W minioną sobotę odbyła się konferencja poświęcona obszarowi bezpieczeństwa IT - What The H@ck?!
Do udziału w wydarzeniu, zachęcał szeroki wybór tematyki, obejmującej wszystkie zagadnienia IT Security, ale i wystąpienia prowadzone przez ciekawych prelegentów
z różnych środowisk i branż.
O tym, jak było naprawdę, które wystąpienia były najbardziej wartościowe, opowiedzą nasi eksperci technologiczni, którzy uczestniczyli w konferencji: Adrian Sroka – Architect Application, Przemysław Chmielecki - Cloud Engineer | DevOps, Jan Rybka – Programista .NET
Jesteście już po konferencji. Minęło kilka dni, tak więc myślę, że Wasz opinia o konferencji będzie jak najbardziej trafiona. Dzisiaj chciałam Wam zadać kilka pytań, które pozwolą dowiedzieć się,
jak z perspektywy uczestnika, wyglądało wydarzenie. Nie ukrywam, że w mojej ocenie What The H@ack zapowiadało się naprawdę interesująco! Ale jak było naprawdę?Powiedzcie mi, jak ogólnie oceniacie konferencję?
Adrian Sroka: Dobrze. Trzy prezentacje były super, jedna super nudna, a reszta w porządku.
Jan Rybka: Wykłady były w większości ciekawe i dobrze prowadzone. O wiele gorzej było z organizacją, szczególnie od strony podziału na Standard i Pro. Wstęp na wykład, na który nie byłem zapisany był teoretycznie możliwy. W rzeczywistości udział w prelekcji, był jednak mocno utrudniony. Po pierwsze musiałem czekać na potwierdzenie listy obecności gości VIP, a po drugie, musiałem przejść przeszukanie osobiste przed wejściem, co w konsekwencji przyczyniło się do tego, że byłem jedynie na połowie wykładu. Strata czasu.
Przemysław Chmielecki: Generalnie na plus pod względem merytoryki, choć mam spore zastrzeżenia do organizacji samego eventu i wydzielania nieproporcjonalnych stref dla wyższych pakietów niż standard - np. na jednym wykładzie połowa sali była pusta (rzędy dla pakietów Executive i Pro) a tylne rzędy były przepełnione (standard) – trochę to nielogiczne. Niestety dało się odczuć, że jak płacisz mniej to jesteś traktowany jak uczestnik drugiej kategorii.
Co przykuło Waszą szczególną uwagę?
JR: Temat wyłudzeń i oszustw internetowych od strony prawnej i karnej. Z jakich paragrafów ścigane są przestępstwa internetowe. Jak wygląda rynek kont bankowych do przelewów „na słupa” i jak skrajnie nieodpowiedzialni są ludzie. Ciekawe też było ostatnie pytanie: jak najlepiej wykonać milionowy przelew, żeby bank nie oznaczył go jako podejrzanego? Wykonać go w Split Payment
AS: Ścieżka DevOps i Dev.
PCh: Poziom zaawansowania rozważań nad bezpieczeństwem IT w korporacjach. Często spotykałem się z podejściem, że w firmie jest wydzielona komórka security albo kilka osób ma taką rolę. Na konferencji zaprezentowano nową wizję, aby na każdym kroku wszyscy byli uważni na ten obszar. Wprawdzie koncepcyjnie to nic nowego, ale pod kątem rzeczywistej implementacji nie występowało ono powszechnie.
Które z wystąpień najbardziej Ci się podobało??
AS: Jak z podejścia DevOps zrobić DevSecOps.
JR: Pranie pieniędzy pochodzących z cyberprzestępczości - studium przypadku.
PCh: Wystąpienie dotyczące podejścia DevSecOps jako ciekawej hybrydy łączącej zalety filozofii DevOps z troską o bezpieczeństwo (na każdym poziomie!).
Które z wystąpień przykuło Twoją uwagę?
JR: Były trzy.
1. Atak na stronę internetową przez mXSS (mutation XSS: https://research.securitum.com/dompurify-bypass-using-mxss/).
2. W jaki sposób działa biometria behawioralna i jak jest wykorzystywana do uwierzytelnienia użytkownika w trakcie sesji. Interesujące było też to, że jest to już wykorzystywane produkcyjnie w systemach bankowych (i nie tylko).
3. Narzędzia do sprawdzania zarejestrowanych subdomen (nawet tych nie linkowanych publicznie i zaindeksowanych przez wyszukiwarki) oraz jak bardzo podkreślane było znaczenie skutecznej grupy interwencyjnej w przypadku wycieku danych (koordynacja działań IT z działem prawnym i PR-owym).
AS: Praktyczne aspekty kultury DevSecOps. Jak wdrożyć Security w Agile.
PCh: Dev – Sec – Ops
Komu polecasz udział w konferencji?
AS: Biorąc pod uwagę mnogość ścieżek, każdemu kto interesuje się bezpieczeństwem w IT.
JR: Dla programistów był dość wąski wycinek konferencji. W znacznej większości tematy były przeznaczone dla kierowników i osób odpowiedzialnych za bezpieczeństwo struktur firmowych (działy IT/DevOps/SecOps). Interesujące było jednak spojrzenie na tematy z tej drugiej strony kodu i sprawdzenie, jakie problemy i wyzwania są w innych obszarach działania systemu.
PCh: W zasadzie trudno ograniczyć tu scope, ponieważ były treści mogące zainteresować zarówno Dev, QA, DevOps, PL, PM.
Trzy słowa, którymi opiszesz konferencję?
AS: Promowanie prelegentów, dużo ścieżek, dziwna organizacja.
JR: Money Money Pro!;) Przegląd tematów bezpieczeństwa cybernetycznego w naprawdę szerokim i wyczerpującym ujęciu.
What The H@ack 2020 - Tak?
AS: Pewnie tak, choć nie jestem pewien czy samemu bym za to zapłacił 500 zł.
JR: Dopiero po sprawdzeniu agendy. Musi być zapełniona od góry do dołu dobrymi tematami. Jeśli tematy mnie nie zainteresują to organizator tego nie wynagrodzi.
PCh: To niestety zależy od agendy. Zobaczymy.
Czy chcielibyście dodać coś jeszcze? Może jest coś, o co nie dopytałam, a warto się tym podzielić?:)
Adrian: Wybierając się na tą konferencję, zastanawiałem się, czego mogę się po niej spodziewać. Sporo tematów prelekcji było bardzo ogólnych i ciężko było stwierdzić, jak dokładnie będą opisywały dany temat. Niestety po pierwszej prezentacji nie byłem zachwycony. Temat mnie bardzo interesował, jednak prelegent mówił bardzo ogólnie i od połowy prezentacji zaczął zachwalać swoją aplikację, zamiast przekazywać jakieś wartościowe treści. Z drugą prezentacją też niestety nie trafiłem, bo pomimo tego, ze temat brzmiał ciekawie, to zupełnie do mnie nie trafił.
Na szczęście dalej było już dużo lepiej. Każda kolejna prezentacja była bardzo inspirująca i pouczająca. Największym zaskoczeniem dla mnie był moment, gdy dość nieelegancko - 5 minut po planowanym rozpoczęciu organizatorzy ogłosili, że prezentacja, na która czekałem nie odbędzie się z powodu niedyspozycji autora i musiałem szybko zmieniać salę. Na szczęście wybierając temat na szybko trafiłem bardzo dobrze na prezentację, która odpowiedziała na kilka istotnych dla mnie pytań z zakresu DevSecOps.
Podsumowując pomimo dziwnej organizacji: skąpe opisy i niefajne traktowanie uczestników z wejściówką Standard i tak warto było się wybrać na tę konferencję. Wyszedłem z niej z notesem zapisanym rożnymi inspiracjami, które mam nadzieję niedługo wdrożyć w pracy.
Bardzo Wam dziękuję, za poświęcony czas!
#diversecg #DCG #teamdcg #quality #ITsecurity #whatthehack #bezpieczeństwoIT #technologyexperts
KONFERECJE IT
