Cyber© nabiera kształtów. Właściwie dopiero przed chwilą uporałem się z widokami wersji v0.1 BETA. Jako, iż przygotowuję aplikację bez mądrych szkiców, rysunków i przemyśleń na temat GUI - klikam trochę na freestyle'u; dlatego skupiłem się na wyglądzie a funkcjonalności odstawiłem chwilowo na boczny tor. Lubię wiedzieć gdzie co i w jakiej dokładnie formie się znajdzie, to oszczędza wiele pracy i późniejszych przemeblowań interfejsu.

Dzisiejszym wpisem planowałem poruszyć kwestie frameworków Hibernate oraz Spring, które wpiąłem do aplikacji po stronie Javy, a także Swiz lubiącego Flexa. Zrobię to jednak następnym razem, gdyż firma Pro Estate Solution przekazała mi dzisiaj zamówione na potrzeby serwisu animacje. Chciałbym przedstawić Wam intro przygotowywanego serwisu cyberterroryzm.pl a firmie Pro Estate Solution serdecznie podziękować za ogromny profesjonalizm. Wszystkich zainteresowanych ofertami agencji reklamowych zachęcam do sprawdzenia kompetencji PES.

Kanał serwisu - http://www.youtube.com/cyberterroryzm

W następnym wpisie z cyklu Dev blog #n o użytych przeze mnie frameworkach i integracji projektu Flexowego z Mavenem, bez którego (w przypadku szybkiego przyrostu kodów, eventów, handlerów, komponentów, modeli lub innej maści kontrolek) byłoby to mega trudno ogarnąć. Zabrałem się również za klasy do obsługi sesji HTTP oraz rejestracji użytkowników w bazie danych. W chwili wolnej pozwolę sobie o tym napisać i zebrać ewentualnie dodatkowe pomysły.

BTW, mój blog miał trzy dni temu trzecie urodziny.

W ostatnim czasie coraz więcej osób podpytuje mnie o postęp w reaktywacji - cyberterroryzm.pl. Niestety na tym etapie realizacji nie mogę zbyt wiele napisać oprócz tego, że cyberterroryzm nie będzie portalem informacyjnym, którego specyfika oraz profesjonalne przygotowanie wymaga ogromnego nakładu czasu (którego jak zwykle nie mam), środków pieniężnych i konkretnych ludzi. Dlatego postanowiłem napisać samowystarczalną i przydatną dla audytorów bezpieczeństwa i pen-testerów aplikację webową.

Właściwie wart wzmianki jest fakt, że tak naprawdę z cybera korzystać będą mogli wszyscy, od zwykłych użytkowników czy administratorów sieci, osób związanych z infrastrukturą i rozwiązaniami IT, po osoby (nie)związane z bezpieczeństwem IT. Szczególną wartość cybera odczują sektory biznesowe oraz dostawcy usług.

Nigdy nie interesowało mnie budowanie stron internetowych, mieszania ramkami, stylami i rzeczami tego typu. Właściwie nic się w tej kwestii nie zmieniło, dlatego postanowiłem zbudować aplikację RIA w oparciu o framework Adobe Flex. Duży wpływ na mój wybór miała styczność z "flexerami" i gronem Adobe Community.

Programowanie jest moją pasją od wielu lat. Ostatnie półtora roku poświęciłem głównie Javie. Rozwój oraz styczność z nowymi technologiami pozwolił mi na swobodę i elastyczność w obrębie doboru odpowiednich technologii dla cybera. Jako iż jestem na fali z Javą, nie chciałem od niej zbytnio uciekać, dlatego logikę aplikacji postanowiłem oprzeć właśnie o nią. Za Flexem przemówił również fakt, iż programuje się w Action Script, który dzięki dużemu podobieństwu do Javy nie sprawia mi większych problemów... Użycie odpowiednich rozwiązań pozwala Flexowi rozmawiać z klasami i logiką Javy, o czym zapewne wkrótce napiszę.

Moje wpisy na temat cybera będą dość enigmatyczne, związane raczej z ogólnym postępem prac nad kodem oraz użytymi okazyjnie technologiami. W kolejnych wpisach cyklu dev opisywał będę etapy realizacji prac, ewentualne problemy oraz rozwiązania problematycznych kwestii. Chciałbym abyście uczestniczyli w tym projekcie na miarę swoich zainteresowań, gdyż developerów mogą interesować technologie i rozwiązania, audytorów aspekty bezpieczeństwa aplikacji SWF, etc. Liczę także na pomoc w postaci komentarzy tych, którzy pracują nad podobnymi kwestiami i użyczą cennych rad, szczególnie od strony AC3.

Odkrywając wpisami zaplecze technologiczne cybera rzucam go na głęboką wodę. Będzie to moja 1 publiczna aplikacja o funkcjonalności dotyczącej pen-testów. Po udostępnieniu cybera w wersji beta oraz ogarnięciu ewentualnych poprawek kosmetycznych zorganizuję ciekawy challenge związany z bezpieczeństwem.

Dla osób, którym obce są możliwości Adobe Flex polecam Tour The Flex.

Już tylko 18 dni pozostało do konferencji SECURE 2009. W ubiegłym roku otrzymałem zaproszenie do uczestnictwa z DBTI ABW. Pozwolę sobie zacytować opis ze strony. SECURE to konferencja propagująca wiedzę na temat bezpieczeństwa sieci i systemów komputerowych, organizowana przez NASK i CERT Polska od 1997 r., ciesząca się zasłużoną opinią najpoważniejszej imprezy o takim charakterze organizowanej w kraju.

W programie SECURE wykorzystujemy doświadczenia polskich i zagranicznych zespołów reagujących, prezentacje światowych ekspertów w dziedzinie bezpieczeństwa komputerowego oraz referaty wyłonione w wyniku konkursu call for papers. Tematem wiodącym tegorocznej konferencji jest problematyka ochrony przed zagrożeniami technicznymi oraz dostępem do szkodliwych treści z wykorzystaniem mechanizmów blokowania i filtracji (DNS i BGP blackholing).

Konferencję adresujemy do dyrektorów firm, szefów działów IT, specjalistów odpowiedzialnych za bezpieczeństwo sieci oraz systemów teleinformatycznych w sektorze biznesu i administracji państwowej, instytucji naukowych i praktyków zainteresowanych problematyką bezpieczeństwa.

Zachęcam wszystkich zainteresowanych do uczestnictwa. SECURE 2009.

Dostałem jakiś czas temu propozycję współtworzenia scenariusza do filmu fabularnego o komputerowych włamywaczach od jednego najlepszych i najbardziej uznanych reżyserów oraz scenarzystów w Polsce. Niestety nie mogę napisać od kogo (!@#). Powód, dla którego o tym piszę dotyczy mojej ciekawości na temat Waszego zdania odnośnie realizacji filmu o w/w tematyce. Co sądzicie na temat realizacji takiej produkcji?

Nie było w Polsce dobrej produkcji filmowej, nawiązującej do nowych technologii i aspektów bezpieczeństwa IT. Film akcji, ukazujący realia niekończącej się walki o informację poufną, przeplatany z szeregiem aktualnych metod ich pozyskiwania na tle rządówek, korporacji i gigantów finansowych na rynku polskim.

Dużo zwrotów akcji, efektów specjalnych, dobrej muzyki. Wyważony poziom ukazania elementów technicznych oraz ogólnych związanych z tematyką, tak aby film cieszył wykonaniem i przemyślaną fabułą każdej maści kinomaniaków.

Jeśli pomysł Wam się spodoba, utworzę forum specjalne na potrzeby realizacji tej produkcji, na którym będziecie mogli umieszczać swoje pomysły dotyczące fabuły. Najlepsze z nich wykorzystamy w scenariuszu i podczepimy pod fabułę. Chyba nie ma nic przyjemniejszego, niż oglądnięcie wymyślonej przez siebie akcji w kinie na dużym szkiełku. Nawet jeśli to "omijanie potrójnej zapory ogniowej Emacsem przez Sendmail" ;)

No i szkolenie dobiegło końca. Właściwie tyle odczuć i konkluzji mam, że nie wiem od czego mam zacząć. Miałem okazję poznać wspaniałych ludzi, z którymi 4 dni spędzone w hotelu zleciały mi bardzo szybko. Poziom merytoryczny szkolenia był na najwyższym poziomie. Panowie prowadzący profesjonalnie przeszli przez cały program agendy. Miałem okazję poukładać sobie normalizacyjne metodyki prowadzenia audytu wg ISO/IEC 27001:2005, ISO/IEC 17799:2005 w głowie. Dotychczas skupiałem się głównie chaotycznym prowadzeniu testów penetracyjnych a szkolenie pozwoliło mi spojrzeć na audyt bezpieczeństwa również od strony bardziej formalnej i poukładanej.

Szkolenia takie nie zwalniają audytorów bezpieczeństwa teleinformatycznego w żaden sposób z wymogu zdobywania oraz poszerzania swojej wiedzy w zakresie norm ISO, natomiast są dobrym startem do tego aby przynajmniej wiedzieć czego szukać. I tak z własnej, nieprzymuszonej często woli szerzenia dobrych oraz rzetelnych praktyk i normalizacyjnych procedur wykonywania audytów bezpieczeństwa pozwolę sobie wymienić kilka ciekawszych norm:

PN-ISO/IEC 27001:2007 - Polskie opracowanie normy ISO/IEC 27001:2005. Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji. Przedstawiać chyba nie trzeba, zawiera cenny załącznik A zawierający 11 obszarów wymaganych zabezpieczeń.

ISO/IEC 27002:2005 - Międzynarodowa norma ISO - Technika informatyczna - Praktyczne zasady zarządzania bezpieczeństwem informacji. Norma ta to właściwie ISO/IEC 17799:2005, tylko przemianowana.

PN-I-02000:2002 - Technika informatyczna - Zabezpieczenia w systemach informatycznych - Terminologia. Do normy tej można się odnieść w przypadku chęci zbudowania słownika pojęć i  terminologii dla wielu obszarów związanych z bezpieczeństwem.

ISO/IEC 13335-1/PN-I-13335-1 - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych.

ISO/IEC 13335-2/PN-I-13335-2 - Technika informatyczna - Planowanie i zarządzanie bezpieczeństwem systemów informatycznych.

ISO/IEC TR 13335-3 - Techniki zarządzania bezpieczeństwem systemów informatycznych.

ISO/IEC TR 13335-4 - Wybór zabezpieczeń.

ISO/IEC TR 13335-5 - Zabezpieczenie dla połączeń z sieciami zewnętrznymi.

ISO/IEC 15408 - Technika informatyczna - Techniki zabezpieczeń - Kryteria oceny zabezpieczeń informatycznych.

ISO/IEC 15946-1:2008 - Technika informatyczna - Techniki zabezpieczeń - Techniki kryptograficzne bazujące na krzywych eliptycznych.

ISO/IEC 24762:2008 - Techniki zabezpieczeń - Wytyczne dla technologii informatycznych i komunikacyjnych. Usługi odtwarzania po katastrofie.

Użytecznych dla pen-testerów i audytorów bezpieczeństwa teleinformatycznego norm ISO jest bardzo wiele. Nie sposób chyba wymienić ich tutaj wszystkich. Dla mnie na chwilę obecną kluczowymi są ISO/IEC 27001 oraz ISO/IEC 17799 w związku z planowaniem certyfikacji na Audytora wiodącego Systemu Zarządzania Bezpieczeństwem Informacji wg ISO 27001, z akredytacją IRCA A17287.

Na grudzień zaplanowałem podejście do egzaminu na CISA. Decyzja o "masowej" certyfikacji w zakresie bezpieczeństwa IT wynika z bardzo wysokich wymagań, nakładanych na konsultantów ds. bezpieczeństwa przez organizacje. Dzisiaj żaden Klient nie pyta już czy potrafisz się włamać, pytają najpierw czy masz certyfikaty :) Do końca roku zaplanowałem także zdanie IBM Certified Deployment Professional - Tivoli Compliance Insight Manager V8.5 w związku z rozwojem w stronę Identity and Access Management. Następne wpisy o ciekawych - filmowych i dziwnych - politycznych propozycjach, które dostałem... tymczasem polecam kawałek:

Juno Reactor - Masters Of The Universe

Dzień pierwszy pobytu w Katowicach, do których przyjechałem uczyć się dobrych praktyk :) w zakresie bezpieczeństwa teleinformatycznego, a dokładniej prowadzenia audytów w odniesieniu do PN-ISO/IEC 27001:2007 na podstawie Aneksu A jak również PN-ISO/IEC 17799:2007. Niby żadna nowość, czy rewolucja ale pozwoli mi może usystematyzować i zweryfikować poziom merytoryczny o tych normach.

Jakkolwiek zapowiadają się następne - dzisiejszy dzień rozpoczął się raczej pechowo. Oczywiście zaspałem, ledwo zdążając na pociąg. W pociągu okazało się, że w pudełku z modemem Orange brak jest płyty ze sterami i softem. Przebootowałem się pod Linuxa, na którym nie miałem jeszcze dogranego nozomi, wvdiala, gcoma, dosłownie nic :) Ściągając paczki i zależności z netu komórką doczytałem przy okazji do końca redbooka Deployment: IBM Tivoli Compliance Insight Manager. Przerzuciłem paczki bluetooth-em do systemu, skonfigurowałem połączenie, wpinam kartę, dup! Network Manager Aplet  się obudził - Discovered new EDGE device coś tam, choose your network, Orange, enter your PIN, bahh, działa :)

Poczułem się jakoś tak... staro :) Wychowany na jednym z pierwszych Slackware, gdzie pół dnia dogrywało się ręcznie źródła i jakieś zależności, spędzało godzinę na szukaniu w kernelu supportu, rekompilowaniu i kombinowaniu, żeby zgrać parę głupich fotek z aparatu koledze! Teraz cokolwiek wepniesz do napędu - pstryk - zamontowany z automatu i gotowy do użycia. Oczywiście nie żebym nie był za rozwojem i ułatwieniem sobie pracy z systemem, po prostu nie chcę dożyć czasów, w których ktoś pomimo tego że pracuje na linuxach/unixach, nie będzie w stanie nic zrobić kiedy mu X-y padną. A zauważyłem coraz więcej osób, którzy nawet głupiego interfejsu sieciowego nie podniosą, jeśli im z dhclienta albo jakiegoś innego network managerowego ustrojstwa nic automatem nie zaskoczy. Cóż, może jestem zwyczajnie staroświecki i ciężko rozstać mi się z terminalem.

O szkoleniu i egzaminie conieco napiszę na dniach. Na razie o 17-stej jest kółko zapoznawczo-integracyjno różańcowe, rejestracja uczestników, kolacja i pół nocy buszowania po okolicznych sieciach.

Zostawiam Was z kawałkiem Juno Reactor - Swamp Thing