Posts Tagged ‘събития’

2016-02-01 FOSDEM 2016

Monday, February 1st, 2016

Около CCC се видях с хората от FOSDEM, споменаха ми, че имат нужда от хора за видео екипа, та преди няколко дни се замъкнах там, с Марио, Маги, Любо1 и Любо3 …

FOSDEM е интересно събитие. Името идва от Free and Open-Source Developers’ European Meeting, и си е точно това – събират се огромно количество разработчици на различни проекти и си разказват разни неща. По случая има 25 зали, като повечето от тях са DevRoom-ове, т.е. ориентирани към един проект. Това, комбинирано с мястото – кампусът на ULB, т.е. няколко разпръснати сгради в различна възраст и вид (от такива, каквито може да очакваме в провинциален изпаднал български “университет” до хубави и лъскави такива) създаваше доста проблеми…
(сумарно по една сметка е имало около 618 лекции)

Като цяло, моето преживяване там се състоеше от три дни ранно ставане (6:30 си е гадно даже по CET), носене и дебъгване на техника напред назад (в събота имаше за добавка много дъжд и по едно време якето ми беше повече вода, отколкото яке) и малко писане/дебъгване на други работи. Понеже самите devroom-ове осигуряват някакви хора да се грижат за самото протичане на лекциите и т.н., има идеята те да се занимават с оперативната част на аудио и видео нещата, но нещо не се получаваше.

FOSDEM-ският setup за видео/аудио е доста интересен. Това е схемата на setup-а на една зала, идеята е следната – дават се две кутии (доста приятно изглеждащи, от дърво, рязани на лазер, изглеждат така), като в едната се включва лектора, в другата – камерата. Микрофоните и т.н. озвучаване от залата се включват в камерата, и самата камера на единия си канал вади този сигнал, на другия – звукът от нейния собствен микрофон. Двете кутии по отделно пускаха по 2mbps h.264 stream до централно място и го записваха при себе си, а на края на деня записите от тях се преточваха до централно място. Гледането на stream-а беше гледане на двата паралелно, а записите ще са двата stream-а, смесени по определен начин (вече има някакви качени на сайта).

Проблемите бяха доста:
– софтуерът, който трябваше да контролира кутиите (в тях имаше едно bananapi с linux) се оказа счупен, в петък ремонтираха някакви неща, но записите от събота сутрин поне за момента ги няма, а streaming-а припали в неделя по някое време.
– При 24 зали и 25 камери (една резервна) нямаше как всички да са еднакви, и три от тях бяха доста неприятни. Като цяло имахме 3-4 различни модела, с някакви странности (част от тях си забравяха настройките при падане на тока). Всички бяха вързани на HDMI, което донякъде улесняваше процеса.
– Пак при тия 24 зали нямаше достатъчно информация за хората в тях как да оперират камерите, което и вероятно ще си проличи на записите.
– Звукът се осигуряваше от екипа на университета, и там имаше доста трагични моменти, например всички безжични микрофони в една сграда да са на същата честота. Също така не бяхме успели да изтестваме всички камери директно по залите в петък, и се оказа, че на някои места звукът идва на line, на други – на mic ниво.
– Като цяло видео екипът беше малък – имаше голяма нужда от още хора, ние петимата бяхме половината екип и не ни остана много време да седнем. Не помогна това, че всичко ни беше в една сграда (която е в единия край на кампуса) и трябваше да ходим до останалите всеки път, като се налагаше да се види нещо.

Имаше и разни хубави неща (които може да се опитаме да направим и при нас):
– Имаха много добри walkie-talkie-та, които бяха по tetra – цифрови, без шум, и в общи линии се чуваха спокойно по целия кампус. Имаше малко хардуерни проблеми с някои от тях, но като цяло бяха супер и ми се ще да ги ползваме за следващия openfest (но ме е е страх да проверявам цени).
– Това с опростяването на video setup-а е стъпка в правилната посока, трябва да измислим и ние нещо такова (но малко по-гъвкаво).
– Имат доста хубав setup за encode-ване, а ако бяха подкарали системата за рязане, при която самите стаи си отбелязваха края и началото на лекция, щеше да е страхотно.
– Доста от координацията я правехме с един piratepad, в който се отбелязваше текущия статус, какво кога следва и разни графици. Вършеше добра работа.

(както винаги на събития, на които съм в организацията – не съм гледал нито една лекция)

Update: Снимка от прибирането, банда полузаспали хора.

32c3 – ден четвърти

Thursday, December 31st, 2015

И последен ден на конгреса.

(личеше си, че някакво количество хора са си тръгнали, стана по-хладно и имаше повече въздух за дишане. Това 1.2mw топлина не си е работа…)

Почнах с лекцията за searchable encryption, която обаче си беше доста слаба – нямаше нищо ново и като цяло беше представена лошо.

Лекцията за DDoS mitigation проблемите в общи линии беше най-вече грешки, които системите за защита допускат, имаше някакви интересни неща, но не беше нещо особено.

Infrastructure review ми е от любимите лекции на тия събития и тая година не ме разочарова – пълно беше с интересни неща за различните части от инфраструктурата, за проблемите, които са имали и трудно може да се предаде с няколко думи, просто я гледайте :)

Закриването ставаше, като цяло нямаше много информация в него (малко статистики, но не казаха къде ще е събитието догодина).

Следват няколко дни почивка в Хамбург и прибиране към София.

32c3 – ден трети

Wednesday, December 30th, 2015

Ден трети на 32c3.
(да отбележа, пиша това след whiskey workshop-а по събрани бележки)

Започнах деня с “In)Security of Embedded Devices’ Firmware – Fast and Furious at Large Scale” – лекция, в която се обясняваха методи за събиране и статичен и динамичен анализ на големи количества firmware за различни устройства. Като цяло доста полезно, въпреки че разчита доста, че повечето неща са linux-базирани (което си е така в твърде много от случаите).

Последваха две лекции за TOR. Първата беше по темата hidden/onion services (сменят термина), като най-накрая ще има hidden service на един hop в мрежата – т.е. ако просто се знае кой сте и искате да предоставяте услугата в мрежата, може RP (точките, през които се свързват с вас) да са ви наблизо, а не на 3 hop-а (което доста забързва нещата). Също така сменят малко алгоритми и се очертава .onion адресите да станат доста по-дълги и трудни за помнене.
(в този или следващия talk споменаха за RFC-то за .onion домейна, което си е доста добро постижение за проекта)

В “state of the onion” разказаха за какво се случва в проекта, организацията му и че са пуснали първата си кампания за набиране на средства.

Лекцията за “Gibberish detection” беше доста интересна и даваше следващото средство в arms race (някой да ми намери превода на български) с борбата със спамещи domain-и и подобията им, метод за разпознаване дали дадено име е “смислено” или някаква глупост. Кодът им го има в github, и ще е интересно да се интегрира в wiki-та и подобни системи.

“10 years after “We lost the war”” иска отделен blog post. Гледайте през relive и мислете по въпроса, а аз ако намеря някъде текста, ще го публикувам с коментари. Не просто си заслужава да се чуе (и да се изтърпи, понеже на моменти е бавна), директно си е важна, понеже това е лекция от типа “как да променим света” (от смислените такива).
(също така, note to self, да напиша нещо по темата utilitarian use of power, което е проблем, който аз самия имам)

Не гледах нищо повече от деня, понеже говорих с разни хора по разни теми (например по работа с хора от TOR, дано излезе нещо), последва whiskey workshop-а, на който си харесах разни неща, които съм снимал и ще кача тия дни.

32c3 – ден втори

Tuesday, December 29th, 2015

Ден втори на конгреса. Забележителен с това, че пих две кафета и пак ми се спеше.

Начална важна новина, хората от предния ден, които говореха за големия китайски firewall ми писаха обратно и казаха, че тоя тип логове (активните заявки от firewall-а) са им интересни, та който има логове от повечко време на webserver-а и иска да свърши едно добро дело, нека да ми пише да му дам малко pattern-и и в един момент списък адреси, за които да се погледне :)

Започна с “State of the internet censorship”, като описаха накратко различни държави, спряха се на методите за изследване (накратко, инсталирайте си ooniprobe) и че в момента има работна група в IETF, която да реши/специфицира дали както има Security секция в RFC-тата, да има такава за влиянието на протокола в/у неща като човешки права, цензура и т.н..

Следваха lightning talk-ове, в които имаше няколко интересни неща:
holocm, което трябва да разгледам по-внимателно, проста configuration management система;
nfc.wtf, app за android за работа/атака с nfc четци и карти;
Story-based hacking challenge е идея за стандартния тип hacking challenge, но с интересна история, да зарибява повече хората (темата за историите съм я споменавал, това звучи като доста добра идея), и
RobustIRC, интересна идея за irc клъстер, който да не пада и да не се split-ва, трябва да издиря хората и да видя дали не мога да deploy-на нещо такова.

Brain-computer interfaces лекцията не беше особено интересна, в общи линии нищо ново – каза се, че има такива устройства (в общи линии ЕЕГ апарати) и че има OSS разработки за тях.

Лекцията за Apertus Axiom беше интресна, хората разработват open hardware професионална/полупрофесионална видео камера и са стигнали доста далеч, но за момента все още имат само 3 бр., които са за development. Надявам се, че за още една година ще имат нещо съвсем работещо и в някакъв момент ще се намери начин и цената на камерите да слезе в някакви нормални граници (или да ни услужат за тестове около OpenFest…).

Гледах лекциите за Франция и Еквадор, но първата малко я проспах, щото имах работа, втората не беше нещо особено (в общи линии там режимът изглежда малко по-неприятен от българския).

Perl Jam лекцията беше най-смешната на тоя конгрес (не вярвам някой да успее да я стигне). Лекторът показа exploit в тривиален код (който дори е от стандартните примери на CGI.pm) и разни недомислици в езика (като имплицитното вярване на данните от hash-ове и масиви). Леко прегракнах от смях…

Лекцията за атаки в/у VoLTE (Voice over LTE) се оказа интересна, най-вече защото ми запълни някои неясноти около стандарта (по някаква причина си мислех, че е нещо като телефонията при gsm, а то се оказа просто един SIP в/у по-гарантиран канал). Атаките са много близки до това, което е известно от VoIP-а (например можеш директно да си говориш с някой чужд телефон в същата мрежа и да си казваш каквото си искаш caller-id) и като цяло изглежда, че телекомите не са съвсем наясно с IP-то и какво може да се прави с него. Още по-забавно е как за един тест засилили малко повече SIP INVITE-и към IMS-а на един телеком и той леко се шашнал…

И завършихме деня с гледане на “goto fail”, лекцията-обзор на проблемите на TLS (избрано подмножество от тях, за всичките вероятно няма да стигнат няколко дни). Доста полезно за всички, които не са наясно колко трудна е криптографията (не толкова сложна, колкото пълна с доста опасни проблеми) и които не са запознати с това колко трагичен е TLS-а (и как нямаме нещо по-свястно).

32c3 – ден първи

Monday, December 28th, 2015

Първи ден на 32c3.

(пристигнахме вчера, нямаше проблеми с пътуването, даже си намерихме маса за assembly-то, като ни комбинираха с Balccon хората)

(който е изпуснал нещо, може да го гледа на relive)

Откриването беше леко дървено, с двама човека, четящи от листчета, като най-важната част беше, че е добре да се спазва принципа за 6 часа сън, 2 яденета и 1 душ ВСЕКИ ДЕН.

Keynote беше странен, някаква бежанка говореше някакви неща, но аз издържах 10-20 минути и излязох, понеже нищо от това не ми звучеше релевантно към конгреса или изобщо да ми е интересно.

След това Joana Rutkowska направи една лекция на темата stateless laptop. Като малко background, след като се занимаваше да прави PCI rootkit-ове и да чупи какво ли не, седна с някакви хора да разработва Qubes OS, което е в общи линии сериозно компартаментализирана операционна система с някакво интересно ниво на сигурност. В talk-a обясняваше за проблемите на X86 и като цяло как може да се направи stateless laptop, който да може да се пази от това някой да намаже firmware с нещо неприятно. Има post в блога ѝ с paper-а по темата, и две други интересни неща от лекцията ѝ бяха книгата от intel за какво мислят/могат да правят със ME и че някакви хора работят в/у open-source SSD.

Лекцията за red star OS изтървах, понеже се заговорих с разни хора, та може да пиша за нея по-нататъка.

“How the Great Firewall discovers hidden circumvention servers” беше интересно, като по външни наблюдения как изглежда, че големия китайски firewall намира tor node-ове и т.н.. Нямаше нещо много гениално, но имаха идея как може да се разпознаят връзките от там, които тестват дадена услуга, и дори открих няколко в моите логове (питах ги дали може да са им полезни и им пратих sample). Ако проявят интерес, може да grep-ваме малко. Повече информация има в paper-а им.

“The Great Train Cyber Robbery” беше в някои отношения лекция за влакови ентусиасти. Имаше описание на системите, които се използват за контрол на железопътните мрежи, и стандартното описание на сигурност, от която и преди 15 години щеше да ни е срам. Липса на криптиране, default-ни пароли, buffer overflow-ове и всичките подобни работи.

“Build your own 3G network” беше интересно най-вече от гледната точка колко ужасяващи неща се налага да се допишат, за да има работеща 3g мрежа – купчина протоколи, ужасно усложнени системи, слаба стандартизация, като цяло нормалните телекомски неща. Някой хубав ден може и да пуснем такива мрежи, като вече всичко е минало на LTE:)

Shopshifting лекцията беше съвсем очаквано доста притеснителна. Накратко, протоколите за комуникация м/у терминала и payment processor-а позволяват тривиално да се правиш на друг терминал, или да се пъхаш м/у терминал и каса, като една съвсем проста атака позволява да се направиш на POS терминала на който си искаш и от него да refund-ваш пари в някаква карта. Силно си заслужава да се гледа.

Последната лекция, за Post-quantum cryptography я гледахме от хотела. Генералният ми извод е, че това, което имаме в момента е много далеч от реално приложения, за да замести RSA и DH – огромни ключове, при системата за подписване и са stateful (т.е. части от ключа могат да се ползват само веднъж). Депресираща работа.

p.s. Валяк, взел съм ти тениска.

2015-12-07 32c3

Monday, December 7th, 2015

Дойде време за 32c3. Все още няма програма, но списъкът лекции може да се види в halfnarp-а, в wiki-то има вече бая workshop-и, и дори съм направил assembly за хората, които им се идва.

(ако някой не знае за събитието, писал съм разни неща за следните предишни такива: 26C3, 28C3, 29C3, 30C3, 31C3)

Пуснати са билети, има къде да спите, и за мързеливите най-вероятно ще има излъчване в initLab (и като цяло online).

Update: За пръв път от няколко години свършиха билетите.

2015-12-01 програмата на openfest2015

Tuesday, December 1st, 2015

(сигурно има да пиша още за openfest, но това специално ми се мотае в главата от няколко седмици)

(също така, това е мое лично мнение, няма общо с екипа на феста)

Не мога да си обясня дали има проблеми с програмата на openfest. Има оплаквания от разни хора, но понеже не са много, ми е трудно да преценя само по feedback-а.

Опитах се да сравня с предишни години, като се зарових из archive.org и в старите архиви на сайтове, които имаме, и в общи линии не изглежда нивото ни да пада – дори има в някакви отношения подобрение (особено като си спомням някаква част от лекциите преди). Силните технически неща стават все по-интересни, имаме сериозно разнообразие, и като цяло доста по-значими неща спрямо миналите години. От друга страна, самите теми явно вече не са така интересни на хората – преди свободният софтуер беше нещо ново, неясно, отричано, сега е просто факт от живота. Спечелихме войната и минахме на нови неща :)

Та, не мога да преценя колко е интересът за гледането на тези лекции, но интересът за подаването им сериозно пада. По една статистика от тая година по-малко от половината лекции са подадени от нови хора, останалото е обичайните заподозрени и лекции, които екипът е домъкнал по някакъв начин. Програмният комитет трябваше много да се старае, за да сглоби програмата тази година, понеже в един момент ни свършиха лекциите, които наистина ни радваха… Не знам на какво се дължи това, но явно хората нямат желание да говорят по темата какво правят, или просто никой не прави open-source софтуер достатъчно сериозно.

Също така, не е ясно дали не трябват нови потоци, понеже OpenBiz почти никакъв го няма, а OpenArt-а продължава усилено да се крие. Не знам дали самото creative commons движение не е взело да запада, но специално при нас никак не му се чува гласа, и като цяло около нашата общност артистите се губят.

Може би просто трябва да смъкнем лекциите на две зали (или дори само една) и да направим много workshop-и и unconference събития. Тази година хората се утрепаха да запояват, отварят ключалки и всякакви такива неща, може би догодина пак може да има admin lounge и разни други хора да поискат да си направят по-неформални събирания в рамките на феста, тъкмо ще имаме и ние по-малко занимания…

(btw, вероятно по някое време ще има официален call for feedback за самия фест)

2015-11-16 Мрежата на OpenFest

Monday, November 16th, 2015

Мрежата на тазгодишния openfest беше с един порядък по-сложна от миналогодишната. Как вървят кабелите и в общи линии си личи на плановете на партера (първия етаж) и първи балкон (втори етаж).
(ще говоря за core мрежата само, Петко ще разказва за wireless-а)

Понеже самата зала България няма никаква мрежова инфраструктура, направихме мрежа от няколко свързани кръга (в стила на ISP) с MSTP в/у тях, така че да можем да се спасим от поне един паднал кабел. Решихме, че един гигабит ни стига за backbone и не правихме някакви по-сложни неща, като балансиране м/у няколко връзки.

Самата core мрежа имаше следните “клиенти”:
– router и encoder, при core switch-а;
– wireless мрежата;
– Видео екипите в трите зали;
– Рецепцията;
– switch-овете за крайни потребители в workshop залата, и
– две специално донесени железа от e-card, на които хората се записваха за томбола.

Тази година пак няколко човека ни услужиха с техника – Светла от netissat, Иван Стамов, Стефан Леков донесе един switch, digger даде двата за workshop-ите, и останалото дойде от мен и initLab. Също така настройването не го правих сам – Леков и Петко участваха активно в дизайна (и направиха прилична част от него), а Стоил, Марги и Zeridon – голямата част от конфигурацията на switch-овете.

Имахме 8 core switch-а на различни места, като където се налагаше да има switch в залите, се слагаше нещо по-тихо. Целият core беше от изцяло гигабитови switch-ове (като изключим един, който имаше и 10gbps портове, но не влязоха в употреба, за съжаление). Така можахме да закачим всичко извън тази мрежа на гигабит, включително wireless AP-тата, които тази година бяха изцяло гигабитови. Нямаше грешката от миналата година да се ползват супер-различни switch-ове – бяха 3 TP-Link SG-3210 и останалото леко разнообразни Cisco-та, като STP конфигурация с тях в тоя вид беше тествана още на курса по системна администрация (ето тогавашната схема).

Router ни беше един HP DL380G5, който в общи линии си клатеше краката (до момента, в който пуснахме да encode-ва един stream и на него). Тук нямаше особено много промени от миналата година, просто един linux-ки router с NAT и DNS/DHCP. По-забавните неща там бяха многото monitoring и записвания на данни (за които ще карам да се пише нещо отделно), в общи линии setup с collectd и събиране на каквито данни може да се събират.

Нямам в момента някакви снимки от мрежата, но беше опъната по най-добрия възможен начин за обстоятелствата – кабелите бяха прибрани и увити с велкро, нямаше някакви, през които да минават хора и като цяло не се виждаха особено много. Местат, които не бяха посещавани от хора бяха малко плашещи (например core switch-а, router-а и encoder-а бяха под едни стълби до едно ел. табло и изглеждаха като мрежовия вариант на клошари), но за останалите успяхме да намерим по-скрити и подходящи места (в workshop area-та switch-ът с няколко други неща беше под един роял).

Internet-ът ни беше от Netx (които успяха да реагират в нормални срокове и да опънат оптика около месец преди събитието, за разлика от други, които ще останат неназовани), и тази година 100те mbps нещо почнаха да не ни стигат. Това са графиките от първия и втория ден, като прилична част от изходящия беше streaming-а. Проблемите се виждат на графиката на smokeping-а, и поне според мен за по-спокойно догодина трябва да сме на 200mbps.

Адресният план беше много близък до миналогодишния:
VLAN 50 – външната ни връзка, 46.233.38.137/28 и 2a01:b760:1::/127
VLAN 100 – нашата си management мрежа, 10.100.0.0/24
VLAN 101 – мрежата за хората, свързани на кабел, 10.101.0.0/22, 2a01:b760:abc:2::/64
VLAN 102 – мрежата за хората, свързани на wireless-а, 10.102.0.0/22, 2a01:b760:abc:3::/64
VLAN 103 – мрежата на видео-екипа, 10.103.0.0/24
VLAN 104 – мрежата на overflow телевизорите, 10.104.0.0/24

(нещо, което не трябва да пропускаме за догодина е да раздадем адреси на видео-оборудването предварително, сега те си ги измисляха в последния момент и аз просто разместих раздавания range от dhcp-то)

Firewall-ът беше тривиален, от типа на “тия всичките vlan-и не могат да си говорят помежду си, само с външния” и “25ти порт е забранен”. Не съм голям фен на stateful нещата за такива случаи, а тоя прост setup свърши прекрасна работа.

Пуснали бяхме и още нещо странно – освен филтрацията на broadcast трафика, бяхме включили за потребителските vlan-и (101, 102) proxy_arp_pvlan, което в общи линии е poor man’s forced forwarding – караше router-а да отговаря със себе си за всички arp заявки. Така се избягваше прилично количество broadcast, затрудняваше се arp spoofing-а (с няколкото други неща директно и се убиваше) и като цяло не направи някакъв проблем, освен че може би държеше пълен arp cache на windows машините.

Преди събитието имахме няколко проблема. Един от тяхбеше, че не бяхме предвидили вярно колко кабел ни трябва, и се наложи спешно да се купи още един кашон (300м), но като цяло мрежата изгря без проблеми, може би с една-две грешки по конфигурацията на портовете. Също така един от switch-овете (cisco ws-3550-12G) имаше проблеми с gbic-ите, понеже няколко от медните не работеха, та за това имахме 5м оптика – един от access point-ите беше свързан през single-mode gbic в switch-а и конвертор от другата страна. За дебъгване имаше един вечерта, като закачахме на e-card машините, за които се оказа, че един странно прекъснат кабел прави нещата да не работят, но имаше link (това се усети най-вече по това, че не щяха да закачат на гигабит).

По време на събитието пак имахме проблем с ipv6, този път обаче след нашия router, и понеже нямахме как да го debug-нем/решим, втория ден бяхме ipv4-only. Бяхме правили тестове предишната седмица с връзката, но явно някакви неща не сме успели да ги хванем (или нашия router пак е направил нещо странно). Също така по погрешка бяха извадили тока на един switch (което аз поне изобщо не съм усетил), и заради кофти удължител за малко е паднало едно AP (което е било хванато моментално на monitoring-а).

Като цяло, мрежата избута всичките си неща без никакъв сериозен проблем и потребителски оплаквания тая година нямаше.

Ще оставя статистиките и другите неща на хората, дето ги събираха :)

2015-11-14 Спомени от OpenFest 2015

Saturday, November 14th, 2015

И малко спомени от openfest 2015…
(ще има подробни неща по темите за мрежата и т.н. по-нататъка)

Като се занимавам с организацията, винаги не успявам да видя самото събитие, винаги има какво да се прави, проблеми да се решават и т.н.. Тая година не беше изключение.

Самата организация беше започнала още около март/април/май месец, когато подписвахме договора със зала “България”. Последваха поне 10 посещения на залата, в които да видим как може да се пусне мрежа, ток, да се наместят камери, да се разположат различни неща и като цяло да се случи събитието. Винаги при смяна на залата има някакви неща за изясняване, а специално там инфраструктура нямаше за нищо (освен за провеждане на концерти, но роялите и контрабасите на нас не ни помагаха:) ).

Въоръжени с планове на сградата (които после се оказаха неточни :) ) разположихме кабели, мрежови устройства и каквото-друго-имахме на схемата, която дори спазвахме в някакъв вид след това. Помогнаха ни доста да се ориентираме и да ориентираме новите хора в екипа.
)Тая година имахме около 60 човека екип (който ще изброя някъде подобаващо), та се налагаше доста ориентиране)

От мисленето и setup-а имам няколко снимки:
Дъската със схемата на мрежата;
Усилени обяснения;
Море от хардуер;
Част от нещата, пакетирани и готови за транспорт.

(в нещата ни за носене имаше маси, мокети, кабели, телевизори и какво ли не още)

От петъкът (6.11) имам следните откъслечни спомени:

– нещата започнаха да пристигат с час и половина по-рано от уговореното;
– изведнъж се оказа, че сметките за дължината на мрежата са грешни и ни трябва още един топ кабел;
– огромните масивни гардероби на зала България бяха преместени без да убием някой;
– екипът логистика успя да достави навреме всичките неща, с много игра на тетрис в няколкото коли, които имаха;
– тотално не си спомням какво ядохме и дали ядохме (трябва да е имало някакви пици, но не съм сигурен);
– мрежата успя да запали към 18, всичкия wireless скоро след това (като гледам, и логовете го потвърждават);
– записахме един концерт, който се проведе в камерната зала;
– за видеото успяхме да приключим към 1:30 и да си тръгнем;
(освен това двамата Пешовци направиха дует в камерната зала, който не знам дали е записан)

Съботата започна весело. Успяхме да довършим някакви неща, открихме конференцията, и setup-а за първия лектор (Арал Балкан) се счупи и не се показваше на проектора. Последва усилено дебъгване и с няколко рестарта нещата тръгнаха, а той успя супер умело да го включи в лекцията си.
(имаше съмнения, че е било направено нарочно така, но реално си имаше проблем).

В откриването имаше включен струнен квартет, който изсвири няколко приятни неща (вкл. “Smoke on the water”), които май зарадваха публиката. В паузите имахме пианист (на който му пригласяше една певица от време на време), като цяло конференцията тази година си имаше и музикално оформление.

След което се счупиха няколко неща (т.е. почти всичко, което можеше да се счупи, се счупи за най-малката зала) и с импровизации и магия успяхме да я накараме да работи. Не помагаше и това, че ни беше малка и за няколко лекции беше толкова препълнена, че екипът едвам успяваше да влиза и излиза.

В събота вечер успяхме да отстраним едни от последните проблеми и след едно спокойно ядене в “Кривото” отидохме да се наспим.

В неделя се счупиха други неща по видеото, но нещата бяха достатъчно подсигурени, та да не сме изгубили нищо от лекциите. Намествахме и лампи в последния момент, за да може да се виждат лекторите, понеже се откриха проблеми, ще видим как са излезли на записите.

Събитието беше закрито подобаващо, пак с излизане на всички доброволци на сцената и Imperial march, свирен от духов оркестър (на който на записа се чува как им казвам да спрат, понеже бях забравил да си изключа микрофона).

Последва събиране, изнасяне и разнасяне на мебелировката и техниката, като бяхме готови в рамките на 2 часа, което намирам за невероятно постижение, имайки в предвид колко много неща имаше. Към 8 изгасих последните лампи там и се изнесохме до initLab, където качихме останалата техника и отидохме да пием в mixtape.

Аз лично се напих прилично и бях прибран вкъщи. По свидетелски показания разни хора са пили до 5, други са пуснали по мониторите в mixtape логото на openfest, изобщо – веселба…

Бях толкова уморен от събитието, че го усетих чак към сряда, преди това просто не знаех как съм. Догодина – пак :)

2015-10-29 новини около OpenFest

Thursday, October 29th, 2015

И малко новини около OpenFest:

До утре вечер може да си запазите тениска;
Имаме програма за лекциите и workshop-ите, както и схема на мястото;
След резултатите от референдума ще имаме и лекция за online гласуването, ето защо;
Сайтът вече има ssl сертификат от letsencrypt.org, благодарение на Петко сме им в beta програмата (и работят като слънце);

Думи не могат да опишат лудницата. Stay tuned :)

Програма на OpenFest 2015

Wednesday, October 21st, 2015

И като продукт на submission-ите на много хора, гласуване от hackerspace-овете, нашето търсене на лектори, 5-6 часа спорове в програмния комитет и няколко дни писане на код – почти финалната програма на OpenFest за тая година :)

OpenFest 2015 – зов за лектори

Friday, August 21st, 2015

И дойде време да се обяви зовът за лектори, лекции и всякакви забавни неща за OpenFest 2015. Мястото за подаване на заявки е cfp.openfest.org, имаме същите потоци като миналата година и както обикновено, се радваме на всички подадени заявки за лекции и workshop-и.

Тази година сме в зала “България” (т.е. в Софийската филхармония), където и залите са по-големи, и мястото е повече, та оплакването от миналата година – “аз дойдох на фест, ама трябваше да гледам на телевизор” не трябва да важи :)

2015-08-16 VarnaConf и Rails Girls Varna

Sunday, August 16th, 2015

Да видим доколко съм адекватен да пиша :)

Направихме VarnaConf 2015, а след това – и Rails Girls Varna 1.0.
(записи – като станат готови, при добър късмет идващата седмица, реалистично – следващите три)

За VarnaConf успяхме в петък да setup-нем двете зали за около 3 часа, с по-сериозните setup-и (ето в общи линии схеми на setup-а на голямата зала (3), малката зала (2) и мрежата, иска ми се да направя една голяма на всичко). Имахме прилично количество проблеми, но големия setup е сравнително отработен, а не-отработения (за малката) се получи доста добре (понеже бях делегирал голямата зала на Марио да вика по хората и се занимавах с нея :) ).
(Варна е ужасяващ град. Излязохме от залата към 9 вечерта, уморени и гладни, и открихме как навън е горещо и МНОГО влажно. Стана ми ясно защо хората излизат само по нощите – през деня там просто не се живее)

Изобщо, направихме си прилична конференция, почти тренировка за OpenFest, с приятна програма (от която може и да успея да гледам нещо от записите). Успяхме да се справим в условия почти като на епидемия – половината хора не бяха пристигнали вечерта, други ги нямаше по различно време, почти никой не беше спал и като цяло май всички си бяха на под средата на силите. Определено за идващите събития ще измислим нещо на ротационен принцип.

Вечерта ядохме, хората пиха, насъскаха някакви малки деца по мен, като им казаха, че аз съм крокодила, който пуска internet (и те ме преследваха половината вечер, даже искаха да ме хранят по едно време), изобщо – веселба. Деляхме заведението с пастафарианците (т.е. последователите на великото спагетено чудовище) и някакви от нашите хора после са отишли да си говорят с тях (май начело с Кънев) и да обсъждат живота, вселената и подходящите сосове.

Rails Girls си беше нормално, като изключим това, че токът на залата не понесе 60 лаптопа и другата техника и спира на няколко пъти, докато не пуснахме един удължител от коридора от друг контакт. Трябва да си отбележа да искам подробни схеми на тока на всичките зали, в които правим такива неща…
(също така има някакви записи от обясненията на Митьо (известен като “Релсата” или “Корпоративния хакер от джитхюп”) какво е програмиране и lightning talk-овете от събитието, които е много вероятно да бъдат качени (ако стават за нещо)).

И едно финално откритие (понеже реших, че не мога да понеса пътя до Варна с друг транспорт) – на летището може да се свърши страшно много работа, докато човек си чака полета, особено ако се намери контакт някъде (какъвто мисля да потърся след малко).

Update: Обещаната пълна картинка на нещата.

2015-08-03 Две събития

Monday, August 3rd, 2015

На 15.08 ще се случи четвъртия VarnaConf. Този път сме upgrade-нати и ще имаме два потока, като във втория сме наслагали малко по-админски теми. Очаква се да е весело (както обикновено)…
(запазване на тениски, fb event)

Има и CCC Camp, от 13 до 17 август, който ще се stream-ва в initlab и в който се очертава да има разни интересни лекции (аз си направих предварителен списък), вероятно и ще пиша тук за някои от тях.

2015-07-12

Sunday, July 12th, 2015

Честото блогване се оказва сложна задача… Няма много неща, които да са интересни и да стават за писане, и дори да има, все се оказвам достатъчно уморен, че да не ми се занимава и да оставям тая работа за неделята (докогато съм забравил вече доста от това, за което бих писал).

В новините (които са почти официални вече) – на 15.08 ще се случи VarnaConf (където мислим вече да има два потока), а на 7ми и 8ми ноември – OpenFest 2015.

init Lab започва да изглежда все по-приятно, и тия дни наснимах едно обикаляне около и в него (с gopro-то на Пешо, което се оказа супер удобно за подобни цели). Не е особено подредено (Петко чак му стана гузно и леко подреди рубинената стая, преди да я снимам), но е доста удобно за всякаква работа.

Тунелния проект се движи прилично. Малко статистики:
14 потребителя;
14 заделени мрежи (1 /49 (за isp.initlab.org), 2 /62 и 11 /64);
23 дефинирани тунела;
9 вътрешни BGP peer-а на marla, 8 на tyler.
Нямам прилични статистики за трафика (и имам колебание дали да ги показвам). Така като гледам, се движи съвсем прилично, ползва се и си работи съвсем добре (въпреки че още е с quagga).

2015-03-08 RailsGirls – март 2015

Sunday, March 8th, 2015

Този петък и събота се поведе поредното издание на Rails Girls Sofia. Аз бях там да помагам инфраструктурно, и около някакви разговори стигнах до странни изводи…

(Като за изясняване на термините, искам да кажа, че “социалната програма” в смисъла в който аз я ползвам е нещо като героизма – нещо важно, полезно и от което реално не би трябвало да има нужда, ако нещата си бяха наред. Това е начинът да се внесе малко повече нужно равенство в една система и да се загладят по-острите ѝ ръбове, и реално малко системи с достатъчно хора в тях могат да си струват да се живее в тях без нещо такова.)

RailsGirls е социална програма на IT обществото. Тя цели да помогне на едно малцинство (жени, които нямат никакъв опит и твърде малко опции) да видят какво представлява програмирането, какво могат да правят те и дали би било подходяща област за тях. Като цяло целият формат е ориентиран така, че в ден и половина да може да покаже достатъчно основни неща, за да си изяснят хората какво е това програмирането, какво иска като мислене и дали да продължат опитите да се занимават.
На теория от това не трябва да има никаква нужда – това трябва да се случва с всички хора в училище (заедно с много други варианти за професионално развитие), където хората да са придобили някаква основна представа, след което да могат и след 10-20 години да решат, че това им е интересно и да седнат да го учат (я с online курсове, я в разните софтуерни академии, или във ФМИ на СУ или ПУ). Реално обаче в момента нивото на преподаване на информатика не се подобрява, а върви в посоката “да обясним на децата как да са юзъри” (против което ние едно време правехме опити да се борим, и май пак трябва).

Та по всякакви такива причини ние реално правим социални програми – турнето, OpenFest, курсовете из ФМИ (дето са твърде много, че да ги изброявам) – реално опитвайки се да запушваме дупки в съществуващата система. Не знам дали не е загубена кауза, но мисля, че успяваме да направим някаква разлика и браво на всички хора (особено на Митьо), че бутат подобни проекти.

(и който не е щастлив от това, което се прави, може да се заеме да направи нещо по-добро. Ще помагаме даже…)

2015-01-20 записи от OpenFest 2014

Tuesday, January 20th, 2015

И най-накрая сме готови с (почти) всички видеа от OpenFest 2014, може да се свалят от архива, или да се гледат в тубата. Липсва ни само едно видео (“I reject your reality and substitute my own”), което самите хора ще си го редактират и ще качат.

2014-12-30 31C3 ден 4

Tuesday, December 30th, 2014

И последен ден на 31C3.

Започнах с лекцията за online гласуването в Норвегия – имаше реализирана система на база на ел-Гамал (където има интересната възможност да се събират криптирани числа, без да се виждат), по принцип “стандартът” по темата е горе-долу този (не помня url-тата по въпроса). Докато тествали открили няколко бъга, но като цяло защитата в дълбочина ги спряла. Отказали са се от системата, понеже не давала нищо повече – не се увеличил броя гласуващи и като цяло гласувалите по internet не били различни от тези, които гласували на място.

“Why are computers so @#!*, and what can we do about it?” беше сравнително скучно (някъде по средата излязох да ям и го слушах през gsm-а), поредното нещо по темата как трябва да си правим кода доказуем и да ползваме технологиите за целта.

Във “State of the onion” имаше разни интересни неща, които съм си отбелязал – ooniprobe (мислех да взема една хардуерна проба, но вероятно просто софтуерното нещо ще е достатъчно), направили са TOR weekly news, и Roger е разказвал на NSA около 2008ма колко е готин TOR и във Washington post има статия по въпроса (след като едно от leak-натите неща от Snowden са били бележките на хората от NSA от тая среща).

Infrastructure review беше доста интересно, setup-ът им става все по-голям всяка година и все по-интересен, чак ми идва желание да се включа в някой екип. Гледайте го за повече подробности.

TOR deanonimization talk-а разказа как са изброили доколкото е възможно hidden service-ите в мрежата и какво горе-долу има на тях. Също така обясниха как с pattern-а на трафика, ако човек има достъп до guard node на потребителя и има достатъчно места, на които да следи изходящия трафик, има някакъв вариант да се види къде отива, както и ако имат някакъв такъв достъп до guard node на hidden service. Като цяло нищо ново, и за съжаление нямаше хубаво описание на ловенето на traffic pattern-и.

Не останах да гледам закриването, него и още няколко неща ще си ги гледам на запис като ми остане време. Имам да хващам полет в ранната сутрин и трябва да стана в 5, та ще се спи…

2014-12-23 31C3 ден 3

Tuesday, December 30th, 2014

(това го пиша в доста насмукано състояние, да се приема за оправдание за грешките)

Сутринта започна с лекция за full-body scanners, т.е. скенерите, които от известно време се ползват на американските летища и разни други места за разглеждане на пътниците. Хората бяха разгледали един от скенерите (Rapiscan Secure 1000), който работи с backscatter рентгенови лъчи. Нещата, които разказаха са, че:
– скенерът не генерира достатъчно радиация, за да е опасен (нивата са съвсем мижави), и като цяло не е лесно да е пипне така, че да е опасен;
– има начин да се подслушва донякъде образа, който вади, извън самия скенер (почти като подслушването на нечий монитор, като се знаят периодите на хоризонтално и вертикално сканиране и като може да се уловят отдалече разсеяните лъчи);
– оригиналният софтуер може да записва картинки (на ДИСКЕТА), твърди се, че тоя на TSA нямал тая функционалност;
– има вариант да се атакува машината, т.е. да се пренесе през нея нещо, което трябва да хване, по няколко начина (например като се направи да е само спрямо фона и да не се различава от него, или като се нанесе по тялото и да не се отличава от него, в случая с пластичния експлозив).
Този тип машини в момента не се ползват от TSA, понеже са искали да се отърват от гледането на “голи” хора, и софтуера да казва “еди-къде-си по човека има съмнителен обект”, а още никой не е успял да го напише (и звучи като доста безнадеждна задача).
Имаше и други забавни моменти, например как са си купили машината от ebay и се опитват да се снабдят с машина от другия вид (ако не се лъжа, с милиметрови вълни), за да изследват и нея.

Let’s build a quantum computer не беше лошо, в общи линии беше някакъв малък увод (непълен) в квантовите компютри и как човекът за две години като дипломна работа е сглобил 2-qubit-ов компютър, който работи при около 10-13 градуса по Келвин.

Между останалите лекции се засякох с Филип Пепс (от FOSDEM) и си говорехме с него и още някой по темата за техните видео записи и мрежата им, и как може да им потрябват hack-ове от типа на опъването-на-кабели-като-за-български-internet (лепена оптика с duct tape по стените, например). Има шанс да ходя до там да се забавлявам догодина…

Лекцията за NORX/Caesar беше за един конкурс за authenticated encryption, шифър с метод за прилагане. Представиха конкурса и техния участник (който изглежда интересен, но е цял шифър с метода и бая ме притеснява), направен със съвсем прости операции и като цяло доста по-прост от доста блокови шифри, които съм виждал.
Странно ми беше, че конкурса е за метод за прилагане И шифър, т.е. не просто за за метода (като нещо, което да замести GCM/CBC и компания), та за това голяма част от участниците просто ползват AES.

Лекцията за ядрените оръжия беше леко забавно, но в нея нямаше нищо, което го няма в wikipedia.

Докато си почивах, се запознах с човека от totalism.net, в общи линии hackerspace на един остров не-съвсем-в-нищото, където има net, топло е и човек може да си работи и почива спокойно, като даже не излиза особено скъпо. Bandwidth-а им не е много, но ако някой ден реша да ходя на “почивка”, може да е там…

Последва стандартния whisky workshop, на който се насмуках прилично. Харесах си сериозно само едно уиски, някакъв странен edition на glenfarcas, дето беше cask strength, 60 градуса и с истински вкус/
аромат.

Гледах лекцията за Computer science in DPRK (т.е. по темата Северна Корея), имаше интересни моменти – как имат клон на OSX с превод (почти на принципа, на който нашите хора едно време крадяха и превеждаха софтуер директно в binary-тата), как имат таблет с аналогова телевизия, клон на andoid с patch-нати app-ове (и добавени, като например един с речи на лидерите им). Като цяло доста полезна гледна точка (лекторът беше водил лекции там в един от университетите).

А лекцията за exploit-ването в perl беше адски забавна, как явно самите хора, които ползват perl не схващат някои негови кривотии и как самият език не се държи по очаквания начин (т.е. как реално погледнато някои неща в него се държат като в shell script, а не като в LISP) и какви адски забавни атаки могат да се получат (например, да се пробута аргумент който като се предаде на функция, да се приеме като два аргумента и да избута тия след него). Аз лично се смях с глас…

2014-12-28 31C3 ден 2

Monday, December 29th, 2014

Втори ден на CCC. Сутринта беше тихо, само в irc се обсъждаше миризмата на крака и какво може да се направи по въпроса.

Започнах с tea with RIPE, говорихме си малко за RIPE Atlas пробите и пихме чай, ама аз някъде по средата трябваше да бягам за друга лекция (това със слушането на лекциите през локалната gsm мрежа е страхотно, може да се слуша лекцията, докато вървиш към нея (и закъсняваш)).

Първата, на която ходих беше “Why is GPG unusable”, която беше сравнително бедна от страна на съдържание, имаше базови идеи, къде да четем и т.н. и как проблемите в gpg/pgp са същите от около 15 години и нищо не е направено по тях. Имаше нещо интересно – книгата “Evil by design”, която мисля да погледна.
(полезни отбелязани бележки: трябва да се тества с потребителите, cryptocat се ползва, щото е готин, identities в момента (като pgp fingerprint-а) не са особено използваеми, щото не могат да се помнят).

Telecoms & NSA лекцията беше основно историческа, като някаква част от нещата съм ги чел в “The codebreakers” (как още от първата световна война тогавашния еквивалент на NSA е събирал копия на всички телеграми), лекторът е работил в NSA и е писал малко книги по темата, като интересното сега беше една статия в the intercept, както и документ за разследването на щатското министерство на правосъдието на NSA (в което NSA се описва като криминална организация и трябва да се зачете по-подробно).

Лекцията за internet-базираното гласуване в Естония беше също доста интересна. Атаките, които те описваха бяха основно на оперативно ниво (клиенти, как можем да се доберем до инсталацията на сървъра и т.н.), т.е. самата система изглежда работеща. Спрямо post-а ми по темата имат частично решение на първия проблем – всеки може да подаде колкото си иска гласа и се зачита последния, така че човек може да гласува пред някой, да си вземе парите и после да гласува както си иска. Системата им дава QR код, който важи 30 минути след гласуването, чрез който (криптографски сигурно) може да се провери дали системата е отчела вярно за кого си гласувал.
Имаше доста интересно описание как са атакували и счупили системата за гласуване във Вашингтон, през някакъв нормален shell injection.
Като цяло освен нещата, които аз бях отбелязал съществува проблема, че реално нищо в хардуера и софтуера ни не е достатъчно сигурно, че да му вярваме. Също така, поне с това, което знаем/можем в момента, моментът с купуването на гласове/принуждаване не може да бъде избегнат и е някакъв tradeoff за всяко отдалечено гласуване.

Finding the Weak Crypto Needle in a Byte Haystack обясни метод, чрез който при криптоанализ може да се търси повторение на keystream в поток от данни. Схемата е доста проста и с квадратична сложност (което при криптографията е нищо работа) и изглежда съвсем тривиално за реализация.

Information Control and Strategic Violence не струваше, лекцията беше да ни кажат, че в Сирия има корелация между насочеността на убийствата и работещия internet (т.е. колкото повече работи internet-а, толкова повече убитите са жертви на насочено насилие, т.е. прибрани, измъчвани и разстреляни).

(Пропих кафе, очаквах това да стане чак на третия ден)

Privacy and Consumer Markets беше лекция как/защо да търсим/правим механизми за обръщане на стандартния модел – вместо да ни набиват реклами, чрез които да избираме какво искаме, да правим “задания” какво ни трябва и да можем да намираме лесно това, което ни трябва, чрез reverse auction и подобни системи. Също така имаше идеята да се комбинират достатъчно хора, за да имат нужния buying power, за да им се обръща внимание (нещо което е доста близо до kickstarter-ската идея). Беше кратък обзор на нещата, но като цяло с добри идеи.

(тези две лекции бяха по 20-30 минути, и това изглежда като много лоша идея, понеже почти нямаха съдържание, толкова кратките май не трябва да ги има в програмата)

Някъде по това време изскочи тоя tweet, с който май съм бая съгласен:
(18,46,24) marlabot: (notice) wikileaks: Politics at this year’s CCC is conspicuously provincial and stupid. No-one from BRICS. No Ukraine. No Bitcoin. Endless security mercenaries.

Mining for Bugs with Graph Database Queries беше страхотна лекция – публикували са инструмент, който се казва Joern, който може да търси интересни pattern-и върху един граф, наречен от тях code property graph, който е комбинация от AST дървото и няколко други графа, които компилатора прави по време на компилация. Идеята е, че знаем как изглежда тип vulnerability (единия от примерите – malloc() и memcpy(), където изразът за дължината на първото е различен от тоя на второто и работят със същия буфер), можем лесно да намерим всичките срещания на pattern-а му и после да ги прегледаме. По принцип е инструмент за хора, които audit-ват код, но с внимателно писане на тестовете може да се използва и за regression testing, инструменти за автоматичен audit, разпознаване на бъгове чрез pattern recognition и т.н.

Но ако трябваше да отбележа само една лекция от деня, щеше да е тази на Jacob Appelbaum и Laura Poitras, “Reconstructing narratives”. Заглавието не звучеше особено интересно и гледах “Mining for bugs”, та после гледах записа на тази, и понеже още не съм я обмислил, ето по-важните неща:
Лекцията беше за неща, които в същия момент бяха публикувани в Der Spiegel, подробности за програмата за targeted killing на ЦРУ, и данни от NSA за счупена криптография.
От всичките неща само за две е ясно, че не са счупени (GPG и OTR);
(т.е. има накакви данни за чупене на SSH, SSL, IPSec, PPTP (последното никой не учудва))
NSA имат някакви неизвестни за останалите атаки в/у AES;
Като цяло сме още по-кофти преебани;
Трябват ни големи ключове и добри криптосистеми, защото май само това върши работа;
(трябва да си отделя някакво време да прегледам оригиналните документи и да си изградя някаква картина, но преди това искам да поспя и се надявам да нямам кошмари как ми декриптират ssh сесиите)

(in other news, тук вали сняг (и ако вали в сряда сутринта, има приличен шанс да си изтърва втория полет и да карам нова година във Франкфурт), а като се прибирам температурите в София ще са под -10. Искам си локалното затопляне и времето от миналата година.)