Kim jest Pan Petko D. Petkov zręcznie posługujący się tajemniczym nickiem pdp? Trudno powiedzieć… Wykonywane przez niego zajęcia trudno skategoryzować i jednoznacznie określić jego profesję. Petko na pewno ucieszyłby się gdybym napisał o nim “myśliciel”, “hacker”, “badacz” itd. Petkov ma na swoim koncie liczne wystąpienia na znanych, międzynarodowych konferencjach (Black Hat, Hack in The Box (HITB), CONFidence, RISK), dwie książki Google Hacking for (Penetration Testers Second Edition oraz Cross Site Scripting Attacks: XSS Exploits and Defense) i udział w niezliczonych projektach, które cechują się zróżnicowanym poziomem użyteczności publicznej (jednym z nich jest House of Hackers, opisany tutaj). Petko D. Petkov używa w odniesieniu do swojej osoby terminu “hacker”. Najwidoczniej, w Sieci są ludzie, którym taki stan rzeczy się nie spodobał (jak i całokształt działalności pdp). Postanowili go osądzić i srogo ukarać. Zarzuty? Proszę bardzo:
Zbytnie promowanie swojej osoby w mediach i prasie
Brak szacunku dla ducha i tradycji hackingu
Bezpodstawne wykorzystywanie statusu hackera
Postępowanie wbrew promowanej przez siebie etyce
Sprzedawanie znalezionych błędów do Zero Day Initiative i iDEFENSE
Marnowanie publicznych i internetowych zasobów
Używanie słowa hacker w celu promocji własnej osoby i reklamy
To tylko kilka powodów przedstawionych przez ludzi, którym nie spodobały się poczynania Petkova. A jaka kara została przewidziana za popełnienie tych wszystkich grzechów? Oczywiście w 100% wirtualna - w Internecie została opublikowana zawartość skrzynki pocztowej pdp, która każdy może swobodnie pobrać i przeglądać.
Nie mnie oceniać słuszność całej akcji przeprowadzonej przez moralizatorów, odpowiedzialnych za ochronę “ducha i tradycji” hackingu. Nie czuję się także na siłach aby jakoś ustosunkowywać się do wszystkich zarzutów postawionych Petko - nie wiem czy powinien sam nazywać się hackerem i czy promowanie swojej osoby w Internecie jest złe. Co więcej, uważam, że każda taka akcja nie jest do końca przemyślana i jest w pewnym sensie… “śmieszna”.
Podobnych ataków będzie zapewne więcej. Zapowiedziane już zostały “internetowe sądy” nad kolejnymi ludźmi postępującymi niezgodnie z określonymi zasadami. Pytanie tylko, czy te określone zasady są uniwersalne czy może stworzone przez pewną grupę osób w celu odniesienia korzyści… i co najważniejsze, czy są zgodne z duchem hackingu.
Jakiś czas temu Petko d. Petkov otworzył serwis społecznościowy dla… hakerów. Brzmi to trochę śmiesznie, ale sam projekt jest jak najbardziej poważny. Pod adresem houseofhackers.org znaleźć można stronę, która daje możliwość tworzenia grup, pisania własnego bloga, “rekrutowania” znajomych itd. itp. W skrócie - epuls lub nasza-klasa dla specjalistów ds. bezpieczeństwa komputerowego i hakerów.
Pomimo mojego przekonania, że terminu “haker” powinno się zakazać (stracił on już swoją siłę i znaczenie) i wrodzonego sceptycyzmu, postanowiłem zarejestrować się na stronie i zobaczyć o czym rozmawiają lepsi ode mnie. Za stroną przemawiało także nazwisko autora i wsparcie GNUCitizen.
Po kilku dniach, na stronie odkryto błędy (bodajże XSS - za błędy odpowiadają programiści ning.com a nie założyciele HoH), które dość skutecznie zmniejszyły rangę projektu, ale postanowiłem dalej monitorować pojawiające się tematy. Dzisiaj jestem już gotowy na podsumowanie. Po pierwsze, chciałbym przedstawić nazwy wątków w grupie “PL HAckers” na HoH:
“pytanie - umie sie ktos wlamac na gg albo podsluchac rozmowe?”
“Skąd jesteście, czym się zajmujecie”
“Ukrywanie procesów pod XP”
To tyle. Trochę słabo, zarówno pod względem ilości jak i jakości tematów, jak na stronę skupiającą samych specjalistów. W innych grupach jest podobnie. Rozmowy o koszulkach, ulubionych narzędziach czy muzyce słuchanej podczas pracy są średnio wciągające. Brakuje naprawdę profesjonalnych tematów (oczywiście takie też można spotkać na HoH) a sama strona nie przyciągnęła odpowiednich ludzi.
Sam także nie jestem bez winy. Nie udzielam się na HoH, nie wspieram “community” i nie prowadzę tam swojego bloga. Mogę się jednak usprawiedliwić - ciągle pogłębiam swoją wiedzę aby móc dać HoH coś więcej niż kolejny temat o tytule “ulubiony film” czy “kim dla Was jest haker?”.
Podsumowując, na chwilę obecną House of Hackers bliżej jest do schroniska niż do apartamentowca. Oczywiście jest to tylko i wyłącznie moje zdanie, z którym można się nie zgadzać. HoH nie wygrało walki ze znanymi portalami związanymi tematycznie z bezpieczeństwem (lokalnymi czy też o zasięgu globalnym). Mam jednak nadzieję, że projekt będzie się dalej rozwijał, dostanie odpowiednie wsparcie ze strony profesjonalistów i będzie wyróżniał się na tle innych stron społecznościowych (czyli nie będzie tragiczny…). Wierzę, że za kilka miesięcy będę musiał wycofać się ze swych słów krytyki, podobnie jak w przypadku CONFidence
Przeglądając zasoby internetowe natrafiłem na wiele relacji z konferencji CONFidence, która odbyła się w Krakowie w dniach 16-17 maja. Nie mogę być gorszy od innych uczestników i też napiszę kilka zdań o samej imprezie, w której miałem zaszczyt uczestniczyć.
Po pierwsze, chciałbym przeprosić za TEN wpis, który ukazał się na moim blogu kilka miesięcy temu i za moją małą wiarę w powodzenie konferencji. Czas spędzony na CONFidence na pewno nie był czasem zmarnowanym. Można było uczestniczyć w niezwykle ciekawych wykładach, porozmawiać z innymi ludźmi zainteresowanymi bezpieczeństwem komputerowym oraz poznać “wielkich świata IT”.
Wykłady obejmowały szeroki zakres zagadnień - od problemów związanych z wirtualizacją, poprzez zaawansowane błędy SQL Injection, po techniki skutecznej walki ze spamem. Było klimatycznie, czasami śmiesznie (za sprawą charyzmatycznych i wesołych prelegentów z Włoch) i na pewno profesjonalnie.
Na CONFidence byli także Członkowie GNUCitizen - Petko d. Petkov oraz Adrian Pastor. W przerwach w pracy nad większymi projektami, takimi jak np. House of Hacker, obaj Panowie znaleźli czas na stworzenie dwóch ciekawych filmów z CONFidence
Podsumowując - było świetnie!
Bardziej rozbudowana relacja mojego autorstwa znajduje się na portalu HACK.pl - CONFidence 2008.
NAC tworzy oprogramowanie w oparciu o technologie opern-source (Python, PostgreSQL itd.). Na chwilę obecną trwają prace nad dwoma projektami przewodnimi - “ZoSIA” (Zintegrowany System Informacji Archiwalnej) oraz “SeDAN” (System Digitalizacji Archiwalnej).
Współpraca pomiędzy PPCG i NAC na pewno doprowadzi do zwiększenia popularności Pythona w naszym kraju. Wierzę, że inne organizacje wezmą przykład z NAC i zainteresują się tym niezwykle ciekawym językiem.
Ostatnio ukazały się dwa nowe artykuły mojego autorstwa. Pierwszy z nich opublikowany został w magazynie Hakin9 (numer 5/2008 - “Peach 2.0 – rozbudowany fuzzing“) a drugi w dwumiesięczniku Xploit (numer 2/2008 - “Honeypot − pułapka na włamywaczy“).
Mój tekst pojawił się także na Security Blogu firmy Webservice. Dotyczy on wybranych aspektów bezpieczeństwa platformy .NET. Jest to pierwszy artykuł z całej serii publikacji. Zainteresowanych zapraszam pod adres: Bezpieczeństwo .NET
Ostatnie tygodnie przyniosły wiele zmian. Z uwagi na ograniczone możliwości nie miałem czasu na dodawanie nowych wpisów. Od czasu mojej ostatniej publikacji zostałem członkiem HACK.pl, napisałem kilka artykułów (których poziom merytoryczny możecie sami ocenić) i cały czas powiększałem swoją wiedzę. Na szczęście moje przywiązanie do pisania zostało i mogę nadal kontynuować pracę na blogu.
Zbliża się kolejna edycja SFI. Na stronie Studenckiego Festiwalu Informatycznego jest już dostępny plan konferencji, na którym można doszukać się dwóch szczególnie ciekawych pozycji (oczywiście jest to wybór czysto subiektywny, wynikający z mojego zafascynowania Pythonem). Pierwszą z nich jest wykład Maciej Fijałkowskiego “PyPy - Automatic Generation of VMs for Dynamic Languages” a drugą, prezentacja Michaela Foorda “Python in your Browser with IronPython and Silverlight“. Niezwykle cieszy mnie “obecność” Pythona na tak dużej imprezie. Niewątpliwie spowodowane jest to znacznym wzrostem popularności samego języka.
SFI odbędzie się w dniach 6-8 marca. Więcej informacji można znaleźć na stronie www.sfi.org.pl . Po zakończeniu imprezy postaram się zamieścić obszerną relację.
Wreszcie jest… na rynku pojawił się nowy magazyn poświęcony w całości tematyce szeroko pojętego bezpieczeństwa komputerowego. Nowe numery będą wydawane co dwa miesiące. Pismo skierowane jest nie tylko do użytkowników komputerów, ale także do posiadaczy konsol czy telefonów komórkowych. Przyznam, że jest to ciekawa alternatywa i mam nadzieję, że konkurencja na rynku dotychczas zdominowanym przez hakin9 pozytywnie wpłynie na rozwój obu czasopism.
W pierwszym numerze Xploit znalazł się także mój artykuł. Dotyczy on bezpieczeństwa mobilnej platformy wspieranej przez Google - Android. Starałem się przedstawić tam główne wady modelu bezpieczeństwa, który został zaimplementowany w Android. Co ciekawe, mniejszy poziom bezpieczeństwa nie wynika z błędów programistycznych, ale ze zbyt dużej wiary w drugiego człowieka… Więcej informacji znajdziecie w Xploit.
Kilka dni temu Koło Naukowe “PK IT Security Group” obchodziło swoje pierwsze urodziny. Rok wytężonych prac całego zespołu odpowiedzialnego za rozwój projektu przyniósł wymierne efekty. Oczywiście nie zrealizowaliśmy wszystkich celów i wiele zadań czyha z utęsknieniem na nasz wolny czas. Kolejny rok będzie okresem dynamicznych zmian i mam nadzieję, że będą to zmiany wyłącznie na lepsze. Zamykamy forum (które nie odniosło sukcesu - większość pytań była zadawana poprzez pocztę elektroniczną), kładziemy nacisk na spotkania “na żywo” i skupiamy się na realizacji głównych projektów… tak w zarysie będzie wyglądał kolejny etap życia Koła.
Urodziny KN są także powodem do przemyśleń na tematy związane z ogólnym podejściem do bezpieczeństwa IT w Polsce. Czy są/będą potrzebni specjaliści odpowiedzialni tylko i wyłącznie za audyt kodu czy opiekę nad infrastrukturą informatyczną firmy? Czy ich miejsce nie zajmą programiści i administratorzy znający ogólne, “dobre techniki ” programowania czy budowy sieci i to oni będą ponosić ryzyko? Czy nadal warto robić coś, co mylnie utożsamiane jest z łamaniem prawa i serwisami prezentującymi zatrważająco niski poziom? Na te pytania będę starał się odpowiadać w kolejnych wpisach…
