Архив

Posts Tagged ‘community’

Размышления на тему «русского BlackHat’а»

Сразу оговорюсь, я не буду тут рассуждать на тему сверх-мажорных и форс-естественных обстоятельств, которые могут возникнуть при планировании мероприятия для большого количества человек. Для этого, думаю, нужен отдельный пост.

Хочу написать, почему сам я бы никогда не взялся сделать конфу, которая будет позиционироваться, как мега-хардкорная техническая конфа, русский BlackHat.
TL;DR — я вижу неустранимое противоречие в позиционировании и тактике формирования программной сетки.

Все остальное — мое мнение, которое, скорее всего, не будет совпадать с вашим на 100% =)

Что такое хардкорная техническая конфа с точки зрения активностей?

Хардкорные воркшопы, конкурсы с высоким уровнем вхождения участников, зона с недоступными в повседневной жизни девайсами (банкоматы, hardware village, lockpicking zone, etc.), секции с докладами. Все остальное (бар, Mortal Kombat и Atari, ток-шоу, ключевые докладчики) — важные атрибуты, но не вносящие вклад в слово «хардкорная».
Так вот, при вменяемом подходе (и мы это видели), у организаторов мероприятий в России нет никаких проблем с воркшопами, конкурсами и hack-зонами с мега-девайсами.

А вот как построить хардкорную секцию с докладами — непонятно.
Для меня критерий хардкорности секции — это т.н. премиум контент, который доносит докладчик. У премиум контента есть важное свойство: он является премиум только в процессе своего первого донесения до аудитории. После публикации/рассказа — это уже просто полезный справочный материал, который должен быть изучен любым экспертом из соответствующей предметной области.
Получается, что хардкорная конфа случится, если докладчики выдают свой качественный контент впервые.
Рассмотрим вопросы:
— если у российского исследователя есть премиум контент, какое CFP он предпочтет — российского мероприятия или западного?
— если у иностранного исследователя есть премиум контент, есть ли варианты, при которых он предпочтет CFP российского мероприятия?
Почему-то мне кажется, что мат ожидание ответа на первый вопрос будет «западного», а на второй — «только если ему уже дали reject’ы на других CFP». Причин тому масса, и виза — не последняя.

Выходит, при честном CFP вероятность роста числа заявок докладов с премиум-контентом от западных исследователей практически нулевая.

Как же тогда набирать программу?
Есть вариант обращаться к знакомым топовым исследователям и просить подготовить новый доклад к конференции за деньги, выступить опять же за деньги.
Второй вариант, который мы видели на ZN и PHD — приглашать с уже готовыми докладами, которые презентовались elsewhere.

Получается замкнутый круг:
1. Чтобы на CFP откликнулись ведущие исследователи с новыми темами, для них cost-benefit анализ должен завершаться в пользу российского мероприятия.
2. Для этого для иностранных исследователей плюсы должны превышать как минимум проблемы с визой и плюсы других аналогичных западных мероприятий. Если это не получаемое вознаграждение, а именно статусность мероприятия, то получаем п.3.
3. Как повышать статусность мероприятия при отсутствии денег (аудитория идет только на статусные мероприятия, спонсоры идут на массовые мероприятия), если для создания этой статусности не приезжают ведущие докладчики?

Как вариант, сделать действительно русский BlackHat, ориентированный только на русскую аудиторию и приглашающий русских докладчиков, которые не могут в силу языка или невыездности (труЪ хакеры) ездить по западным конфам.

Т.е., резюмируя, как сделать реально хардкорную международную техническую конференцию в России — хрен его знает. Такие вот мысли.

Реклама

[Константин Безносов @ МГУ] Вопросы безопасности и конфиденциальности в современных социальных сетях

Приглашаем всех желающих посетить лекцию Константина Безносова из Университета Британской Колумбии по теме «Security and Privacy in Online Social Networks», которая состоится на факультете ВМК МГУ 25 июня в 12:00.

Аннотация. Каждый месяц Фейсбуком пользуются больше людей чем жителей любой страны мира, за исключением Китая и Индии. Более того, эти пользователи проводят там порядка получаса каждый день, просматривая чужие или обновляя свои статусы, или просто «тусясь». Поэтому не удивительно, что социальные сети привлекают огромное внимание широкой и разносортной публики. К примеру, в 2011 активисты «Арабской весны» использовали социальные сети как средство коммуникаций, а в 2012 году американский президент Обама во время перевыборных собрал $690 миллионов через социальные сети. Не обошли стороной социальные сети и разного рода организации (коммерческие и правовые), которые, законно и не очень «проталкивают» свои услуги и товары, или собирают информацию по интересующих им пользователям. Такое множество заинтересованных лиц остро ставит интригующий и спорный вопрос безопасности и конфиденциальности в современных социальных сетях. В данной лекции будет проведён обзор международных исследований по этому вопросу, опубликованных за последние 5 лет. Материал лекции предназначен для широкой аудитории. Лекция будет на английском языке, вопросы и ответы могут быть на русском.

О лекторе:
Konstantin Beznosov, Associate Professor in Laboratory for Education and Research in Secure Systems Engineering, Department of Electrical and Computer Engineering, University of British Columbia

Био: http://konstantin.beznosov.net/professional/bio

Как обычно, для прохода в МГУ понадобится пропуск МГУ, либо можно пройти по паспорту, прислав предварительно мне (petandr на gmail.com) или Денису Гамаюнову (gamajun на cs.msu.su) полные фамилию, имя и отчество.

ZeroNights 2012

Запишу-ка я свои мысли по поводу конференций вообще и ZN в частности. Вдруг, кому-то будет полезно или даже интересно )

О позициях оценивания (не претендуя на полноту).
На вскидку вижу следующие основные стороны: организаторы конференции и потребители конференции. Потребителей давайте поделим на слушателей, докладчиков и спонсоров.

К.О. намекает, что критерии оценки успешности конференции у каждой категории будут свои. Например, организаторы хотят максимизировать количество спонсоров и слушателей (которых тоже две категории — «те, кто за свой счет» и «те, кто договорился на работе»). Один из способов максимизировать количество слушателей — сформировать годную программу конференции. На лицо почти замкнутый круг: спонсоры хотят большую аудиторию, большая аудитория хочет хорошую программу, а хорошие докладчики хотят статусную конференцию.

Коль скоро я в том году был в категории слушателей («те, кто за свой счет»), а в этом — в категории докладчиков, надеюсь, что мои оценки будут восприняты с правильной долей скепсиса, хехе.

Город проведения.
As for me, конференция — это какое-никакое, но приключение. Для меня важно не только содержание программы, но и то, что называется околоконфа — город, место проведения в городе, вечеринки и прочие тусы. Это все вместе формирует впечатление и общее чувство удовлетворенности от потраченного времени.

Можно подумать, что у автора этих строк на первом месте стоят тусовки, но нет. Как отличная туса с плохой программой вызывает вопрос «а чем это отличается от простой поездки на week-end в город … (you name it)?», так и отличная программа с унылой околоконфой вызывает вопрос «а не съездить ли мне в следующий раз в какой-нить Амстердам?» (я про HITB, ага).

Вот на ZN с околоконфой было все очень хорошо (не идеально, как, например, на Confidence, которую я считаю эталонной). Все хорошо, кроме города. Уверен, со мной согласятся большинство докладчиков из Москвы, что мы бы с бОльшим удовольствием съездили бы в Питер, чем остались тут.

А есть еще нерепрезентативная выборка из моих знакомых — слушателей класса «те, кто за свой счет» — они солидарны в отношении к конференции как к приключению и тоже за Питер.

От организаторов есть инфа, что они точно уверены в том, что конференцию надо проводить в Москве и только в Москве. Хочется услышать их аргументацию. Особенно о том, что ключевым фактором успеха этого года был именно перезд, а не успешный первый раз + качество программы.

Программа.
Тут все очень ок — все (все!) доклады, на которые я сходил, меня не разочаровали (был не только на своем докладе, ага).

Единственно, я был бы рад, если бы расписанию сделали shift на 2 часа в сторону дня. Побочным эффектом отличной программы была прекрасная компания на спикер пати. Тут организаторы тоже молодцом.

Атмосфэра.
Окрещу-ка я бытовые события на конференции емкой фразой из известного анекдота «один сломал, другой потерял». События, перечисленные ниже, мной воспринимались исключительно с улыбкой и здоровым троллингом:
— (сломал) куча непонятных беспроводных сетей, которые делают каждое подключение ноутбука в Интернет похожим на прогулку с айфоном ночью по хорошо известному району на юге Москвы;
— (потерял) переодически отваливающаяся мобильная связь у МТС;
— (сломал) мортал комбат с применением fatality, ярко демонстрирующий актуальность физической безопасности в нашем суровом мире;
— (потерял) второе на обедах, которое вроде бы и есть (все вокруг его едят!), но как получить его — фиг знает;
— (сломал) хакнутая дверь в мужском туалете под конец второго дня (видимо, wifi точек доступа и базовых станций не хватило);
— (потерял) кофе, который всегда был под рукой, когда не надо, и отсутствующий в самые важные моменты!
В общем, весело было :)

«Вилки нашлись, а осадок остался» (с)
1. В 18:30 второго дня был выключен MK несмотря на все просьбы дать сыграть хотя бы одну партию; это может выглядеть как персональная обида, но, ребят, это же портит впечатление, когда в час X сворачивают приставки, кофе и «закрывают туалеты» (условно). Мое твердое убеждение, что так нигде и никогда не должно быть.

2. Не знаю, насколько это реально сделать, что на массовых мероприятиях, опять же, по моему твердому убеждению, должны быть не только сервисы по расписанию, но и on-demand (за кеш) — тоже. Захотел попить кофе или съесть бутерброд в неустановленное время — велкам, только деньги плати.

Заключительное слово.
ZN, конечно, надо оценивать не как экземпляр вне времени и пространства, а как вторую серию после успешной первой. Вторая серия получилось видимо лучше. И это главное.

Хочу выразить глубочайшее почтение всем тем, кто трудился над созданием этого предприятия, я понимаю, насколько это сложно. Представляется, что вы должны гордиться тем, что получилось :)

Другие отзывы:
http://c3ret.wordpress.com/2012/11/22/zeronights-2012/
http://scii.ru/_shr/2012/11/zeronights-2012/
http://oxod.ru/?p=369
http://kyprizel.livejournal.com/349877.html
http://www.itsec.pro/2012/11/0days-0nights-1.html и http://www.itsec.pro/2012/11/0days-0nights-2.html
http://amatrosov.blogspot.ru/2012/11/zeronights2012.html
http://www.agarri.fr/kom/archives/2012/11/26/zeronights_2012_opinions_and_links/index.html

Презентация нашего выступления:

Confidence 2012

Докладаю: чуть заря
Федька поднял якоря!
Слава Богу, отвязались
От него, от упыря!

Решил-таки записать для протокола впечатления от поездки в Краков на конференцию Confidence 2012.

Так получилось, что на конференцию приехали аж пятеро русскоговорящих докладчиков (а должно было быть шесть, но Алексей Синцов в последний момент, к сожалению, перенаправился в /dev/null) — это Дима Евдокимов и Саша Миноженко из DSec, Алан Какарека из Майами и мы с Каримом Валиевым из seclab@msu. Наш совместный и более развернутый, чем данный, пост можно прочитать на хабре. Далее — впечатления по основным составляющим конференции. Кратко. Тег «Далее»

Пересечения на конференциях пост

В рамках программы по удержанию старых рубежей и экспансии на новые, прокрались с докладами на РусКрипто’2012 и Confidence’2012.

Кто-нибудь из почтеной аудитории планирует посетить any of them? Отпишитесь, что ли: можно будет поболтать за кружечкой пива!
A note by: в Краков в этом году едет целый десант из русских во главе с Лёшей Синцовым :)

Кому интересно, аннотации докладов — под катом. Тег «Далее»

So much drama in the PHD

И была осень, и свершилось тайное совещение, и было принято решение.
И настала зима, и было написано Call For Papers, и мы посмотрели на него, и нам понравилось.

Студенты! Аспиранты! Молодые исследователи! Отриньте сомнения! Проверьте себя! Пришлите тезисы на конкурс работ молодых ученых PHD!

Несколько важных моментов:

  1. Тезисы проходят анонимное перекрестное рецензирование. Это значит, что каждые тезисы будут обезличены и направлены как минимум двум рецензентам. Решение по работе будет приниматься на основе полученных рецензий. Таким образом, авторы непрошедших работ получат не просто «reject», а конструктивную критику.
  2. Тезисы должны соответствовать как минимум двум важным критериям:
    — ориентированность на практическую составляющую информационной безопасности (т.е. такая область как Information Security Governance или свойства эллиптических кривых для криптографии получаются out-of-scope);
    — наличие научного подхода при получении и (очень важно) оценке применимости результата.
  3. Принимаются тезисы, написанные в формате US Letter (шаблоны можно скачать вот здесь). Тезисы не в формате будут отклоняться автоматически.
  4. Авторы лучших работ вместе с соавторами и научными руководителями получат возможность представить свою работу на соответствующем треке форума Positive Hack Days.

Остальные подробности описаны на страничке мероприятия.

Я буду очень признателен, если читатели этого поста сообщат о мероприятии своим знакомым, которые могут быть в нем заинтересованы. Большое человеческое спасибо!

p.s. Я вижу большой плюс в том, чтобы представители академии встретились с практиками и техническими специалистами на форуме: им есть чему поучиться друг у друга. С одной стороны, я часто вижу практиков, которые не понимают контекста той или иной проблемы (т.е. не владеют уровнями абстракции), не понимают взаимосвязей насущных задач со смежными областями; не представляют, зачем нужна методика испытания эфективности технического средства, и как ее грамотно составить (см. работы по сравнению сканеров, IPSок, антивирусов и пр). С другой стороны, представители академии порой исследуют сферических коней в вакууме (зачем нужен их метод или инструмент? какова область его эффективного применения?) — полная оторванность от реальных каждодневных задач. А еще, мне кажется, многим исследователям будет интересно узнать, какие методы и средства реально работают на практике, а которые — лишь в теории (привет статическому taint-анализу javascript’а).

p.p.s. Текст песни «So much drama in the PHD» можно почитать вот тут, а саму песню послушать вот тут.

iCTF’2011

Буквально пару слов.
Третьего дня вонзались в iCTF’2011. Мне кажется, это главная игра для всех причастных. При всем уважении к PHD и ruCTF.
Наблюдательный читатель все равно бы заметил нытьё, так что я поною прямо:
— 13 место, 5-ое среди наших команд (в том году были 30-ые);
— сдали позиции с 6-ой до 13-ой за последний час, потому что не смогли допилить челенджи. Очень хочется верить, что не смогли, потому что не тупые, а устали, но это для злорадствующих.
Отдельно хочется отметить большое количество российсикх команд в топе:
— Чуть более копчёных элитных цыплёнков (перевод — авторский, бить — меня; капризель — превед), которые только в последние 15-ть минут про**ли лидерство каким-то упырям. Парни, мы за вас болели всю игру.
— Хакердом. Старые соперники, которые в середине игры никак не воспринимались нами всерьёз, но потом по итогам были выше. Alas for us all.
— Консистентность с ruCTFE — мы были 12-е и тоже 5-е среди наших (и тоже слили с высокого места, но там из-за сообщений об уязвимостях).

So, in anticipation for further challenges, we hail the winners:
1. We_0wn_Y0u from Austria
2. More Smoked Leet Chicken from Russia
3. FluxFingers (Mario, Reiners, cheers) from Germany.

and the last but not the least,
41. Bushbabies from Russia. Our team of youngsters. We wish them good luck and a progressive kick off.

Метки: , ,