Metro Olografix Camp 2008
Ricevo e riporto:
In molti ci speravano, in pochi ci credevano, le voci erano discordanti, gli animi accesi, ma alla fine ci siamo riusciti! Dopo quattro anni dalla celebrazione dei 10 anni di vita di Metro Olografix, a grande richiesta, un nuovo camp estivo ci permetterà di passare assieme alcuni caldi giorni d'agosto, tra una rustella ed un bicchier di vino, tra una nuotata ed un talk, nella ridente Pescara.
Ardetec li cannilicchie!
Dal 21 al 24 Agosto 2008, presso il Parco "ex Caserma Di Cocco" si svolgerà la seconda edizione del Metro Olografix Camp, un hacker camp in stile nord-europeo, ad accesso libero e gratuito, con lo scopo di stare assieme e divertirci condividendo informazioni e sapere.
Sarà come quattro anni fà un'occasione per incontrare vecchi e nuovi amici, tutti coloro che hanno popolato l'underground telematico da quel famoso 1994 ad oggi, che sono pronti a viverlo nel prossimi anni, assieme a chi si sta affacciando ora su una realtà telematica sempre piu' preoccupante per via delle implicazioni tecnologiche e legali.
Per questo ti aspettiamo a Pescara, tu, la tua tenda, il tuo computer: per smanettare, sperimentare, giocare, chiacchierare, fare qualsiasi cosa ci permetta di tornare a casa pensando "anche questa volta, ne valeva davvero la pena!"
Scrivici entro il 1 Agosto 2008, proponici la tua area tematica, la tua iniziativa, il tuo talk. Saremo felici di aiutarti a fare qualcosa per la manifestazione, ma soprattutto per le persone che passeranno con noi speriamo quattro indimenticabili giorni della loro vita.
Vi aspettiamo numerosi qui a Pescara, con tanta voglia di condividere esperienze e conoscenze nel puro spirito dell'etica hacker.
Information wants to be free!
Per informazioni: http://camp.olografix.org/
Invio proposte: moca-cfp@olografix.org
Mailing list per i partecipanti: camp-user@olografix.org
Chi mi spiega cosa vuol dire "Ardetec li cannilicchie!" ?
Etichette: eventi
RSA Conference, keynote finale.
La
keynote finale era quella
piu attesa: Chiudeva la tre giorni di
RSA Conference Frank Abagnale. Quando lo menziono pochi sanno chi é.
Segue la seguente spiegazione:
"Hai visto
Prova a Prendermi con Leonardo Di
Caprio e
Tom Hanks ?"
"Certo"
"Ecco,
Frank Abagnale é quello che nel film e' impersonato da Di
Caprio, solo che lui e' quello che quelle cose le ha fatte davvero ed ora lavora per l'
FBI a smascherare truffe e frodi".
Ha anche scritto un interessantissimo libro "The Art
of the
Steal".
E' partito
cosí: spezzoni di film, grande attesa e poi arriva sul palco. Distinto, sulla sessantina e dice che quello e' un film, un bel film, che ha visto e che gli e' piaciuto. Che però e' il punto di vista di
Spielberg, che di un libro ha fatto un film. Ed il libro e' il punto di vista di un'altro che ha scritto il libro. E che lui non ha ne scritto il libro ne fatto il film. E inizia, quello che vi racconto adesso e' il mio punto di vista. E giù con aneddoti e anche una buona dose di humour. In pratica la sua vita é davvero quello che racconta il film, solo un po meno romanzata, e fa una conclusione sul cosa lo ha portato a fare tutto quello che ad oggi reputa immorale e sbagliato oltre che illegale, dicendo che é stata la sua situazione familiare con genitori divorziati e che non é affatto fiero di quello che ha fatto. E che quello che ha oggi, con una famiglia, dei figli ed una vita stabile é molto meglio di tutte le avventure che ha passato. E' stato interessante ed anche toccante, bravo.
Etichette: eventi
Appunti da RSA Conference, sessioni sparse
Ho visto Una sessione intitolata "Practical Guide on Locking VoIP" fatta da Voipshield systems si e' parlato tanto di V(voice)IPS, VNAC, AntiSPIT, e qualcos'altro, mi sono sentito in dovere di chiedere se erano tecnologie consolidate ed esistenti o se era un aggancio per i vendor nell'attesa che qualcuno si muovesse in questa direzione. La risposta e' stata "Sono tecnologie, noi voipshield le facciamo". E...ah, okay, sto vedendo una presentazione di prodotto, pazienza non me n'ero accorto.
E' stata interessante la presentazione su NAC fatta da Trusted Computing Group e Juniper. Ovviamente hanno stressato sull'importanza degli standard anche in ambito NAC per il beneficio di interoperabilità. Il livello di integrazione fra i diversi vendor partecipanti alla alleanza e' molto variabile, alla fine quello che ho visto e' stata l'interazione fra antivirus e NAC e la capacità di assegnare il PC a diverse aree di rete in base a presenza o assenza di chiavi di registro, a garanzia della flessibilità della cosa. Non ho capito la differenza con altre soluzioni, ad esempio quella Cisco che fa le stesse cose ed ha lo stesso livello di interazione con AV ed altro.
Una sessione interessante é stata quella di KPMG che presentava "the revenge of the rodent", in pratica, come un mouse puo essere "taroccato" con antenna BT, Hub USB e flash USB in modo tale che quando si attacca il mouse al mattino (si parte dal presupposto condivisibile che la maggior parte di noi lascia il mouse in ufficio la notte) in realtà si attacca non solo il mouse ma anche un disco esterno (con capacita' di autoeseguirsi grazie alla possibilità di iniettare keystrokes nel buffer di tastiera) ed un'antenna BT. Vero, serve l'accesso fisico al mouse di notte, ma e' stato fatto notare che pesando solo pochi grammi in più e' facile sostituire un mouse con un'altro e nessuno se ne accorgerebbe. Probabilmente sarei fra questi.
Un'altra sessione che mi e' piaciuta molto e' stata quella di Eric Vyncke di Cisco Systems, non perché é un amico ed un collega, quanto perché in ambito VoIP e Security ha inquadrato molto bene pochi argomenti. La rete, il livello due e quanto può fare per la sicurezza della voce, Funzionalità da richiedere ai firewall per un corretto posizionamento in ambito VoIP. Ha spiegato molto bene i pro e contro della cifratura a livello applicativo con SRTP e TLS, mettendo giustamente l'accento sul fatto che se cifriamo guadagniamo in sicurezza ma creiamo un problema ai firewall. Vie d'uscita ? Un firewall con un proxy TLS, ad esempio. Interessanti le menzioni dell'autenticazione con certificati per telefoni e server di telefonia e mi piace l'approccio anziche di Certificate Revocation List (approccio blacklist) di Certificate Trust List (whitelist) sui telefoni, molto piu gestibile ed adeguato a dei dispositivi con poca memoria come i telefoni.
Etichette: eventi
Appunti da RSA Conference, Microsoft e Oracle
C'era anche
Ben Fathi di Microsoft, che ha fatto il suo bello
spiegone. Sinceramente non l'ho seguito tantissimo, mi sono portato indietro due cose:
- C'é il Microsoft Security Report, che mi ripropongo di sfogliare.
- Microsoft fa parte della SAFE Code alliance, iniziativa assieme a EMC2, Juniper, Symantech, SAP. Io (mea culpa) non ho ben capito cosa me ne viene esattamente in tasca, quindi quoto Feliciano Intini dal suo blog: "La missione di questo forum è aumentare la comprensione (sia internamente all'industria IT, che esternamente) delle best practices relative al progetto, realizzazione e distribuzione di applicazioni, servizi ed hardware che abbiano il software come comune denominatore."
E le keynote di apertura finiscono qui. Oracle ha mandato un pezzo grosso, ma con tutto l'impegno dalla sua presentazione non mi porto indietro nulla, credo d essermi appisolato un momento, ma il tono di voce era troppo monotono.
Etichette: eventi
Appunti da RSA Conference : Schneier
Bruce Schneier ha fatto un interessante discorso sulla convergenza, non certo quella stessa di cui parla
cisco. Convergenza fra la componente emozionale e la componente realistica della sicurezza. Vale a dire sul fatto che possiamo trovarci in una situazione nella quale ci sentiamo sicuri ma di fatto non lo siamo e nella situazione opposta nella quale non ci sentiamo sicuri pur essendolo. Interessante anche la mappatura che ne ha fatto quando si arriva al punto di fare investimenti: magari sbagliati ma che ci danno un - falso - senso di sicurezza. Uno per tutti: Ho il
firewall, sono in una botte di ferro. Ha considerato il fatto che molto spesso le notizie che si leggono sui giornali sono episodi che fanno notizia e che proprio per questo sono statisticamente poco diffusi, ciononostante attaccano la nostra componente emozionale, quindi ci sentiamo meno sicuri. Ho stressato sul fatto che dovremmo essere tutti
più consapevoli dei fatti e basarci su questo per stabilire il livello di
criticità di qualcosa, ma - per fortuna - ha anche riconosciuto che siamo tutti umani e suscettibili ai feeling (e qui mi viene in mente una vecchia canzone "
feelings,
nothing more
than feelings.."). E da li all convergenza di feeling e
realtà che dovrebbe portarci sulla buona strada verso la sicurezza. Parlando di tecnologie non e' mancato l'esempio sul
Lemon Market riferito ai
vendor ed ai loro prodotti. Per inciso sono convinto che
Ross Anderson abbia approfondito molto meglio l'argomento Lemon Market and Security nella sua pagina personale dove parla di
Security And Economics. Chiuso inciso.
Siccome ho anche visto che c'era uno speech sull'applicazione del
OODA Loop, e che la teoria del Lemon Market e' del 1970 (
ecco il paper originale) forse e' una moda quella di riportare alla luce vecchie teorie. Peggio sarebbe se questa moda ci fosse perche non ci sono grosse novitá, indipendentemente dallo speech di Schneier, che tutto sommato non mi e' spiaciuto anche se era molto generico.
Etichette: eventi
Faccio un salto..
..a
RSA Conference. L'anno scorso non mi ha particolarmente colpito per i contenuti, ma sono comunque rientrato con alcuni buoni spunti. L'evento é
già iniziato oggi con i
Pre-
Conference Tutorials, ma non ce n'era nessuno che mi interessava particolarmente. Senza nulla togliere ne a
Schneier che
farà la solita
keynote di apertura ed a tutto quello che ci
sará di contenuti della manifestazione sono davvero curioso di sentire
Frank Abagnale. Se non sapete chi é.. Avete visto il film "
Prova a prendermi", con Leonardo Di
Caprio e
Tom Hanks ? Ecco,
Frank Abagnale é il personaggio (vero) interpretato da Di
Caprio. Ho letto un suo interessantissimo libro (
The Art of the Steal) tutto d'un fiato (e non succede con tutti i libri) qualche anno fa. Oltretutto
Catch me if you can é anche il titolo del suo
speech.
Vorrei mantenere un buon bilanciamento fra diverse cose che m'interessano, da una rapida occhiata all'
agenda ce ne sono diverse.
Andrò a sentir parlare di Web2.0 e Sicurezza, giusto
perché e' un argomento attuale, lo stesso dicasi per Mobile
Phone Security. Voglio dire a parte il coinvolgimento personale di girare con due
smartphone in tasca, l'argomento é sicuramente importante. Sicuramente
andrò a sentire l'amico
Gerhard che non vedo da tempo non si aspetta di vedermi. Il titolo di
Bruce suona bene :
Reconceptualizing Security. Speriamo il contenuto sia altrettanto intrigante (a fare i titoli belli siamo bravi tutti) e che lui sia
più in forma dell'anno scorso, quando mi ha un po deluso.
Non
mancherò alle tracce professionali, dove si parla delle certificazioni di
Computer Security, e
già non mi piace il titolo, una certificazione é di
IT Security a mio avviso. Ma se non saltasse fuori la considerazione da sola, la
butterò io come spunto e vediamo cosa ne viene fuori. Una sessione sul
PCI DSS non me la toglie nessuno, anche se so
già il
perché ed il percome, ma una opinione nuova e diversa l'ascolto volentieri. Sono ancora indeciso su
VoIP e
Security. Una delle poche sessioni la
farà Bodgan Materna che non mi ha entusiasmato in passato. Ma poi mi conosco, so che non
resisterò ed
andrò a sentirlo ugualmente, dato che parla del mio argomento preferito. A proposito,
chissà che non ritorni con un nuovo argomento preferito!!
Etichette: eventi