lap aljára | kommentek | hozzászólás | akadálymentes
lap tetejére
A Hacktivity hitelessége
2009.08.02 20:50
Néhányan kérdezték, hogy mi a pálya az idei Hacktivity körül, merthogy annyira lelkendeztem az Andreisenes blogon a témáról. Azt gondolom, hogy a rendezvény kellően hiteltelenné vált a szememben ahhoz, hogy innentől ne legyen pálya. Azt is elmondom, hogy miért.
Aki egy kicsit is figyelemmel kísérte a Hacktivity rendezvényt, az tudja, hogy idén új jogtulajdonosa lett a Hacktivitynek. Szinte minden mozzanat nagy titkolódzás közepette folyik. Sokáig azt sem lehetett tudni, hogy milyen témákat lehet vinni, aztán ködös találgatások voltak az árról, meg a helyszínről. Minden kicsit másképpen alakult mint eddig. Állítólag profibb lesz a dolog. Ez pedig jó. Ettől függetlenül a régi arcok ott állnak a háttérben.
A tavalyi vendégként, és betoppanó előadóként megélt konferencia után idén egy előadással (előre) jelentkeztem a Hactivity-re. A téma "Behatolás szigorúan őrzött uniós intézményekbe" címmel social engineering fő témakörbe került volna. Egy év eleji történetet mutattam volna be, amely saját akció, tehát nem másnak a története, vagy kitalált sztori.
Miután egy újságíró kollégával (nevezzük X-nek) - aki szerintem a, pontosabban A hiteles szájberkrónikás - megvitattam a témát. Arra a következtetésre jutottunk, hogy passzol majd a konfra, és itt-ott még kell csiszolni a mondandón, meg ki kell dolgozni a témát. Ő azóta is ezt vallja, és bátorít, amikor elbizonytalanodok.
Ezután prezentáltam az anyagot a Hacktivity szervezőbizottság egyik tagjának is, akit új munkahelyén látogattam meg. Természetesen nem bírok a seggemen ülni, és mindjárt szóvá is tettem néhány emberi hanyagságból eredő hibát, amely által az Infópark teljes területén illetéktelenül garázdálkodhattam volna. Tudod, belépőkártyák, kameraállások, biztonsági szolgálatok, beléptető rendszerek, portaszolgálat, irodaházak felépítése, összemosodás, színkódok, ilyesmi. Szívem szerint megkerestem volna a biztonsági szolgálat fejét, de inkább a megbeszélésre készültem. Nem akartam szétszórt lenni. Meg hát egy intróval nem akartam Y-t kellemetlen helyzetbe hozni.
Mindkettejüknek bepillantást engedtem olyan dokumentumokba és képekbe, amelyek szerintem minden kétséget kizáróan bizonyítják a dolog hitelességét. Szóba kerültek etikai és egyéb kérdések is, de végül is mindhármunk szerint futhat a téma.
Ezután megírtam az absztraktot és elküldtem a szervezőknek. Ez pedig így nézett ki:
Ezt már leközöltem az Andreisen blogon is, ami azóta már megszűnt és helyette minden anyag (néhány elkavartat leszámítva) ide került át.
Annak ellenére, hogy az absztrakt ilyen rövid, elég vaskos az anyag, mivel több tucat fotó, helyszínrajz, grafika, valamint egy kis szociólógia, pszichológia, betekintés a biztonsági rendszerek működésébe és hasonlók kerültek bele. A teljes anyag kb 100 oldal, miután itt is, ott is lefaragtam belőle. Még mindig van mit tömöríteni rajta.
Ezekután gondoltam, hogy szakmailag kitettem magamért és tényleg felkészülve megyek a konferenciára, ha beváloggatnak. Mivel SE téma nem nagyon szokott lenni, ezért 70%-ra tettem a bekerülést. Aztán jött a pofára esés.
Mivel Z (a harmadik, és egyben utolsó személy a történetben) Y elmondása szerint kifogást emelt a négytagú döntőbizottságban, és meggyőzte a bizottságot, hogy nem oda való ez az egész. Y szerint a nem szakmai, hanem személyes problémák miatt. Z ugyanis annyira korrekt, hogy erről még értesíteni is elfelejtett. Az egészet rátukmálta Y-ra. Nem az előadással volt problémája, hanem azzal, hogy szerinte én hazudok és lezűllesztem a Hacktivity-t. Z amúgy nem véletlenül Z, és amúgy kicsit már belekóstolt a social engineeringbe.
Most akkor mondja már el valaki, hogy a Hacktivity szakmai vagy személyes alapon működik? Ugyanolyan, mint az egyéb IT konfok, ahová puszira, vagy éppen pénzzel lehet bekerülni?
Olyan, mint a tavalyi Hungarian Hackers rinya, mert ráléptem E tyúkszemére, és megharagudott rám? Ott is csak B, C, S, és T állt hozzá normálisan a témához. Az összes többi érintett mintha saját sérelemnek könyvelné el a dolgot.
Azóta már X és Y is megkapta az érintett kontaktok listáját és elérhetőségét. Ettől függetlenül Y azóta sem jelzett vissza.
Mindegy. Már megesett a dolog és gondoltam leírom, mivel közeleg a Hacktivity. És ha már az nbh-s, meg a kancelláros és emwh-s legények is rátapadtak az oldalra, akkor olvassák az írást. Így aztán ki sem kell mozdulnom ahhoz, hogy elérjen az üzenet a címzettekhez.
Mielőtt bárki kérdéseket tenne fel:
Haragszom? Igen. Azért, mert nem válogattak be? Nem. Azért, mert amig ilyen kicsinyes embereken múlik egy ilyen konferencia megszervezése, addig ez nem Hacktivity, hanem majomcirkusz.
Nem félek, hogy ezzel valakit magamra haragítok? Nem. Az igazi hackerek nem fogják ezt az oldalt csesztetni, hanem elgondolkoznak azokról, akik miatt keserű az életük. És a többiek, akik megdorgálnak majd a saját eszközeikkel? Magasról teszek rá. Nem egy weboldal deface, vagy agyoninjektált adatbázis az élet értelme. Ez csak egy eszköz, amelyen keresztül elmondhatom a véleményemet.
Miért nem írtam neveket, csak nagy betűket? Azért, mert nem akarok YZHE uraknak alátenni, csak elgondolkoztatni őket arról, hogy vajon mivé is válik a rendezvény, ha ilyen a pre-szelekció.
Elmennék, ha mégis beválogatnának? Nem. Mert az én szememben hiteltelenné vált a rendezvény, és hiteltelen fórumon nehéz hitelesen beszélni.
Update: Jelen bejegyzésnek annyi hatása volt, hogy Z nyilatkozott, válaszolt. Így utólag annyit tett hozzá, hogy:
1. Voltak ott szakmai érvek is, amelyek nem jutottak el hozzám. A döntöbizottság szerint jogilag aggályos a téma és nem akarják a rendezvényt veszélyeztetni.
2. A magyar hacker közösségre nézve destruktív elem vagyok. Amit gondolom, hogy miért mond. Nincs vele semmi gond.
3. Túl sokat tudok, azaz vélek tudni, ráadásul a stílusom tenyérbemászó.
4. A francot sírok itt, mint egy öt éves?
5. Ha ilyen jó a téma és én ekkora social engineer vagyok, akkor miért nem megyek én a Defconra, vagy BlackHat-re?
Ezzel a válasszal inkább ki vagyok békülve, mint azzal, amit Y-on keresztül tolmácsoltak felém. Erre is tudnék még egy három flekkesben válaszolni, amit részben megtettem már emailben. Először törölni akartam a bejegyzést, aztán gondoltam, hogy jól maradjon itt az én magam, meg mások okulására.
/Elnézést mindenkitől, akinek a kommentje a bejegyzés ideiglenes felfüggesztése miatt törlődött./
Aki egy kicsit is figyelemmel kísérte a Hacktivity rendezvényt, az tudja, hogy idén új jogtulajdonosa lett a Hacktivitynek. Szinte minden mozzanat nagy titkolódzás közepette folyik. Sokáig azt sem lehetett tudni, hogy milyen témákat lehet vinni, aztán ködös találgatások voltak az árról, meg a helyszínről. Minden kicsit másképpen alakult mint eddig. Állítólag profibb lesz a dolog. Ez pedig jó. Ettől függetlenül a régi arcok ott állnak a háttérben.
A tavalyi vendégként, és betoppanó előadóként megélt konferencia után idén egy előadással (előre) jelentkeztem a Hactivity-re. A téma "Behatolás szigorúan őrzött uniós intézményekbe" címmel social engineering fő témakörbe került volna. Egy év eleji történetet mutattam volna be, amely saját akció, tehát nem másnak a története, vagy kitalált sztori.
Miután egy újságíró kollégával (nevezzük X-nek) - aki szerintem a, pontosabban A hiteles szájberkrónikás - megvitattam a témát. Arra a következtetésre jutottunk, hogy passzol majd a konfra, és itt-ott még kell csiszolni a mondandón, meg ki kell dolgozni a témát. Ő azóta is ezt vallja, és bátorít, amikor elbizonytalanodok.
Ezután prezentáltam az anyagot a Hacktivity szervezőbizottság egyik tagjának is, akit új munkahelyén látogattam meg. Természetesen nem bírok a seggemen ülni, és mindjárt szóvá is tettem néhány emberi hanyagságból eredő hibát, amely által az Infópark teljes területén illetéktelenül garázdálkodhattam volna. Tudod, belépőkártyák, kameraállások, biztonsági szolgálatok, beléptető rendszerek, portaszolgálat, irodaházak felépítése, összemosodás, színkódok, ilyesmi. Szívem szerint megkerestem volna a biztonsági szolgálat fejét, de inkább a megbeszélésre készültem. Nem akartam szétszórt lenni. Meg hát egy intróval nem akartam Y-t kellemetlen helyzetbe hozni.
Mindkettejüknek bepillantást engedtem olyan dokumentumokba és képekbe, amelyek szerintem minden kétséget kizáróan bizonyítják a dolog hitelességét. Szóba kerültek etikai és egyéb kérdések is, de végül is mindhármunk szerint futhat a téma.
Ezután megírtam az absztraktot és elküldtem a szervezőknek. Ez pedig így nézett ki:
Behatolás szigorúan őrzött uniós intézményekbe
Témakör: Social Engineering
Brüsszel Európa gazdasági és politikai fővárosa. Szigorúan őrzött intézmények, csúcstechnológiával védett objektumok. Mégis mindez mit sem ér, ha szabadon járhatunk-kelhetünk a biztonsági rendszeren keresztül. A gyenge láncszem pedig az ember.
Előadásomban egy saját esetet dolgozok fel. Behatolás a Régiók Bizottsága, a Gazdasági és Szociális Bizottság, valamint a Közös Szolgálatok - kamerákkal, beléptetőrendszerrel és biztonsági szolgálattal védett - épületeibe.
Az előadás főbb elemei:
Előzmény: bankrablás az Európai Parlamentben
Szociológiai előtanulmány
Terepszemle, információgyűjtés, emberi mulasztások feltárása
Tervezés, előkészületek
Behatolás az objektumokba
Egyeztetés a biztonsági szolgálatokkal
A szükséges intézkedések helyett...
Mi történt azóta?
Az előadás tervezett ideje 30 perc. A kérdés-válasz rész az előadás tényleges hosszától függően 10-15 perc.
Ezt már leközöltem az Andreisen blogon is, ami azóta már megszűnt és helyette minden anyag (néhány elkavartat leszámítva) ide került át.
Annak ellenére, hogy az absztrakt ilyen rövid, elég vaskos az anyag, mivel több tucat fotó, helyszínrajz, grafika, valamint egy kis szociólógia, pszichológia, betekintés a biztonsági rendszerek működésébe és hasonlók kerültek bele. A teljes anyag kb 100 oldal, miután itt is, ott is lefaragtam belőle. Még mindig van mit tömöríteni rajta.
Ezekután gondoltam, hogy szakmailag kitettem magamért és tényleg felkészülve megyek a konferenciára, ha beváloggatnak. Mivel SE téma nem nagyon szokott lenni, ezért 70%-ra tettem a bekerülést. Aztán jött a pofára esés.
Mivel Z (a harmadik, és egyben utolsó személy a történetben) Y elmondása szerint kifogást emelt a négytagú döntőbizottságban, és meggyőzte a bizottságot, hogy nem oda való ez az egész. Y szerint a nem szakmai, hanem személyes problémák miatt. Z ugyanis annyira korrekt, hogy erről még értesíteni is elfelejtett. Az egészet rátukmálta Y-ra. Nem az előadással volt problémája, hanem azzal, hogy szerinte én hazudok és lezűllesztem a Hacktivity-t. Z amúgy nem véletlenül Z, és amúgy kicsit már belekóstolt a social engineeringbe.
Most akkor mondja már el valaki, hogy a Hacktivity szakmai vagy személyes alapon működik? Ugyanolyan, mint az egyéb IT konfok, ahová puszira, vagy éppen pénzzel lehet bekerülni?
Olyan, mint a tavalyi Hungarian Hackers rinya, mert ráléptem E tyúkszemére, és megharagudott rám? Ott is csak B, C, S, és T állt hozzá normálisan a témához. Az összes többi érintett mintha saját sérelemnek könyvelné el a dolgot.
Azóta már X és Y is megkapta az érintett kontaktok listáját és elérhetőségét. Ettől függetlenül Y azóta sem jelzett vissza.
Mindegy. Már megesett a dolog és gondoltam leírom, mivel közeleg a Hacktivity. És ha már az nbh-s, meg a kancelláros és emwh-s legények is rátapadtak az oldalra, akkor olvassák az írást. Így aztán ki sem kell mozdulnom ahhoz, hogy elérjen az üzenet a címzettekhez.
Mielőtt bárki kérdéseket tenne fel:
Haragszom? Igen. Azért, mert nem válogattak be? Nem. Azért, mert amig ilyen kicsinyes embereken múlik egy ilyen konferencia megszervezése, addig ez nem Hacktivity, hanem majomcirkusz.
Nem félek, hogy ezzel valakit magamra haragítok? Nem. Az igazi hackerek nem fogják ezt az oldalt csesztetni, hanem elgondolkoznak azokról, akik miatt keserű az életük. És a többiek, akik megdorgálnak majd a saját eszközeikkel? Magasról teszek rá. Nem egy weboldal deface, vagy agyoninjektált adatbázis az élet értelme. Ez csak egy eszköz, amelyen keresztül elmondhatom a véleményemet.
Miért nem írtam neveket, csak nagy betűket? Azért, mert nem akarok YZHE uraknak alátenni, csak elgondolkoztatni őket arról, hogy vajon mivé is válik a rendezvény, ha ilyen a pre-szelekció.
Elmennék, ha mégis beválogatnának? Nem. Mert az én szememben hiteltelenné vált a rendezvény, és hiteltelen fórumon nehéz hitelesen beszélni.
Update: Jelen bejegyzésnek annyi hatása volt, hogy Z nyilatkozott, válaszolt. Így utólag annyit tett hozzá, hogy:
1. Voltak ott szakmai érvek is, amelyek nem jutottak el hozzám. A döntöbizottság szerint jogilag aggályos a téma és nem akarják a rendezvényt veszélyeztetni.
2. A magyar hacker közösségre nézve destruktív elem vagyok. Amit gondolom, hogy miért mond. Nincs vele semmi gond.
3. Túl sokat tudok, azaz vélek tudni, ráadásul a stílusom tenyérbemászó.
4. A francot sírok itt, mint egy öt éves?
5. Ha ilyen jó a téma és én ekkora social engineer vagyok, akkor miért nem megyek én a Defconra, vagy BlackHat-re?
Ezzel a válasszal inkább ki vagyok békülve, mint azzal, amit Y-on keresztül tolmácsoltak felém. Erre is tudnék még egy három flekkesben válaszolni, amit részben megtettem már emailben. Először törölni akartam a bejegyzést, aztán gondoltam, hogy jól maradjon itt az én magam, meg mások okulására.
/Elnézést mindenkitől, akinek a kommentje a bejegyzés ideiglenes felfüggesztése miatt törlődött./
és akik nem hagyták szó nélkül...
Nekem megírhatnád, hogy Holló (K. Krisztián) melyik betű, ha még alapítóként egyáltalán még jelen van.
Holló nincs benne. Mármint iniciálé formájában.
nem érted a kérdést, vagy humorizálsz? :(
Hollórol személy szerint nem szól a fáma. Pontosabban ő lenne Q. De Q nincs benne a sztoriban, mivel csak közvetve érintett, ha egyáltalán. Különben meg most Hacktivity Kft. néven fut a banzáj.
Elveszett a kommentem? Akkor tömören: elnézést a kötözködésért, szövegértelmezési hiba volt részemről. Hollóért kár, ő találta ki - saját elmondása szerint - az egészet.
lap tetejére