Disobey 2018

Aikaisemmassa blogi-postauksessani kerroin junction-tapahtumasta ja sen ohessa mainitsin hakkereista:
Lue koko juttu täältä .

Kuten ehkä arvasitkin jo, tämä kirjoitus koskee Helsingin Suvilahdessa 12.-13.1.2018 järjestettyyn Disobey 2018 tapahtumaan.
Tapahtumaan lähdin avoimin mielin ilman ennakko-odotuksia. Itse luin tapahtumasta 1. kerran Skrolli-lehdestä, joka oli tänäkin vuonna tapahtumassa mukana omalla standillaan.

Tapahtumassa tarvittiin FUD:n (ei siis F*ckedUpDevice vaan FearUncertaintyDoubt) karkoittamiseen keinoja kuten puku-kielto, valokuvaus-kielto, ”wifi-kielto” ja Chatham House Rulet lue lisää säännöistä täältä :

Ei hätää jos selvisit tähän asti. Linkkejä luvassa vielä lisää…

Hakkerointia?

– Kuulostaa että kovasti tarvitsee salata mitä siellä tapahtumassa tehdään. Hakkerit on ihan hyvä juttu, vai onko?

Hakkeroinnin moni ymmärtää liitettävän tietomurtoihin. Hackathoneissa ei tapahdu hakkerointia, vaikka englanniksi siellä jopa kehoitetaan englanniksi ’happy hacking’. Tämä on oma mielipiteeni ja aiheeseen on otettu joskus aiemminkin, kauan aiemminkin, kantaa ja esim. hack-termistä voit itse hakea tietoa tai vaikka lukea siitä täältä : ”Meaning of Hack”

Tapahtuman wifi-kielto-varoituksesta käy ilmi tapahtuman luonne eli jos tuot esim. wifi access pointin niin se tarkoittaa että tapahtumassa on lupa hakkeroida se.
Tapahtumassa oli workshoppeja joissa harjoiteltiin näitä taitoja ja niissä jopa kehotettiin käyttämään omia kännykkä-hotspot wifi accesspointteja. Omaani – ei tietääkseni kukaan ole hakkeroinut. 🙂

Tapahtumaan oli saatu n. 500 osanottajaa, kuultu yhdeltä anonyymilta tapahtuma-järjestäjältä. Twitteristä luin että Holvi-nettikaupan myötä myydyt liput loppuivat n. viikkoa ennen tapahtumaa ja ovella myynti jatkui tapahtumapäivinä. Perjantaina kello 12 ovien auetessa oli jopa ruuhkaa. 🙂
Tapahtumaan esiintyjiä ja workshoppien järjestäjiä oli tullut mm. Suomesta, Italiasta, Yhdysvalloista sekä eräskin osanottaja oli Porista.

Tapahtuma jakaantui kahdelle päivälle. Molemmissa päivissä esityksiäja sekä workshoppeja, joihin pystyi ilmoittauduttiin etukäteen.
Jos jokin esitys ei juuri kiinnostanut niin päivän sai kuluumaan vaikka CaptureTheFlag-haasteen, Illuminati-lautapelin, hacklab.fi:n puuhapisteen, lukkojen tiirikoinnin parissa.

Lyhyesti tapahtuma oli hakkeri-tapahtuma jossa hakkeri tarkoitti jotain kolmesta tietoturvaan liittyvistä hakkeri-arkkityypeistä:

  1. Valkohattu-hakkeri eli hyvis-hakkeri,
  2. Harmaahattu-hakkeri eli sitoutumaton hakkeri,
  3. MustaHattu-hakkeri eli pahis-hakkeri

Tapahtumassa hakkeri-termiä ei juurikaan teroitettu, sitä pidettiin ilmeisesti itsestäänselvyytenä, paitsi eräs ex-mustahattu joka tylytti ja opetti koodaajia.
Hän kertoi esimerkistä jossa protokolla-testaaja-nero ei pystynyt vapaata ajatellua vaativaan työtehtävään saati myöntämään olevansa kykenemätön siihen.
Eli vapaasti toimivia ja ajattelevia hakkereita tarvitaan testaamaan toimien ’epäluotettavina käyttäjinä’ löytämään pahoja vikoja.

En tapahtumassa kuullut yhdenkään mainitsevan sanaa krakkeri, jota kuitenkin on ainakin aikaisemmin käytetty synonyymina ainakin musta-hattu-hakkerista. Itse mieltäisin kaikki ”hattu-hakkerit” krakkereiksi tässä yhteydessä.

Lue täältä lisää hakkerin ja krakkerin eroista. Termi hakkeri ei ole selvästikään helppo, koska heti tapahtuman jälkeen lauantaina kun kuultiin MTV3 uutiset, monet – kuten itsekkin – takerruttiin ”niin sanottuihin hakkereihein”-termiin.

Lyhyitä koosteita muutamista aiheista:

Tapahtumassa oli useita esityksiä, workshoppeja sekä avoimia työtiloja.

Esitelmä: ”All your encrypted computer are belong to us”

  • Älä luule että tietokoneesi on turvassa jos siinä BitLocker:lla encryptattu kovalevy, salasanasi pystytään lukemaan muistista
  • Myth Busted: Muistin lukeminen nopean Cold-Bootin jälkeen ei vaadi ’kylmää’ huoneenlämpö käy ihan hyvin
  • Bios salasana suojaa hiukan
    • kuitenkin eräs ”Removee”-merkkisen tietokonevalmistajan bios master-salasanat löytyivät eräästä avoimesta bios-salasanoja sisältävästä palvelusta

Esitelmä/Live-hack: ”Reverse Engineering on Android 101 (Game protocols)”

  • Erään ”MELKO” suositun kännykkäpelin salattu tiedonsiirto hakkeroitiiin livenä käyttäen tavallista laptop:a melko monimutkaisella työkaluketjulla johon kuului yleisellä tasolla mm.
    • proxy server (nodejs)
    • server-client sovellukset (frida)
    • gdb:n kaltainen debuggaus-toiminallisuus (käyttäen kaikkia edellisiä sekä unicorn engineä)
    • ja jonkin verran taustatyötä eli eri reverse-engineering työkaluja
  • iRobot häviäisi tälle jäbälle 1-0. Ei lisättävää.

Workshop: Webapp Hacking

  • Kaksi eri vaikeustason omaavaa sovellusta joiden haavoittuvuuksien löytämistä harjoiteltiin (helpompaan pääsy oli hotspot IP-osoitteiden mukaan rajattu)
  • Helpomman tason tehtäviä sai ’suoritettua’ ihan selaimellakin ilman apu-sovelluksia, lähdekoodia tutkailemalla ja tehden kokeiluja
  • linkki materiaaliin sekä ohjeistus työkalujen asennuksesta: https://github.com/lokori/disobey

Workshop: OSINT

  • OSINT tulee sanoista Open Source Intelligence eli avoimiin lähteisiin perustuvaa hyökkäys- tai puolutustiedustelua
  • esittäjä kävi läpi ison joukon eri OSINT-työkaluja – painottaen koko ajan eettistä näkökulmaa – eli näitä ei pidä käyttää väärin – mm. noita-vainoista varoitettiin:
    • Työkaluilla voidaan mm. selvittää ystäväpiirisi, yrityksesi, sosiaalisten verkostojen tietojen kautta, sekä selvittää muuta kohdeympäritöistä avoimista lähteistä olevaa dataa
      • käytetyt tiedot voivat esim. olla kuvat, kuvien gps tieto, facebook-kaverit, serverien https-sertifikaattien alidomain tiedot, hakukonetieto jne.
  • Esityksen kalvot: OSINT Basics

Yhteenveto

Tapahtuma oli osanottajille maksullinen sisäänpääsymaksu sekä narikkamaksu. Sponsori-vesipullojen lisäksi, muuta ilmais-tarjoilua ei ollut. Yhteen workshoppiin oli komponenttien vuoksi myös lisämaksu.
Esitykset ja workshopit olivat tiivisti järjestetty, lyhyillä n. 5 minuutin tauoilla, mikä harmitti itseä muutaman esityksen jäädessä väliin Maslowin alempien tarvehierarkia-tasojen huutaessa vatsassa. Itseltä meni ohi mm. Unconference-sessiot, joista on erittäin hyviä kokemuksia toisesta tapahtumasta.
Yhteenvetona voin todeta että tapahtuma on tietoturva-alan osaajille varmasti mielenkiintoinen.
Sen lisäksi uskon jokaisen koodaajan sekä testaajan saavan tälläisestä tapahtumasta lisää ideoita ja osaamisen kehittämistä työhönsä.
Lyhyesti, suosittelen lämpimästi ja ennakkoluulottomasti.

Linkkejä

P.S. Tapahtumassa annettiin badge, johon liittyi yhteisöllinen pähkinä. Badgen tekemiseen on selvästi käytetty aikaa ja rakkautta.

P.P.S. Yksin matkustaessa Onnibus + AirBnB yhdistelmä oli sangen mukava jälleen kerran. Suosittelen molempia.

Junction 2017 – Euroopan suurin ”Hackathon”-tapahtuma

Junction 2017 – Euroopan suurin ”Hackathon”-tapahtuma

Osallistuimme 24.-26.11.2017 ensimmäistä kertaa hackathoniin, ennen kaikkea oppiaksemme hackathoneista sekä jakaaksemme nyt sitä kokemusta esim. tämän blogi-kirjoituksen muodossa.

Mikä Hack?

Käydäänpä ensin hiukan termejä läpi, joita kyseisessä tapahtumassa viljeltiin.

Mikä on ”hackathon”? Hackathon on tapahtuma jossa osallistujat ovat ”hakkereita”, jotka ratkaisevat yhtä tai useampaa haastetta yksin tai yhdessä. Haasteen tarjoaja voi olla yritys, yhteisö, kunta tai vaikka valtio, miksei yksityishenkilökin. Hackathonin lopuksi valitaan kunkin haasteen voittaja, ratkaisun perusteella.

Mikä se ”hakkeri” on, joku rikollinen vai? Voi olla… Aloitetaan laveammalla määrityksellä. Hackathonin lisäksi ”Hakkeri” tai hakkeri on ehdottomasti tämän hetken trendi-sana. Hakkeriin liitettyjä muita kuvaavampia nimiä ovat mm.:

  • ”Valkohattu-hakkeri”,
  • ”Mustahattu-hakkeri”,
  • ”Harmaahattu-hakkeri”,
  • ”haktivisti”,
  • ”bio-hakkeri”,
  • ”life hacker”,
  • ”graphic designer”,
  • ”developer”,
  • ”UX-designer” ja
  • ”Hardware hacker”.

Näistä neljää viimeistä tarkoitettiin ”hakkerilla” Junction 2017:ssa, pääsääntöisesti. Niitä voikin muuhun listaan verraten leikkisästi kutsua myös ’mallikelpoisiksi’ tai vaikka värittömiksi hakkereiksi.

Itseäni kiinnostaa hakkeri-kulttuuri, kaikkien yllä mainittujen hakkerityyppien osalta, ja erityisesti tietoturvaan liittyvä ’hattu’-hakkerointi. Sen verran tässä voidaan avata tuosta oudosta ’hattu’-sanasta että De Bono:n ”kuutta ajattelu hattua” tällä ei tarkoiteta. Tietoturvasta puhuttaessa on kuitenkin hyvä ajatella de Bonon kaltaisesti. Kuten monet muutkin tietoturva-osaajat tietävät että tekniikka on vähemmän tärkeä kuin *tapa ajatella* tietoturvasta. Lyhyesti, ’hattu’ ei määrittele henkilöä. Tällä kertaa, tässä kirjoituksessa, ei sukelleta ”hacker”-kulttuuriin tai tietoturva-asioihin tämän syvemmin.

Junction 2017

Junction on varmasti Euroopan suurin hackathon. Espoon Otaniemessä Dipolissa tapahtumaan osallistui n. 1500 hakkeria. Tapahtuman jälkeen @koodiklinikka#general:ssa yhden kommentin mukaan hakijoita olisi ollut jopa 4000.

Osallistujien lisäksi oli mukana haasteen tarjoajia, sponsoreita, mentoreta eri yhteisöistä ja yrityksistä esim. Aalto Yliopisto, Castren & Snellman- lakitoimisto, Helsingin Kaupunki, Elisa, ESA, Finnair, Nordea, Outotec, Planmeca, Spotify ja Veikkaus sekä muita. Paikalla kävijöiden joukossa näkyi lisäksi mm. NASA:n edustaja ja Peter Vesterbacka.

Tapahtuma oli hyvin järjestetty, ja mikä vakuuttavinta osallistujat olivat todella motivoituneen oloisia. Ilmeisesti korkeakoulu-opiskelijoilla, joita pääsääntöisesti osallistuja olivat, oli halu näyttää taitonsa. Nuorin osallistuja taisi olla 16-vuotias.

BUILD & MEASURE

Junctionissa kilpailuun osallistuminen edellytti MLH (Major League Hacking)-sääntöjen mukaan että koulu on kesken tai valmistumisesta on kulunut korkeintaan 12 kuukautta. Janin osalta Ylemmän AMK-tutkinnon osalta se oli selkeää. Omalta osaltani se tarkoitti coursera:n ja udemyn ohjelmointi”-koulutuksia”. Palaute-kyselyssä itsellä nykyinen koulu valinta osui kohtaan ”Code School”.

Me tapahtumaan osallistuneet Hubblelaiset – Jani ja minä – totesimme että emme osallistu kilpailuun vaan verkostoidumme ja seuraamme tapahtumaa sekä koodailemme, mikäli löytyy meille mielestämme sopiva haaste. Kuten hakemukseen asian kerroimme. Osallistumis-hakemuksen tekeminen tapahtumaan oli muuten avoin kaikille. Tapahtuma lyhyesti sanottuna on profiloitunut muiden MLH-tapahtumien tapaan opiskelijoille, näytön paikkana.

Junction tarjosi haasteiden lisäksi myös muuta ohjelmaa kuten Mindfullness-harjoituksen, perehtymisen ESA satelliitti-dataan sekä Spotifyn julkaisemattomaan Web Developer API tutorialin. Koodasimme myös tovin, Legaltech-haasteeseen osin liittyen, GDPR:ään liittyvää aputyökalua itsellemme. Keskustelimme tämän aputyökalun käytöstä ja mahdollisesta kiinnostuksesta myös Castren & Snellmanin juristien kanssa, saimmekin heiltä hyviä näkökulmia.

LEARN

Tapahtumasta jäi päällimäisenä mieleen, nivoutuen toisiinsa:

  • motivoituneet opiskelijat
  • palkintoina, rahallisen palkinnon lisäksi, oli mm. mahdollisuus tavata haaste-yrityksen päättäjiä
  • valtava potentia yrityksille jotka haluavat panostaa (saattaa edellyttää hieman enemmän kuin läsnäoloa)
    • uusiin ideoihin
    • uusiin tekijöihin
    • valmiisiin ratkaisuihin (osa ratkaisusta oli erittäin ”valmiin” oloisia)
    • testata DX:ää (Developer eXperience) uusien ’julkaisemattomien’ APIensa osalta (esim. Spotify) ja saada palautetta
  • tapahtuma on enemmän ”hands-on”-tyyppinen ja vähäisesti ”verkostoitumis”-tyyppinen tapahtuma
  • after-party sunnuntai-iltana 🙂 (alkoholia ei ollut tarjolla muuten, tämä on selvästi harkittu juttu)
  • Lopuksi ajatus hackathoneista: ”osallistujien määrä lisää laatua”
    • tämä ehkä kuulostaa absurdilta, kuitenkin tapahtuman nähneenä uskon tähän. Vinkkinä siis hackathonien järjestäjille jotka miettivät pitäisikö liittyä jonkin toisen hackathonin kanssa yhteen, vastaus: kyllä

 

Linkit

Lisää tietoa, kuten videoita tapahtumasta, löytyy youtube kanavalta sekä nettisivuilta: