BSidesWarsaw 2013

Tak jak zapowiadałem, byłem na kolejnej edycji Security B-Sides w Warszawie. Wrażenia? Mieszane.

Bardzo cieszę się, że ta konferencja miała drugą edycję i mam nadzieję, że będzie kolejna. Z drugiej strony rzeczy, które można wybaczyć przy pierwszej edycji, przy drugiej zaczynają być irytujące. Mam tu na myśli pewien chaos organizacyjny. Tak, moje nieco krytyczne spojrzenie pewnie wynika z tego, że już jestem stary i nie tak spontaniczny, jak ludzie młodsi o 10 lub więcej lat... Mimo wszystko oczekiwałbym, by na następnej edycji tej konferencji tego chaosu było trochę mniej.

Druga sprawa to frekwencja. Patrząc na stolik przy rejestracji, duża część identyfikatorów nie została odebrana. Może dobrym rozwiązaniem byłoby wprowadzenie pewnej drobnej opłaty rejestracyjnej. Ja wiem, że w założeniach tej konferencji jest to, by była za darmo, ale opłata w wysokości 5 PLN to nie tragedia, a może jednak byłaby pewnym czynnikiem skłaniającym do myślenia w chwili rejestracji i motywującym do tego, by jednak pójść na konferencję, jeśli się już na nią zarejestrowało.

A co z częścią merytoryczną? Z mojej perspektywy 50%25 prelekcji była ciekawa. To naprawdę dobry wynik.

Z prezentacji Bezpieczeństwo może być seksi, czyli jak łączyć je z usability (Maciej Płoński) co prawda nie dowiedziałem się jak łączyć bezpieczeństwo z usability, ale prezentacja poruszała bardzo istotny temat. Trzeba pamiętać, że “użytkownikiem” mechanizmów bezpieczeństwa jest człowiek i jeśli będą one zbyt trudne lub niezrozumiałe, nie będą one skuteczne lub nie spotkają się z akceptacją użytkowników. Skoro już o tym mowa, warto przypomnieć o pewnej idei istniejącej w Microsoft, opisanej między innymi tutaj: Adding Usable Security to the SDL. Tak, usability mechanizmów bezpieczeństwa jest bardzo ważna i byłoby dobrze, gdyby ten temat pojawiał się częściej na konferencjach związanych z bezpieczeństwem.

Ciekawą formę miała prezentacja Trampoliny w binarkach (Tomasz Bukowski). Trochę szkoda, że nie do końca wypaliła forma warsztatów BYOD, nie wydaje mi się by ktokolwiek, poza prowadzącym, rzeczywiście “bawił się” w tworzenie trampoliny. Dla mnie temat był z grubsza znany, nawet wygrałem gadżet o CERT Polska, ale ciekawe było obserwowanie tworzenia działającego “złego kodu” w praktyce.

Na zakończenie dnia fajnie wpasowała się prezentacja Niedawno temu na Dzikim Zachodzie, czyli największe kradzieże BTC (Adam Haertle). Bardzo ważny wniosek – gdzie pojawiają się pieniądze, na pewno pojawi się ktoś, kto będzie chciał je ukraść.

Granice zaufania (Mateusz Kocielski) to prawdziwa perełka. Trzeba sobie uświadomić, że na ostateczny sposób działania każdego kodu a wpływ bardzo dużo różnych elementów. Nawet jeśli “nasz” kod na końcu jest “zaufany”, to wciąż do swojego działania potrzebuje wielu elementów zewnętrznych (od dodatkowych bibliotek zaczynając na sprzęcie kończąc). Każdy z tych elementów ma ostatecznie wpływ na to, czy nasz kod działa i czy to jak działa jest zgodne z naszymi zamierzeniami.

Koniec drugiego dnia – 'Kazali mi', czyli etyka w IT (Michał “Rysiek” Woźniak) i początek trzeciego – Crowdsourcing – włącz się w rozwój (Marcin “Sirmacik” Karpezo) skłaniał do myślenia na nieco mniej techniczne tematy. Mogę nie zgadzać się z częścią tez stawianych w prezentacjach, mogę nie podzielać pewnych idei, ale obie prezentacje to kawał dobrej roboty.

Prawie na zakończenie The role for IT Sec in Agile projects, A.K.A always be responsible for any code you write, even for fun. NoExceptions(); (Mateusz Harasymczuk). Trzeba posłuchać. Mateusz jak zawsze perfekcyjnie przygotowany.

Nie miałem możliwości zostania na ostatnią prezentację Masywna telemetria sieciowa jest masywna (Gaweł Mikołajczyk), ale domyślam się, że prezentacja też trzymała poziom. Mam zresztą potwierdzenie moich przypuszczeń od kolegi, który na tę prezentację mógł zostać.

Ciekawie wypadła też część Time for hackerspaces. Jakoś najbardziej podobał mi się Kraków, zupełnie nie wiem dlaczego :) Może w końcu wykrzeszę w sobie motywację, by wybrać się tam i zobaczyć to na własne oczy.

Tak, również w tym roku miałem swoją prezentację, tym razem było to PassWindow – spojrzenie krytyczne , ale sam o sobie nie będę pisał.

Na koniec przywołam jeszcze raz jedną myśl z prezentacji Mateusza – prawdziwy profesjonalizm polega również na tym, że prezentacji nie przygotowuje się w pociągu.

Oryginał tego wpisu dostępny jest pod adresem BSidesWarsaw 2013

Autor: Paweł Goleń