Кібербезпека: Що сучасного в модерному форматі BSides?
Подія, яка відбулася 21 квітня 2018 року в конференц-залі Парус, є однією з тих, яка вкрай бажана для відвідування усім, хто асоціює себе якимось чином причетним до світу кібербезпеки.
Подібних подій не так вже й багато протягом року, тому пропускати одну з них ніяк не можна.
Але спочатку трохи розкажу що таке взагалі франшиза BSides.
Це важливо для розуміння формату як такого.
У 2009 році на всесвітньо відому хакерську конференцію Black Hat USA було подано настільки багато заявок на виступ, що з неприйнятих заявок вийшла ще одна невеличка конференція, яку назвали Security BSides (або ж просто BSides, вимовляється “бісайдз”).
Цікаво, що одного з трьох хлопців, які придумали BSides, звали Джек Деніел.
Символічно.
Того дня, підіймаючи тумблер з Jack Daniels за успіх BSides Kyiv, я цього не знав.
Ще про красномовну назву конференції: слово “BSides” співзвучна з англійським “beside” – поряд, близько, у порівнянні.
Що цілком логічно, виходячи з історії створення конфи.
І ще важливий нюанс: конференція створена сайберсек-ком’юніті самою для себе, без маркетологів, піарщиків, та іншого набридлого традиційного булшіта.
На BSides не допускається прямої реклами у виступах.
Відбір виступів ведеться, виходячи виключно з критеріїв цікавості для слухачів.
Платні виступи на “маркетингові” теми просто виключено.
А якщо хтось дуже розумний спробує впихнути у свою нібито цікаву презентацію промо певних продуктів чи послуг від цілком конкретних вендорів – навряд чи цю людину запросять десь колись виступати. А можуть “забанити” і компанію, де працює спікер. З відповідним клеймом хитросракого чітера.
Тобто порушувати вимоги формату вкрай не рекомендується.
Власне, “маркетингові” конференції наразі вже є анахронізмом і збирають навряд чи більше 50-70 людей. Та і то, переважно, якимось адміністративними методами.
Що ж до сучасного формату BSides.
Наразі цей фреймворк є безкоштовним для використання.
Це означає, що практично кожна людина чи група людей може безкоштовно отримати франшизу всесвітньо відомого бренду BSides, взявши на себе зобов’язання виконувати кілька нескладних умов, про які написано вище, і провести власну конференцію під цим брендом.
Скажімо, BSides Chernigiv, BSides Cherkasy чи BSides Zhmerynka.
Жодних проблем, було б бажання.
Наразі у Світі існує кілька сотень конференцій BSides.
Порахувати їх точну кількість пропоную бажаючим ось тут: http://www.securitybsides.com
В Україні поки що вирішили заморочитися з організацією BSides лише ентузіасти з Одеси та Києва.
Але ще ж не вечір...
Ну, наче трохи пояснив, що таке взагалі Бісайдз, тому переходимо до вчорашнього BSides Kyiv.
Локація: конференц-центр Парус на Бесарабці.
Місце дуже зручне, у самісінькому центрі міста, майже рідне. Бо до цього там двічі проходив UISGCON.
Для невеликої конференції – ідеально.
Організатори анонсували продаж 350 квитків, які були наче розпродано, потім з’явилися додаткові (і дорожче).
За відчуттями, у двох залах та холі було біля 300 людей.
І ті ж цифри називали організатори на афтерпаті.
Організація проведення: нема питань.
Як людина, яка має певний досвід у проведенні конференцій, скажу, що якщо відвідувач не має зауважень до організаційних питань – то можна вважати ідеальною організацією заходу.
Мистецтво проведення конференції - це як щастя чи безпека: коли вони є – не помічаєш.
Контент: відзначу лише ті виступи, які сподобалися і на які встиг потрапити.
Критикувати деяких спікерів не буду з етичних причин.
Бо сам був одним зі спікерів і не усім міг сподобатися мій виступ.
Андрій Кудюров надав такий собі початковий гайд по апсеку (Application Security – безпека додатків).
Просто для розуміння складу аудиторії на потоці Beginner: на питання “хто знає що таке XSS?” підняло руки десь 6 чи 7 людей. Інші навіть не чули про таке. Але про це пізніше.
Анастасія Віксенталь (сподіваюся, не помилився у перекладі на українську) у жвавій манері доволі легко розповідала про імплементацію коректних політик шифрування на серверних та enterprise-рішеннях. Зрозуміло, на потоці Advanced. Дуже цікавими були питання та відповіді після виступу. І було весело.
Yehor Papyshev, як і обіцяв, запалив провокаційний вогонь у своєму виступі, коли розказав про найбільш епічні факапи останніх місяців, пов’язані з відсутністю будь-якого уявлення про кібербезпеку у великих вітчизняних компаніях та кричущою непрофесійністю та безвідповідальністю “відповідальних осіб”. Обіцяв ще розказати про відомий інцидент з Новою Поштою, але не розказав. Чи то забув, чи то не встиг. Перший виступ все-ж таки у хлопця, нехай вже іншим разом.
Але це був один з найяскравіших виступів конференції. Молодець, давай ще.
Про свій виступ скажу лише те, що спочатку мій час скоротився на 10 хвилин через затримку у попереднього спікера (дякую тобі, Єгоре), потім ще 10 хвилин шукали мою презентацію (флешка з пейлоадом чомусь не запускалася), тому довелося сильно скорочувати, щоб хоча б коротенько пробігтися по найважливішим моментам основ персональної кібербезпеки кожної людини.
Я дивився у очі присутніх на виступі (повний зал, це приємно, дякую) і не міг зрозуміти як вони відносяться до того, що я кажу: чи я для них Капітан Очевидність чи може навпаки, я несу їм Слово Істини і це для них якісь фантастичні відкриття.
При цьому в залі сиділо і уважно мене слухало кілька людей, які однозначно, на 100+% прекрасно знають (а може вже й встигли забути) ті прості речі, про які йшлося у виступі.
Тішив себе тим, що у будь-якому разі не зайвим буде нагадати про базові речі навіть крутезним професіоналам.
Але перед виступом наступного спікера, Олексія Семеняки/Alex Semenyaka з RIPE NCC, модератор Олексій Барановський запитав у зала: а хто знає що таке RIPE?”
Включно зі мною підняло руки 5 людей. Емм…
І ось тут я зрозумів, що переважна більшість аудиторії потоку Beginner є дійсно початківцями, при цьому на досить ранньому етапі формування загальних основ про кібербезпеку.
Швиденько розкажу, що заціпило у виступі Олексія і повернемося до студентської аудиторії.
Олексій десь у середині виступу сказав таку цікаву штуку, що існують алгоритми та технології, які дозволять ідентифікувати ботів у зашифрованому(!) трафіку методами поведінкового аналізу. При цьому, вірогідність ідентифікації таких ботів – близько 95%. Вау. Оце круто, треба буде якось про це почитати.
Так от, про студентську аудиторію.
Судячи з того, що я бачив у у двох залах BSides Kyiv, студентами або навіть школярами старших класів було до 70% відвідувачів.
Тобто конференцію (принаймні, один її потік) можна вважати повноцінним освітнім заходом, а ще й з урахуванням суто символічної ціни квитка у 50 гривень.
Для порівняння: у Західній Європі, США, Канаді квитки на професійні кібер-конференції є досить недешевими.
У Британії чи Німеччині вартість квитка починається десь від 300-400 євро, а квиток на популярну конференцію у Польщі обійдеться приблизно у 250 доларів.
Квиток на найвідомішу у Світі конференцію DefCon коштуватиме “всього” якихось 150 доларів, але для цього доведеться стояти (саме стояти, не сидіти) у кількагодинній черзі, розрахунок виключно готівкою, ніяких чеків чи інвойсів, просто отримуєш бейдж і заходиш.
Тобто 50 гривень для BSides – виключно соціальна символічна ціна, “аби не безкоштовно”.
Бо “безкоштовно” – то не є гут, забагато випадкових людей.
А за великим рахунком, для якомога ширшого розповсюдження культури кібербезпеки серед звичайних користувачів, можна піти ще далі: подати заявку до КМДА та просто поставити у вихідний день на Хрещатику чи Майдані Незалежності якусь тумбу, на розкладний екран вивести щось типу “Як не стати кібер-жертвою”, взяти мегафон та протягом пари годин розповідати про базові кіберсек’юрні речі усім, хто проходить повз: мамочкам з колясками, молоді з пивом, гостям міста з валізами, слюсарям, лікарям, бухгалтерам, студентам, фінансистам, та будь кому взагалі. Бо практично у кожного у кишені лежить смартфон, усі ходять з нього в Інтернет, але далеко не кожний знає про елементарні засобі кібер-гігієни.
Впевнений, Громадська організація “Українська група інформаційної безпеки” (NGO UISG, чомусь не тегається) підтримає таку ініціативу ;-)
Ще кілька безсистемних вражень від BSides Kyiv.
Останнім часом на кожному більш-менш помітному заході з кібербезпеки бачу колег з Адміністрації Президента України. І на BSides Kyiv вони теж були.
Молодці, хлопці, приємно і досі трохи незвично бачити щире прагнення до сучасних знань з боку держслужбовців.
Н – Наполегливість.
Взагалі бачив багато знайомих облич на конфі, почувався комфортно, “серед своїх”.
Інколи зі мною віталися люди, імен яких не знаю або не пам’ятаю. Якщо когось це покоробило – перепрошую, це точно не від пихатості.
Було, звичайно, і афтепаті.
І прийшло багато людей з Бісайдзу, окремий великий зал Бірштадту не вмістив усіх охочих. Але то не завадило спілкуванню, бо у БШ завжди є вільні місця (за це його і любимо, хоча не тільки за це).
Взагалі-то з точки зору горизонтальних зв’язків та community spirit афтепаті є надзвичайно важливою штукою. Усі ми люди, маємо прості людські бажання, любимо якісь життєві радощі, абсолютна більшість відкрита до спілкування. Ну, може, не абсолютна більшість, але дуже багато. Тому намагаюся не пропускати такі соціальні івенти без поважної причини.
Організатори BSides Kyiv обіцяли ще мінімум два івента цього року: влітку в Одесі та восени у Києві.
Було б добре.
Що можна було б порадити організаторам для покращення заходу?
Бо покращити завжди щось є.
По-перше: все ж таки, бажано б ознайомлюватися зі змістом виступів принаймні за тиждень до конференції. Як це зробити, коли спікер дописує презу просто у день виступу? Існує кілька ефективних способів, можу підказати. Така практика є стандартною на більшості популярних конференцій.
І по-друге: якщо на сайті BSides Kyiv усе анонсується англійською мовою, то, можливо, було б логічно запросити хоча б одного англомовного спікера?
Бо перед конференцією деякі люди цікавилися, чи будуть на BSides Kyiv взагалі виступи українською чи російською.
Для довідки: на BSides Kyiv усі виступи були українською чи російською. Що там розумів бідолашний Lennart Maschmeyer – цілковита загадка. Добре, що йому було з ким поспілкуватися у кулуарах, хлопця буквально “передавали з рук в руки”))
В цілому ж BSides Kyiv пройшов дуже добре, усе сподобалося, особливих зауважень таки нема.
Сподіваюся, прези та відео виступів вже скоро будуть доступні, бо вже питали.
А ще, кажуть, був дуже напоганий стрім з обох залів.
Вітаю Alice Miller, Andrey Loginov, Vic Zh та усю команду оргів з вдалим івентом та бажаю якнайскоріше “видихнути” цей BSides Kyiv та почати готувати новий.
Чув краєм вуха, що BSides Kyiv OrgTeam готує приємні сюрпризи тим колегам, які не можуть/не хочуть їхати до Києва на конференції з кібербезпеки. Але це поки що таємниця, не кажіть нікому.
Наразі це наче все про BSides Kyiv.
Зустрінемося вже за місяць на NoNameCon.
Сподіваюся, ніщо не завадить мені написати огляд і про цю загадкову та неординарну подію світу українського кібербезпекового руху.
Бережімося.
Костянтин Корсун
FB
реклама