tammikuu 2018 - Hubble

AWS kehittäjäpäivät Helsingissä

by Jani Nurmi | 29.01.2018 | Yleinen

Kävimme Samin kanssa AWS:n kehittäjäpäivillä Helsingissä tutustumassa mielenkiintoiseen kattaukseen. Sama setti oli tarjoiltu paria päivää aikaisemmin Tukholmassa. Tapahtumassa oli tarjolla mielenkiintoiset workshopit serverless arkkitehtuureista ja mobiilikehittämisestä AWS työkaluilla. Mutta kolmelle träkille jaetut luennot/demot palvelivat omaa tiedonnälkää enemmän. Träkit olivat serverless arkkitehtuurit, konttiteknologiat ja tietysti AI. Noista itseäni kiinnosti eniten serverless arkkitehtuurit ja AI.

Liikkeelle Porin seudulta pitää tietysti lähteä ennen kuin kukko on laulanut ja fakta on, että se ottaa hiukan tehoja pois iltapäivästä. Kattaus oli jo agendan mukaan sen verran hyvä, että ei annettu sen haitata. Päivä alkoi tietysti rekisteröitymisellä ja sen yhteydessä T-paitojen jaolla ja aamupalalla. Ensimmäiset sessiot kullakin träkillä oli yleisluontoinen katsaus aiheen nykytilaan. Katsoimme alkusetin AI-träkillä ja se vaikutti niin mielenkiintoiselta, että päätimme pysyä samassa huoneessa koko päivän.

Sessioiden taso vaihteli yksinkertaisista esittelyistä aina 8 GPU:n, 488 muistigigan monsterin säikeiden ja muistin käytön optimointiin mallien opettamisessa. Kuten muillakin osa-alueilla AWS:n palvelut koostuvat tasoista, joissa oma vastuu ja vaikutusmahdollisuudet vaihtelevat. Ylimmällä tasolla on täydelliset palvelut joita voi ruveta heti käyttämään APIen kautta. Toisella tasolla on palvelut, jotka kootaan itse pienemmistä palasista. Ja kolmannella tasolla on täysin räätälöitävät kokonaisuudet, joissa ainoastaan infran ylläpidon ja skaalaamisen huoli on poistettu.

Ylin taso, valmiit palvelut

Ylimmän tason esimerkit olivat kuvien, videoiden, tekstin ja puheen analysointia valmiiden palvelujen avulla. Demoissa analysoitiin em. materiaaleja, sekä luotiin yksinkertainen botti käyttäen Amazon Lex palvelua. Ylimmän tason palveluissa on esiopetetut mallit joiden avulla omaa materiaalia voi analysoida. Tällä tasolla liikkeelle pääsee hyvin nopeasti ja tutustuminen AI:hin voi alkaa.

Toinen taso, palasista kootut kokonaisuudet

Esimerkeissä käytettiin Amazon SageMakeria jonka avulla päästään nopeasti analysoitavaan dataan käsiksi esim. S3:n kautta ja voidaan käyttää valmiita algoritmeja (eli algoja). SageMakerissä homma lähtee liikkeelle Jupyter notebook instanssista, joissa on valmiina hyviä esimerkkejä. Mallien opetuksen ja testauksen jälkeen deployment vaiheessa mallille tulee oma API-osoite, jota voi alkaa käyttämään tuotannossa. Eri vaiheisiin voi tietysti määritellä erilaiset instanssit tarpeen mukaan. Tämä taso vaatii selvästi enemmän osaamista kuin ylimmän tason palvelut, mutta mukana on paljon valmista kuten 12 yleisintä ML algoritmia.

Kolmas taso

Alimmalla tasolla AWS:n avut kohdistuvat oman kustomoidun infran luomiseen omia Deep Learning tarpeita varten. Tällä tasolla ollaan tekemisissä suoraan eri instanssityyppien kanssa, jotka voi perustaa valmista AWS Deep Learning AMIn (Amazon Machine Image) käyttäen. Tällä tarve on tyypillisesti erittäin vaativien mallien ja suurien datamäärien analysointi. Tällä tasolla voi esimerkiksi säästää suuria summia rahaa käyttäen oikealla tavalla eri tyyppisiä instansseja ja niiden CPU tai GPU ominaisuuksia, unohtamatta suuren datamäärän siirtämisen tarpeita. Tällä tasolla saattaa tulla hyödylliseksi AWS:n spottihinnoittelu, joilla on mahdollista saada suuriakin kustannussäästöjä.

Kokemus

Hotelli Clarionissa järjestelyt toimivat hyvin. Omalle kohdalle päivän annista jäi erityisesti mieleen:

Tietynlainen mystiikka aiheen ympäriltä väheni huomattavasti hyvien esimerkkien kautta.
Erilaisia käyttökelpoisia valmiita malleja löytyy verkosta mitä ihmeellisimpiin tarkoituksiin.
Jos valmiit mallit ei miellytä, valmista dataa oman mallin opettamiseen löytyy sitäkin paljon ja demoissa niitä hyödynnettiinkin.
Mutta tärkeintä AI:n ihmeellisessä maailmassa on se, että kaiken A ja O on kuitenkin sen ongelman tai kysymyksen kuvaaminen mihin vastauksia halutaan.

Hoodies

Päivän piristys oli, kun yhden keskustelun päätteeksi kaveri totesi jotakuinkin näin ”Your company is only less than a year old and you already have hoodies. We had to wait for four years to get hoodies…” Satakuntalaisen positiivisessa hengessä voisi kai todeta, että ainakin yksi asia meillä Hubblessa on kohdallaan.

Disobey 2018

by Santeri Vesalainen | 15.01.2018 | Tietoturva, Yleinen

Aikaisemmassa blogi-postauksessani kerroin junction-tapahtumasta ja sen ohessa mainitsin hakkereista:
Lue koko juttu täältä .

Kuten ehkä arvasitkin jo, tämä kirjoitus koskee Helsingin Suvilahdessa 12.-13.1.2018 järjestettyyn Disobey 2018 tapahtumaan.
Tapahtumaan lähdin avoimin mielin ilman ennakko-odotuksia. Itse luin tapahtumasta 1. kerran Skrolli-lehdestä, joka oli tänäkin vuonna tapahtumassa mukana omalla standillaan.

Tapahtumassa tarvittiin FUD:n (ei siis F*ckedUpDevice vaan FearUncertaintyDoubt) karkoittamiseen keinoja kuten puku-kielto, valokuvaus-kielto, ”wifi-kielto” ja Chatham House Rulet lue lisää säännöistä täältä :

https://disobey.fi/rd/index.html
https://en.wikipedia.org/wiki/Chatham_House_Rule ( ja niitä sovelletaan myös tässä blogi-kirjoituksessa )

Ei hätää jos selvisit tähän asti. Linkkejä luvassa vielä lisää…

Hakkerointia?

– Kuulostaa että kovasti tarvitsee salata mitä siellä tapahtumassa tehdään. Hakkerit on ihan hyvä juttu, vai onko?

Hakkeroinnin moni ymmärtää liitettävän tietomurtoihin. Hackathoneissa ei tapahdu hakkerointia, vaikka englanniksi siellä jopa kehoitetaan englanniksi ’happy hacking’. Tämä on oma mielipiteeni ja aiheeseen on otettu joskus aiemminkin, kauan aiemminkin, kantaa ja esim. hack-termistä voit itse hakea tietoa tai vaikka lukea siitä täältä : ”Meaning of Hack”

Tapahtuman wifi-kielto-varoituksesta käy ilmi tapahtuman luonne eli jos tuot esim. wifi access pointin niin se tarkoittaa että tapahtumassa on lupa hakkeroida se.
Tapahtumassa oli workshoppeja joissa harjoiteltiin näitä taitoja ja niissä jopa kehotettiin käyttämään omia kännykkä-hotspot wifi accesspointteja. Omaani – ei tietääkseni kukaan ole hakkeroinut. 🙂

Tapahtumaan oli saatu n. 500 osanottajaa, kuultu yhdeltä anonyymilta tapahtuma-järjestäjältä. Twitteristä luin että Holvi-nettikaupan myötä myydyt liput loppuivat n. viikkoa ennen tapahtumaa ja ovella myynti jatkui tapahtumapäivinä. Perjantaina kello 12 ovien auetessa oli jopa ruuhkaa. 🙂
Tapahtumaan esiintyjiä ja workshoppien järjestäjiä oli tullut mm. Suomesta, Italiasta, Yhdysvalloista sekä eräskin osanottaja oli Porista.

Tapahtuma jakaantui kahdelle päivälle. Molemmissa päivissä esityksiäja sekä workshoppeja, joihin pystyi ilmoittauduttiin etukäteen.
Jos jokin esitys ei juuri kiinnostanut niin päivän sai kuluumaan vaikka CaptureTheFlag-haasteen, Illuminati-lautapelin, hacklab.fi:n puuhapisteen, lukkojen tiirikoinnin parissa.

Lyhyesti tapahtuma oli hakkeri-tapahtuma jossa hakkeri tarkoitti jotain kolmesta tietoturvaan liittyvistä hakkeri-arkkityypeistä:

Valkohattu-hakkeri eli hyvis-hakkeri,
Harmaahattu-hakkeri eli sitoutumaton hakkeri,
MustaHattu-hakkeri eli pahis-hakkeri

Tapahtumassa hakkeri-termiä ei juurikaan teroitettu, sitä pidettiin ilmeisesti itsestäänselvyytenä, paitsi eräs ex-mustahattu joka tylytti ja opetti koodaajia.
Hän kertoi esimerkistä jossa protokolla-testaaja-nero ei pystynyt vapaata ajatellua vaativaan työtehtävään saati myöntämään olevansa kykenemätön siihen.
Eli vapaasti toimivia ja ajattelevia hakkereita tarvitaan testaamaan toimien ’epäluotettavina käyttäjinä’ löytämään pahoja vikoja.

En tapahtumassa kuullut yhdenkään mainitsevan sanaa krakkeri, jota kuitenkin on ainakin aikaisemmin käytetty synonyymina ainakin musta-hattu-hakkerista. Itse mieltäisin kaikki ”hattu-hakkerit” krakkereiksi tässä yhteydessä.

Lue täältä lisää hakkerin ja krakkerin eroista. Termi hakkeri ei ole selvästikään helppo, koska heti tapahtuman jälkeen lauantaina kun kuultiin MTV3 uutiset, monet – kuten itsekkin – takerruttiin ”niin sanottuihin hakkereihein”-termiin.

Lyhyitä koosteita muutamista aiheista:

Tapahtumassa oli useita esityksiä, workshoppeja sekä avoimia työtiloja.

Esitelmä: ”All your encrypted computer are belong to us”

Älä luule että tietokoneesi on turvassa jos siinä BitLocker:lla encryptattu kovalevy, salasanasi pystytään lukemaan muistista
Myth Busted: Muistin lukeminen nopean Cold-Bootin jälkeen ei vaadi ’kylmää’ huoneenlämpö käy ihan hyvin
Bios salasana suojaa hiukan
- kuitenkin eräs ”Removee”-merkkisen tietokonevalmistajan bios master-salasanat löytyivät eräästä avoimesta bios-salasanoja sisältävästä palvelusta

Esitelmä/Live-hack: ”Reverse Engineering on Android 101 (Game protocols)”

Erään ”MELKO” suositun kännykkäpelin salattu tiedonsiirto hakkeroitiiin livenä käyttäen tavallista laptop:a melko monimutkaisella työkaluketjulla johon kuului yleisellä tasolla mm.
- proxy server (nodejs)
- server-client sovellukset (frida)
- gdb:n kaltainen debuggaus-toiminallisuus (käyttäen kaikkia edellisiä sekä unicorn engineä)
- ja jonkin verran taustatyötä eli eri reverse-engineering työkaluja
iRobot häviäisi tälle jäbälle 1-0. Ei lisättävää.

Workshop: Webapp Hacking

Kaksi eri vaikeustason omaavaa sovellusta joiden haavoittuvuuksien löytämistä harjoiteltiin (helpompaan pääsy oli hotspot IP-osoitteiden mukaan rajattu)
Helpomman tason tehtäviä sai ’suoritettua’ ihan selaimellakin ilman apu-sovelluksia, lähdekoodia tutkailemalla ja tehden kokeiluja
linkki materiaaliin sekä ohjeistus työkalujen asennuksesta: https://github.com/lokori/disobey

Workshop: OSINT

OSINT tulee sanoista Open Source Intelligence eli avoimiin lähteisiin perustuvaa hyökkäys- tai puolutustiedustelua
esittäjä kävi läpi ison joukon eri OSINT-työkaluja – painottaen koko ajan eettistä näkökulmaa – eli näitä ei pidä käyttää väärin – mm. noita-vainoista varoitettiin:
- Työkaluilla voidaan mm. selvittää ystäväpiirisi, yrityksesi, sosiaalisten verkostojen tietojen kautta, sekä selvittää muuta kohdeympäritöistä avoimista lähteistä olevaa dataa
  - käytetyt tiedot voivat esim. olla kuvat, kuvien gps tieto, facebook-kaverit, serverien https-sertifikaattien alidomain tiedot, hakukonetieto jne.
Esityksen kalvot: OSINT Basics

Yhteenveto

Tapahtuma oli osanottajille maksullinen sisäänpääsymaksu sekä narikkamaksu. Sponsori-vesipullojen lisäksi, muuta ilmais-tarjoilua ei ollut. Yhteen workshoppiin oli komponenttien vuoksi myös lisämaksu.
Esitykset ja workshopit olivat tiivisti järjestetty, lyhyillä n. 5 minuutin tauoilla, mikä harmitti itseä muutaman esityksen jäädessä väliin Maslowin alempien tarvehierarkia-tasojen huutaessa vatsassa. Itseltä meni ohi mm. Unconference-sessiot, joista on erittäin hyviä kokemuksia toisesta tapahtumasta.
Yhteenvetona voin todeta että tapahtuma on tietoturva-alan osaajille varmasti mielenkiintoinen.
Sen lisäksi uskon jokaisen koodaajan sekä testaajan saavan tälläisestä tapahtumasta lisää ideoita ja osaamisen kehittämistä työhönsä.
Lyhyesti, suosittelen lämpimästi ja ennakkoluulottomasti.

Linkkejä

Tapahtuman virallinen sivu – https://disobey.fi
Disobeyn teaser-pähkinän walkthrough – https://docs.google.com/document/d/1iXD6CmQFG0cRkjgJOao2EeDeizEiMf-JJCjMMVv0CIc/edit
Tapahtuman youtube kanava – https://www.youtube.com/channel/UCOtuVFYdy-Bu0zQ0rRyhQzg
Reaktor laati tapahtumaan oman ennakko-pähkinänsä – http://disobey.reaktor.com
- jota itsekkin kokeilin pääsemättä 2 tasolle. Tasoja oli ilmeisesti 7 kaikkiaan. 🙂
illuminati-lautapeli : https://boardgamegeek.com/boardgame/859/illuminati
MTV3 >> 06:00 : https://www.katsomo.fi/#!/jakso/33001017/uutislahetykset/852722/lauantai-13-1-klo-1900

P.S. Tapahtumassa annettiin badge, johon liittyi yhteisöllinen pähkinä. Badgen tekemiseen on selvästi käytetty aikaa ja rakkautta.

kuva: Itse en tämän pidemmälle pähkinän selvittämisen kanssa päässyt: video
https://github.com/disobeyfi/badge-2018 (ehkä badgen koodit ja schema julkaistaan kuten 2017 badge koodit ja schema)

P.P.S. Yksin matkustaessa Onnibus + AirBnB yhdistelmä oli sangen mukava jälleen kerran. Suosittelen molempia.