Powoli wracam do siebie po intensywnym dniu na konferencji Atak i Obrona, która odbyła się 26 listopada 2013 w Warszawie. Jako zarówno uczestnik i prelegent mogę opowiedzieć o obydwu stronach medalu. Konferencja podzielona była na dwie części, w których skupiono się na problematyce ataków DDoS oraz APT.
W pierwszej części najlepsze wrażenie zrobiła na mnie prezentacja Kuby z Allegro, który krok po kroku opowiedział o wszystkich problemach i naukach, które wyciągnęło Allegro podczas zakrapianych sutą kawą 6-ciu dni kampanii kwietniowej (Grupa Allegro była pod obstrzałem modyfikowanego na bieżąco ataku DDoS, który odczuli nieprzyjemnie jak nigdy dotąd żadnego ataku). Bardzo rzeczowa i przede wszystkim oparta o wiedzę praktyczną sesja i interesujące ciekawostki (np. w szczycie ponad 30 Gb/s ruchu [choć koledzy z Zaufanej 3 Strony napisali 15 Gb/s – być może z wrażenia coś źle zapamiętałem :], które urządzenia pomagały rozwiązać problem, a które tylko kosztowały krocie, ciągła zmiana taktyki atakującego, ataki na warstwę aplikacji oraz usługi DNS itp.) gwarantowały idealną ciszę na sali i pełne zainteresowanie słuchaczy.
Drugą interesującą mnie prelekcją była sesja Davida Monnier z Team Cymru. Poza miłą dla oka wizualną stroną prezentacji (filmy wideo ilustrujące mapę świata i ataki sieciowe itp.), uzyskaliśmy kilka interesujących faktów z honeypotów Team Cymru (np. że ponad 99% złośliwego oprogramowania wykorzystuje podatności, co do których są już wydane oficjalne łaty oraz dokładne godziny pracy cyberprzestępców, którzy pracują cyklicznie i dokładnie tak jak podczas pracy na etat :).
W drugiej części Rik Fergusson z firmy Trend Micro uraczył nas równie interesującymi statystykami jak to w jaki sposób w tym roku zainfekowano systemy firm takich jak Apple czy Facebook (watering hole) albo, że średnio cyberprzestępcy po dostaniu się do infrastruktury firmy, baraszkują w niej nie wykryci przez ponad 220 dni. Rik podkreślał potrzebę już nie tylko zwykłego skupienia się na ochronie przed atakami typu APT, ale na szerszym ujęciu całego kontekstu, w którym firma się znajduje podczas takiego incydentu. Zaznaczał, iż monitorując swoje środowisko, niejednokrotnie szybciej wykryjemy niechciane zachowanie we własnej firmie, niż tylko opierając się na ochronie zasobów.
Równie ciekawa była prezentacja Piotra Linke z SourceFire oraz Michała Sajdaka z Sekurak.pl gdzie mieliśmy okazję zobaczyć na żywo (takie prezentacje zawsze wzbudzają dreszcz emocji :) jak wyglądają techniki wykorzystywane podczas ataków typu APT. Google hacking, SQL Injection, przejmowanie urządzeń sieciowych to tylko kilka aspektów pokazanych na żywo przez Michała.
Te prezentacje zapadły mi w pamięci najbardziej. Co ważne większość prelekcji była nacechowane merytoryką i tylko w bardzo drobnej, wręcz podświadomej części sugerowały marketingową kwestię. Warto jednak przypomnieć, że prócz wykładów miały miejsce także dwa interesujące panele dyskusyjne. Zwłaszcza emocjonująca dyskusja dwóch kobiet w panelu dotyczącym ataków APT!
Poza panelami dyskusyjnymi na koniec konferencji odbyła się gra strategiczna, w której wzięły udział trzy kilkuosobowe drużyny. Gra polegała na planowaniu zasobów związanych z ochroną firmy przed atakami. Jedynym minusem całej konferencji było jej długie trwanie ale wydaje mi się, że sukces pierwszego wydania sprawi, że część druga będzie już w wersji 2 dniowej.
Jako wykładowca mogę natomiast pochwalić przede wszystkim pierwszorzędną organizację konferencji. Bardzo przyjemne miejsce jakim jest klub Loft44 stworzył dość ciekawą jak na takie imprezy atmosferę. Poranna sesja networkingowa była na komputerowej konferencji dla mnie czymś zupełnie nowym i bardzo przyjaźnie skonstruowanym sposobem na poznanie się z uczestnikami konferencji. Zaskoczyło mnie też głosowanie za pomocą specjalnych urządzeń, które odbywało się na żywo, bezpośrednio po każdej prezentacji, a wyniki głosowania można było od razu obserwować na ekranach.
Smaczny obiad, odpowiednie zaplecze z napojami i przekąskami, poustawiane w kątach nienachalne stoiska reklamowe, sprawna obsługa, profesjonalny fotograf, mega wygodne kanapy itp. to tylko kilka aspektów, które świadczyły dobitnie o tym, że Mirek Maj z Fundacji Bezpieczna Cyberprzestrzeń idealnie nadaje się na jednego z głównych organizatorów takich konferencji. Jedyny minus, na który żartobliwie narzekali prelegenci to delikatnie za mocno świecące po oczach reflektory, których niestety z uwagi na miejsce konferencji i specyficzne ustawienie całego zestawu wyświetlającego, nie dało się ustawić inaczej. Muszę także przyznać, że prompter z ekranem ze slajdami znajdujący się przy podłodze oraz ukryty olbrzymi zegar odliczający czas, mocno pomagały w prowadzeniu prelekcji na tej świetnej konferencji. Dla zainteresowanych odnośnik do mojej prezentacji podsumowujący sposoby ochrony przed atakami typu APT.
Myślę, że sukces tej konferencji pozwala mi stwierdzić, że druga edycja będzie jeszcze ciekawsza i jeszcze bardziej interesująca. Dziękuję też wszystkim tym, z którymi udało mi się zamienić kilka słów. Miło było zobaczyć znajome twarze i poznać kilka nowych :] Czekam na ukazanie się materiałów pokonferencyjnych, a po zdjęcia i świeże informacje odsyłam na profil FB konferencji.