programozóverseny az ELTE-n

2009.11.25. 19:41 | csabika25 | Szólj hozzá!

Címkék: hp hacker elte kancellár

Harmadszor kerül megrendezésre az ELTE Informatikai Kar és a kancellár.hu által szervezett biztonsági programozóverseny december 12-én - először nélkülem. Az IT Coding Contest nevű verseny díjazása idén 1.000.000 azaz egymillió forint. Ezért bőven megéri eltölteni 24 órát az egyetemen a kétfős csapatoknak! Regisztrálni a www.hackerverseny.hu oldalon lehet a hallgatói jogviszonnyal rendelkező vállalkozóknak.

A feladatok gondolom, hogy most is komoly kihívást fognak jelenteni. A versenyen eddig kellett már foglalkozni hálózattal, kriptográfiával, hibakereséssel, és még egy csomó mással, amivel ebben a szakmában egy programozó szembekerülhet. Hangsúly tehát a programozó szón: nem elsősorban a hacker képességek a fontosak, hanem a programozói, problémamegoldói véna. Az előző verseny feladatai megtekinthetők a verseny oldalán, ez bizonyítani fogja, amit írtam.:)

Bár idén csak az első helyezett csapat kap pénznyereményt, fontos, hogy az első három helyezett próbaidőn vehet részt a kancellár.hu-nál. Tekintettel arra, hogy a válság idején nem mérik olyan bőkezűen az IT-s állásokat sem, pláne nem frissdiplomásoknak, kéretik ezt nem lefikázni, hanem lehetőségként tekinteni! Mondom ezt úgy, hogy közben nálunk, a HP-nál is van egy graduate program, ahova szeretettel várjuk a jelentkezőket! Szerintem testvériesen meg tudunk osztozni a kancellárral!:)

Robothadviselés konferencia összefoglaló

2009.11.25. 19:00 | csabika25 | Szólj hozzá!

Címkék: konferencia zmne robothadviselés

Tegnap sikeresen lezajlott a 9. Robothadviselés Tudományos Konferencia a Zrínyi Miklós Nemzetvédelmi Egyetemen. Mivel az őszi konferenciaszezonban ez a legnívósabb IT biztonsággal is foglalkozó tudományos rendezvény, úgy gondoltam, hogy írok egy pár gondolatot róla. Először is le kell szögeznem, hogy nagyra tartom mind az előadókat, mind a szervezőket, így a következő, kissé negatív mondanivalómat mindenki előremutató kritikaként fogadja - már csak azért is, mert felajánlottam a segítségemet a jövő évi rendezvény megszervezésében, tehát nem csak a partvonalról akarok beszélni.

Az első, amivel a látogató találkozott, az az érhezhető alulfinanszírozottság volt. Bár támogatóként megjelent a HP és a kancellár.hu is, sajnos még a fűtést sem sikerült bekapcsolni, a büfé a kávéra és az ásványvízre (a fele szponzorvíz volt) szorítkozott, emellett csak a szokásos kancelláros repi mogyorót lehetett fogyasztani. Tudom, hogy ez egy tudományos konferencia, de mindannyian tudjuk, mennyit dob a látogatók komfortérzetén egy kis potyakaja. Idén először volt online videóközvetítés is, de ennek sikere (apám fél óra küzdés után sem tudta megnyitni a streamet) és minősége (ha jól láttam, 1 db webkamera) is kérdéses. Pedig igény az lenne rá. Már csak azért is, mert én úgy éreztem, hogy meglepően kevés látogató volt a tavalyi évekhez képest. Talán a marketing sem sikerült tökéletesre. De ezek mind könnyen és olcsón javítható dolgok, biztos vagyok benne, hogy jövőre sokkal jobb lesz minden!

Munk Sándor előadása

Az előadók tekintetében viszont jelentős előrelépés történt, hiszen sokkal rövidebb volt a plenáris szekció, mint tavaly, és mind a két szekciót (robotok és IT biztonság) sikerült rendesen feltölteni. Elsősorban természetesen a ZMNE doktoranduszaival és oktatóival, de idén is sokan jöttek más egyetemekről és állami intézményektől. Ki is emelnék néhány előadást!

  • Szekeres Balázs a CERT-Hungary műszaki igazgatója arról mesélt, milyen új feladatokkal látta el őket az új 223/2009 kormányrendelet, hogyan fognak működni Nemzeti Hálózatbiztonsági Központként. Nagyon fontos szerepük lesz a kritikus információs infrastruktúrák védelmében, jó lenne, ha minden szakmabeli tudna róluk!
  • Papp Péter, a kancellár.hu vezérigazgatója slide-ról slide-ra azt adta elő, amit az ITBN-en, de megint ő tartotta az egész nap leglátványosabb prezentációját. A téma: social engineering egy KELER-es példán keresztül.
  • Munk Sándor (ZMNE) kezdte a szekcióelőadások sorát. Bakonyi Péter helyett beszélt a jövő internetéről. Ezzel a témával úgy vagyok, hogy hiszem, ha látom... Speciel én szkeptikus vagyok abban, hogy majd egy bizottság teljesen új internetet fog csinálni. Mint ma Bencsáth Boldizsár PhD védésén (akinek innen is gratulálok) kiderült, ezzel nem vagyok egyedül. Meglátjuk...
  • A saját előadásomat nem kommentálom, arra itt a lehetőség minden tisztelt látogatónak! Én is örülök az előremutató kritikának.:)
  • Szénási Sándor (BMF) a GPGPU-k alternatív felhasználásáról mesélt (vö. kriptográfiai törés). Ez nekem mindig is egy igen szimpatikus terület volt, de PhD témának választani... Veszélyes terület, kíváncsi vagyok, hogyan fogja a téziseit összeállítani ebben az igen specifikus témában.
  • Balogh Tamás (Persecutor) gyakorlatilag egy termékbemutatót tartott, de nekem sok újdonságot mondott az informatikai rendszerek fizikai biztonságával kapcsolatban. Már látom, hogy ez az a terület, amihez én a közeljövőben biztosan nem fogok érteni. Pedig ez az egyetlen, ami kézzel fogható a szakmában.:)
  • Muha Lajos (ZMNE) a kockázatelemzés alapjait mutatta be. Én nem pontosan értettem, hogy miért, hiszen ezt elvileg mindenki jól tudja, egy CISA vizsgán beugró kérdés. De aztán megmagyarázta. Valaki felhúzta őt a tudatlanságával, ezért tartott egy dafke security alapoktatást. Lajos már csak ilyen...
  • Illési Zsolt (ZMNE) a szokásos digital forensics témával jött, konkrétan a hálózati nyomrögzítéssel. Ebben azért van némi pikantéria, hiszen ez elsősorban szakszolgálati terület, de azt mondta, hogy elvileg ilyenre az igaszságügyi szakértői gyakorlatban is sor kerülhet. Nagy szükség van a Netacademia forensics képzésére, hogy a magyar gyakorlat egységesedjen, mert érezhető volt, hogy alapkérdésekben nincs egyetértés. Vajon hogyan működhet így az igaszságszolgáltatás?
  • Fleiner Rita (BMF) adatbázis-biztonságról beszélt. Én már az elején belezavarodtam, az írásos anyagból biztosan meg fogom érteni a taxonómiáját. De szerintem egy SQL injection példát bemutatni 2009 végén egy ilyen konferencián necces. Bár igaz, hogy ez nem egy Hacktivity...
  • Leitold Ferenc (DÚF) örök témájával, a víruskeresőkkel jelentkezett. Kidolgoztak egy mérési eljárást a víruskergetők hatékonyságának a mérésére, amit hamarosan a www.checkvir.hu oldalon lehet megtekinteni.
  • Kassai Károly (HM) egy igen őszinte előadást tartott a HM és csatolt intézményeinek IT biztonsági szabályzati rendszeréről. Tetszik mind az irány, ahogy meg akarják oldani a problémát, mind az, hogy nyíltan beszélnek a nehézségekről.
  • Inkovics Ferenc (KüM) jóvoltából betekinthettünk egy kicsit a Bem tér és a külképviseletek, valamint az EU közötti kapcsolattartás műszaki elemeibe. Mindig is érdekelt, hogy mennyire használnak ilyen védett vonalaknál standard megoldásokat, most egy kicsit jobban képben vagyok.

Az utolsó két témából látszik, hogy mennyire hasznos volt ez a nyilvános konferencia. Mi, civilek is megtudhattunk néhány érdekes információt a szigorúan védett hálózatokról, amit nyilván nagyon megválogattak. Emellett láttunk robotrepülőt és tűzszerészrobotot is, melyről be is vágok egy kis videót, amint éppen a ZMNE Robotino robotját üldözi.:)

Telemax vs. Robotino

Előadás a Robothadviselés konferencián

2009.11.22. 19:41 | csabika25 | Szólj hozzá!

Címkék: közigazgatás robothadviselés hadmérnök

Hagyományos "vadászterületem" a Zrínyi Miklós Nemzetvédelmi Egyetem Robothadviselés konferenciája, ahol idén egy (talán) közérdeklődésre is számottartó előadást fogok tartani. A téma pedig - dobpergés - a közigazgatási informatikai rendszerek fejlesztőire vonatkozó biztonsági követelmények.

Miért is kell ezzel foglalkozni? Azért, mert ez egy teljesen szűz terület, igazából nincsenek különleges elvárások, pedig a Common Criteria szerint kell ilyen. Szerintem pedig ez így nincsen jól. Kell, hogy a megrendelő valamilyen módon kontrollálja azokat a fejlesztőket, akik neki a szoftvert előállítják. Közig rendszereknél pedig ez különösen igaz. Megfogalmaztam ezért egy szervezeti, egy műszaki és egy szabályzati követelménylistát, amiket hozzáigazítottam a KIB 25. és a KIB 28. ajánlások szelleméhez. Ezt azt jelenti, hogy három biztonsági szintet állapítottam meg. Az első a széles körben, interneten keresztül elérhető rendszerek fejlesztésére vonatkozik, a második a belső használatúakra, a harmadik pedig az államtitkot kezelő szoftverekre.

Természetesen cikk is készül majd, ez elvileg a 2010. januári Hadmérnökben fog megjelenni, onnantól lehet majd vele vitatkozni. Ha pedig jó, talán beveszik a KIB 28. ajánlásai közé. A blogon úgyis linkelni fogom majd a végleges anyagot!

Csabika25 goes Web 2.0

2009.11.21. 20:35 | csabika25 | Szólj hozzá!

Címkék: blog youtube webkettő twitter kezdőpost

Igen, újra eljött az idő, amikor megpróbálok a korszellemmel haladva webtrendi lenni és online tenni fontosabb gondolataimat. Joggal teheti fel a kérdést mindenki, aki ismer engem, hogy miért? A válaszok (a divatmajmoláson túl):

- Sikerült kitalálni, hogyan tehetném az überbiztonságos statikus HTML oldalamat dinamikussá (megoldás: RSS feedek beolvasása egy kis Java scripttel)

- Szükségem van egy olyan felületre, ahol néhány szavas információkat gyorsan közzé tudok tenni (pl. csabika25@média -> Twitter)

- Szükségem van egy olyan felületre, ahol kicsit olyan írásokat tudok közölni, amik nem publikációk, nem újságcikkek, hanem könnyedebb, kommentezhető írások (a.k.a blog)

Ezért beizzítottam a csabika25.blog.hu címet, a csabika25 Twittert, és ha majd úgy alakul, és végre lesz egy normális videókamerám, akkor saját Youtube csatornát is tervezek. Ennek feltétele, hogy megtanulok vágni.:)

Persze számomra is kérdéses, hogy mennyire lesz kitartó a postolás, de most úgy érzem, hogy van hasznos mondanivalóm a családomnak, a barátaimnak, a kollégáimnak és talán a világ rajtuk kívüli halmazának is. Mert tetszik vagy nem, de igény van arra, hogy folyamatosan tudjunk egymásról. Úgyhogy ezt a bejegyzést elsősorban a nagymamának ajánlom, aki 80+ kattant rá az internetre, és tudom, hogy ő lesz az első állandó olvasóm.:)

süti beállítások módosítása