Archive

Blog

Ημερίδα Ενημέρωσης για το Ε.Π. Ψηφιακή Σύγκλιση

Η ημερίδα οργανώθηκε από την Ειδική Γραμματεία Ψηφιακού Σχεδιασμού, στις 17 Ιούνη, στο Εμπορικό & Βιομηχανικό Επιμελητήριο Αθηνών. H Unweb.me ήταν εκεί και σας μεταδίδει τις εντυπώσεις της.

Ομιλητές της ημερίδας ήταν οι:

  • Αντώνης Μαρκόπουλος, Ειδικός Γραμματέας Ψηφιακού Σχεδιασμού
  • Διομήδης Σπινέλλης, Γενικός Γραμματέας Πληροφοριακών Συστημάτων
  • Στ. Γκρίτζαλης, Ειδικός Γραμματέας Διοικητικής Μεταρρύθμισης
  • Β. Κουλαϊδής, Γενικός Γραμματέας του Υπουργείου Παιδείας, Δια Βίου Μάθησης και Θρησκευμάτων
  • Λ. Μενδώνη, Γενική Γραμματέας του Υπουργείου Πολιτισμού και Τουρισμού
  • Αθηνά Δρέττα, Γενική Γραμματέας Κοινωνικής Ασφάλισης
  • Γιώργος Καλαμαράς, Διευθύνων Σύμβουλος της «ΚτΠ ΑΕ»

Η ημερίδα είχε πολύ μεγάλη προσέλευση, δυστυχώς όμως δεν δόθηκε καθόλου χρόνος για ερωτήσεις και διάλογο. Μια πιο συνολική δημοσιογραφική ενημέρωση για τις παρουσιάσεις που έγιναν μπορείτε να βρείτε σε αυτό το σύνδεσμο. Εμείς θα θέλαμε να σχολιάσουμε κάποια σημεία που μας έκαναν εντύπωση, με την ελπίδα να ξεκινήσει ένας διαδικτυακός δημόσιος διάλογος γύρω από τα θέματα που αναφέρθηκαν.

Η παρουσίαση του κ. Μαρκόπουλου για την νέα ψηφιακή στρατηγική ήταν πολύ ενδιαφέρουσα. Αυτό που δεν θεωρούμε ότι εξήγησε επαρκώς είναι το πως θα επιτευχθεί η διαφάνεια που ορίστηκε ως πρωτεύον στόχος της στρατηγικής αυτής. Περιμέναμε να ακούσουμε κάποια αναφορά τουλάχιστον σε διαδικασίες αξιολόγησης και παρακολούθησης έργων που θα γίνονται σε δημόσια θέα, όπου τουλάχιστον είναι αυτό εφικτό, ώστε να δωθεί η δυνατότητα αφενός στους ενδιαφερόμενους φορείς να συμμετέχουν από ισότιμη βάση και αφετέρου στους πολίτες να αξιολογούν τις επιλογές των αξιολογητών και διαχειριστών των δημοσίων έργων πληροφορικής.

Στην ίδια παρουσίαση, αρνητική εντύπωση μας έκανε η δήλωση ότι παρόλο που τα ανοιχτά πρότυπα και δεδομένα θα τεθούν ως προτεραιότητα, το ανοικτό και ελεύθερο λογισμικό θα αντιμετωπίζεται σε ισότιμη βάση μόνο όταν προσφέρει αντίστοιχα λειτουργικά χαρακτηριστικά με ιδιόκτητες λύσεις. Η θέση αυτή δυστυχώς χωράει πολλές διαφορετικές ερμηνείες ανά περίπτωση. Εμείς θεωρούμε πως το ΕΛ/ΛΑΚ θα πρέπει να είναι στρατηγική επιλογή για τα συστήματα του δημοσίου, με την προϋπόθεση ότι υπάρχουν αξιόπιστες λύσεις που να μπορούν σε πρώτη φάση να καλύψουν τις βασικές ανάγκες και να συνεχίσουν να εξελίσσονται παράλληλα με τις διαδικασίες που εξυπηρετούν. Με τον τρόπο αυτό, από τη μία θα εξασφαλιστεί η διαφάνεια και η ανεξαρτησία των δημόσιων φορέων από συγκεκριμένους προμηθευτές και από την άλλη θα αναπτυχθεί το παραγωγικό κομμάτι της εγχώριας αγοράς πληροφορικής που ασχολείται με την έρευνα και την ανάπτυξη συστημάτων, αντί για τους μεταπωλητές λύσεων που κυριαρχούν στην αγορά μέχρι σήμερα.

Εξαιρετικός ήταν ο κ. Διομήδης Σπινέλλης. Ιδιαίτερη εντύπωση μας έκανε η εκτενής αναφορά του στην στρατηγική επιλογή agile διαδικασιών για την ανάπτυξη συστημάτων του δημοσίου. Αντίστοιχη πρόταση είχαμε κάνει και εμείς ως Unweb.me, κατά την παρουσίαση του openfish.gr στη δεύτερη ημερίδα του labs.opengov.gr. Αναφέρθηκε επίσης σε μια σειρά από σημαντικά έργα υποδομής που γίνονται από τη Γενική Γραματεία Πληροφοριακών Συστημάτων, όμως δεν συγκρατήσαμε τα ονόματά τους ούτε καταφέραμε να βρούμε στην ιστοσελίδα της ΓΓΠΣ σχετικές αναφορές για τις διαδικασίες με τις οποίες γίνεται η επιλογή και ανάπτυξη τους.

Πολύ θετικές εντυπώσεις μας άφησε η παρουσίαση του κ. Κουλαϊδή, ιδιαίτερα το κομμάτι της ψηφιοποίησης και ελεύθερης διάθεσης στο διαδίκτυο των σχολικών βιβλιών και σχετικού εκπαιδευτικού υλικού.

Τέλος, κατά τη διάρκεια της ημερίδας ακούσαμε αναφορές στις λύσεις Software as a Service (SaaS) σαν κομμάτι της στρατηγικής του δημοσίου. Το SaaS μπορεί να αποτελέσει ένα εξαιρετικά επικερδές business model για τις εταιρίες πληροφορικής, αλλά δεν καταλαβαίνουμε τα οφέλη που μπορεί να έχει ο δημόσιος τομέας από την επιλογή αντίστοιχων λύσεων για τις πάγιες ανάγκες του. Σε πολλές περιπτώσεις οι λύσεις SaaS δημιουργούν πολύ μεγαλύτερη εξάρτηση ακόμα και από την αγορά αδειών χρήσης κλειστού λογισμικού. Πολύ καλύτερη στρατηγική από κάθε άποψη είναι η ανάπτυξη μιας υποδομής ανοικτών συστημάτων που θα βρίσκονται στην κυριότητα του δημοσίου σε όλη τη διάρκεια του κύκλου ζωής τους, με την ανάπτυξη να γίνεται σε δημόσια θέα από εταιρίες πληροφορικής και ερευνητικά ιδρύματα με βάση τις συγκεκριμένες ανάγκες κάθε δημόσιας υπηρεσίας.

Athcon 2010

H Πέμπτη, 2 Ιουνίου, ήταν αφιερωμένη στο Athcon, ένα μονοήμερο συνέδριο ασφάλειας πληροφοριακών συστημάτων που διοργανώθηκε στην Αθήνα.

Από το πρωί μέχρι αργά το βράδυ, είχαμε την ευκαιρία να παρακολουθήσουμε ορισμένες ιδιαίτερα καλές τεχνικές παρουσιάσεις, στους τομείς της ασφάλειας συστημάτων, δικτύων και πληροφοριακών συστημάτων. Η συμμετοχή του κόσμου ήταν πολύ καλή, με δεκάδες blackhats, whitehats και greyhats να παρευρίσκονται στο συνέδριο! Για μας το συνέδριο ήταν η επιβεβαίωση οτι η ελληνική αγορά διαθέτει άτομα με πολύ υψηλές γνώσεις σε αυτούς τους τομείς, και αν υπολείπεται σε σχέση με τις αντίστοιχες ευρωπαϊκές, αυτό δεν αφορά τεχνικούς τομείς. Σε αυτό το post θα καταγράψουμε τις εντυπώσεις και τους προβληματισμούς μας για ορισμένες από τις παρουσιάσεις που έγιναν.

Athcon banner

Οι παρουσιάσεις ξεκίνησαν με τον Κωνσταντίνο Παπαπαναγιώτου από το Owasp.gr ο οποίος έδειξε το Owasp Top 10 risks για Web applications (με τα διάφορα Injections να κλέβουν την πρωτιά στα προβλήματα των web εφαρμογών) και πώς αυτό μπορεί να χρησιμοποιηθεί στον κύκλο ανάπτυξης ενός λογισμικού.

Η επόμενη παρουσίαση ανήκε στον Sandro Gauci, από την EnableSecurity, ο οποίος κάνει σημαντική δουλειά ερευνώντας προβλήματα σε διάφορα πρωτόκολλα VoIP. Το όφελος που μπορεί να έχει ένας επιτιθέμενος εκμεταλλευόμενος ανασφαλή Voip clients και servers είναι δωρεάν κλήσεις (κάτι που φυσικά χρησιμοποιούν στο underground) και ατελείωτο spam (voice spam!).

Η ομιλία του Sandro Gauci

Στη συνέχεια, είχαμε μια παρουσίαση για το tor στο iPhone, το android και άλλες φορητές πλατφόρμες/κινητά από τον Marco Bonetti και την ιταλική Cutaway. Δουλειά χρήσιμη για το μέλλον, καθώς για την ώρα δεν μπορούμε να φανταστούμε πολλούς χρήστες iPhone να μπαίνουν μέσω tor.

Οι επόμενες παρουσιάσεις είχαν μεγάλο ενδιαφέρον, με την επίδειξη επίθεσης σε ένα εμπορικό CMS, και μια παρουσίαση από την Encode περί Extrusion Testing. Η τελευταία μας άρεσε πολύ σε θεωρητικό επίπεδο όμως ο περιορισμένος χρόνος μας απαγόρευσε να κάνουμε περισσότερες ερωτήσεις στον ομιλητή. Ο τελευταίος ανέφερε ότι η εταιρεία του, στη διάρκεια των τελευταίων χρόνων που κάνει penetration testings, απέκτησε windows domain admin πρόσβαση σε 78 από τα 80 (?) εταιρικά δίκτυα που κλήθηκε να δοκιμάσει την ασφάλεια τους με extrusion testing. Το ποσοστό μας φαίνεται υπερβολικά μεγάλο, χωρίς από την άλλη να έχουμε ενδείξεις ότι δεν ισχύει.

Ενδιαφέρουσα παρουσίαση και από τον Χαρίτωνα Καραμήτα περί fuzzing, ο οποίος φαίνεται ότι κάνει πολύ ποιοτική δουλειά. Στην παρουσίαση του ωστόσο δεν φάνηκαν ξεκάθαρα τα πλεονεκτήματα της προσέγγισης του σε σχέση με άλλους τύπους fuzzing, όπως πχ intelligent fuzzing. Πολύ καλή και η παρουσίαση του Φώτη Χατζή, nmap hacker, ο οποίος μετέφερε την ιδέα του zombie port scan για την εκμετάλλευση της αδυναμίας του πρωτόκολλου xmpp και την πραγματοποίηση επιθέσεων DoS και stealth port scan.

Στη συνέχεια είχαμε μια ακαδημαϊκή παρουσίαση περί μεθόδων παράκαμψης συστημάτων ανίχνευσης επιθέσεων (IDS) από τον Δ. Γλυνό και την census labs, η οποία μας φάνηκε υπερβολικά πολύπλοκη για να έχει χρήση από blackhats, όμως η εμπειρία του ομιλητή σε παρουσιάσεις αποζημίωσε το ακροατήριο.

Η ομιλία του Δ. Γλυνού

Ομολογούμε ότι δεν εντυπωσιαστήκαμε από την ιδέα του A.R.Samhur περί επέκτασης των DHCP Exhausting attacks. Η ιδέα βασίζεται στο spoofing και στην γνώση των gateways για κάθε VLAN που θέλουμε να κλέψουμε τις ip's, κάτι που δεν προσδιόρισε πώς μπορεί να γίνει εφικτό σε μια επίθεση.

Η παρουσίαση του Α.Βενιέρη ήταν ενδιαφέρουσα,για ένα θέμα που δεν έχει λάβει τις διαστάσεις που θα έπρεπε και είναι σίγουρο ότι θα ανεβαίνει σε επικινδυνότητα (csrf, session hijacking, κα). Τα θέματα προς συζήτηση και σε αυτή την περίπτωση είναι πάρα πολλά και δεν μπορούν να περιοριστούν σε μια παρουσίαση. Αντίθετα είναι το κίνητρο για περισσότερη έρευνα και μελέτη στους τρόπους που τα διάφορα CMS (ή σε χαμηλότερο επίπεδο οι γλώσσες προγραμματισμού) χειρίζονται την αυθεντικοποίηση και τα sessions, σε παραδείγματα προβληματικών σχεδιασμών, επιτυχημένων υλοποιήσεων κτλ. Μια καταπληκτική ανάλυση στο θέμα βρίσκεται στο ycombinator.com.

Στη συνέχεια και για μια ώρα περίπου έλαβε χώρα το Capture the flag! Η ιδέα είναι ότι όσοι θέλουν να παίξουν, ατομικά ή σε μικρές ομάδες, συνδέονται σε ένα δίκτυο και προσπαθούν να παραβιάσουν ένα σύστημα, ή σε παραλλαγές να παραβιάσουν τα συστήματα των αντιπάλων ομάδων και παράλληλα να προστατέψουν τα δικά τους. Το goal για το Athcon ήταν η εύρεση ενός web server εντός του δικτύου, και η αλλοίωση της σελίδας του. Συνολικά, για την επίτευξη αυτού του στόχου, περιλαμβανόταν η εύρεση κωδικού προστατευμένου με στεγανογραφία, cookie manipulation, local privilege escalation σε ένα windows 2003 σύστημα και πολλά άλλα! Το σύστημα ήταν αρκετά καλά στημμένο με αρκετά distraction points προς αποπροσανατολισμό των συμμετέχοντων :) Η εμπειρία του CtF ήταν εξαιρετική και ανυπομονούμε να πάρουμε μέρος όταν και όπου ξαναγίνει. Αν καταλάβαμε καλά ο νικητής κέρδισε μάλιστα και ένα netbook :)

Στο τελευταίο μέρος του athcon και ενώ τα μυαλά είχαν "πάρει φωτιά" από τις προηγούμενες παρουσιάσεις και το CtF, ακολούθησαν οι πιο ενδιαφέρουσες παρουσιάσεις της ημέρας από πραγματικούς guru του χώρου. Ο Alberto Revelli μας έδειξε το open source sqlninja το οποίο έχει γράψει ο ίδιος και αποτελεί μια de facto επιλογή για sql injection testing. Φοβερή παρουσίαση, πολύ έμπειρος ομιλητής, ομολογούμε ότι παραλίγο να πάθουμε επιληψία όταν έδειξε demo exploitation mssql server και επίθεση στο σύστημα μέσω dns tunelling! Έχασαν όσοι είχαν αποχωρήσει.

Η ομιλία του Alberto Rivelli

Πλησιάζοντας στο τέλος, εξαιρετική παρουσίαση περί fuzzing από τον Rodrigo Marcos, ένα απο τα μεγάλα ονόματα του χώρου και δημιουργό του taof open source fuzzer. Αυτή η παρουσίαση έπρεπε να γίνει στην αρχή του athcon για να την παρακολουθήσουν περισσότερα άτομα, αλλά και επειδή εξηγούσε απλά και αναλυτικά τα περί fuzzing και θα χρησίμευε για τις παρουσιάσεις που ακολούθησαν. Αναδρομή στο παρελθόν, και αναφορά στο μέλλον του fuzzing, 3 demos με τα taof και zzuf να σπάνε έναν httpd server και απόπειρα κρασαρίσματος του totem player!

Η ομιλία του Rodrigo Marcos

Δυστυχώς δεν υπήρχαν δυνάμεις για την τελευταία παρουσίαση...

Συνολικά, το επίπεδο των παρουσιάσεων ήταν πολύ υψηλό. Ορισμένοι ομιλητές "έχασαν" πόντους κάνοντας πάρα πολλές παραδοχές για το τί γνωρίζει το ακροατήριο. Ακόμα και σε έναν τέτοιο συνέδριο, δεν είναι απαραίτητο ότι το κοινό γνωρίζει τα πάντα για ορισμένα προχωρημένα θέματα, οπότε καλό είναι ο παρουσιαστής να εξηγεί για 5-6 δευτερόλεπτα κάποια βασικά στοιχεία παρά να προχωράει με ένα "υποθέτω ότι το Χ θέμα το ξέρετε όλοι". Τέλος, δυστυχώς δεν φαινόταν τίποτα στις κονσόλες οπότε την επόμενη φορά ζουμ στα γράμματα παιδιά.

Ραντεβού στο επόμενο athcon!

H unweb.me στην 2η ημερίδα του labs.opengov.gr

Tη Δευτέρα 31 Μαΐου έγινε στο αμφιθέατρο του Εθνικού Ιδρύματος Ερευνών η 2η ημερίδα του labs.opengov.gr. H Unweb.me ήταν εκεί για να παρουσιάσει το openfish.gr.

Στην ημερίδα παρουσιάστηκαν 15 από τις 41 προτάσεις που δημοσιεύθηκαν στον ιστότοπο του labs.opengov.gr, στις θεματικές ενότητες αγροτική ανάπτυξη, αναβάθμιση δημόσιας υγείας, εξοικονόμηση πόρων - προστασία περιβάλλοντος και τουριστική ανάπτυξη. Όλες οι παρουσιάσεις βρίσκονται εδώ, ενώ σύντομα πρόκειται να δημοσιευτούν και τα αντίστοιχα βίντεο.

Οι προτάσεις που παρουσιάστηκαν κατέδειξαν τρεις περιοχές όπου θα πρέπει να επικεντρωθεί η προσπάθεια εκσυχρονισμού του ευρύτερου δημόσιου τομέα:

  1. Ηλεκτρονικές πληρωμές ωφειλών προς το δημόσιο, για τη μείωση της γραφειοκρατίας και την εξοικονόμηση πόρων μέσω της ελάττωσης του διαχειριστικού φόρτου
  2. Ελεύθερη διάθεση ποιοτικών δεδομένων με γεωγραφική αναφορά, πάνω στα οποία θα μπορούσε να χτιστεί ένα σύνολο από εφαρμογές που αφορούν πολλούς τομείς, όπως ο πολιτισμός, ο τουρισμός, το περιβάλλον και η αγροτική ανάπτυξη.
  3. Μηχανοργάνωση των νοσοκομείων με ευέλικτα συστήματα διαχείρισης για την εξοικονόμηση πόρων και τη διαφάνεια

Η unweb.me ήταν εκεί για να παρουσιάσει το openfish.gr. Η συγκεκριμένη πρόταση εντάσσεται στο πλαίσιο της αγροτικής ανάπτυξης, η μοναδική που παρουσιάστηκε σε αυτή τη θεματική, και αφορά την ανάπτυξη ενός εθνικού γεωπληροφοριακού συστήματος αναφοράς για τους αλιευτικούς κανονισμούς. Συνοδεύεται και από ένα λειτουργικό πρωτότυπο σύστημα που αναπτύξαμε ώστε να επικοινωνήσουμε καλύτερα την ιδέα. Tις διαφάνειες της παρουσίασης μπορείτε να τις κατεβάσετε από εδώ.

Η προσέλευση στην ημερίδα ήταν περιορισμένη σε σχέση με την προηγούμενη φορά, ειδικά όσον αφορά εκπροσώπους δημόσιων φορέων, κάτι που σχολιάστηκε αρνητικά από τους παρευρισκόμενους. Ωστόσο το επίπεδο των προτάσεων ήταν σαφώς υψηλότερο. Οι προτάσεις είχαν σαφή στόχο και πρότειναν συγκεκριμένο τρόπο για να τον πετύχουν, ενώ εντονότερη σε σχέση με την προηγούμενη ημερίδα ήταν και η παρουσία του ΕΛ/ΛΑΚ. Αρκετοί ομιλητές είχαν χρησιμοποιήσει ΕΛ/ΛΑΚ για την υλοποίηση των πρωτοτύπων τους και τόνισαν τα πλεονεκτήματά του σε σχέση με κλειστές λύσεις. Μεταξύ αυτών ήταν και η unweb.me που προχώρησε τη συζήτηση ένα βήμα πιο πέρα, προτείνοντας ένα εναλλακτικό μοντέλο διαχείρισης δημόσιων έργων ανάπτυξης λογισμικού, παρόμοιο με αυτό των κοινοτήτων ΕΛ/ΛΑΚ. Φυσικά δεν έλειψε και η Microsoft, με την παρουσία της ωστόσο να περνάει σε δεύτερη μοίρα.

Κλείνοντας, να πούμε συγχαρητήρια στους διοργανωτές για τα όσα έχουν κάνει μέχρι τώρα, να επιστήσουμε όμως την προσοχή τους σε μερικά σημεία, κρίσιμα για την επιτυχή συνέχιση αυτής της προσπάθειας. Αρχικά θα θέλαμε να δούμε ένα πιο ανοιχτό φόρουμ ανταλλαγής ιδεών, έξω από παγιώμενες θεματικές, που θα δώσει μια μεγαλύτερη δυναμική στην διαδικασία. Υπεύθυνοι του εγχειρήματος μας ανέφεραν ότι αυτό είναι στους άμεσους στόχους τους, οπότε μένει να το δούμε να πραγματοποιείται το συντομότερο δυνατό. Στο σημείο που δεν δώθηκαν ξεκάθαρες απαντήσεις ήταν στο πώς θα αξιοποιηθούν οι ιδέες που παρουσιάζονται και σε τί χρονικό πλαίσιο. Να θυμίσουμε ότι από τις προτάσεις της πρώτης φάσης που έληξε πριν από περίπου 3 μήνες, δεν υπάρχει κανένα νεώτερο για το τί έχει γίνει και πώς έχουν ενσωματωθεί, εάν έχουν, στον πολιτικό σχεδιασμό των αντίστοιχων υπουργείων. Τί νοήμα έχει ένα σύνολο ασκήσεων επί χάρτου εάν δεν υπάρχει μια αποτελεσματική και γρήγορη διαδικασία η οποία θα κάνει αυτές τις ιδέες πραγματικότητα;

Το επόμενο ραντεβού του labs.opengov.gr δίνεται για κάποια στιγμή τον Σεπτέμβρη, μάλλον στην Θεσ/νίκη, με τη θεματολογία να επικεντρώνεται σε τρόπους μείωσης της γραφειοκρατίας. Θα τα πούμε εκεί.