Analizy powłamaniowe, internet rzeczy, uczenie maszynowe – czyli jak było na Code Europe

Trzy tygo­dnie temu zapo­wia­da­łem, że wybie­ram się na Code Euro­pe – naj­więk­szą w Pol­sce kon­fe­ren­cję dla pro­gra­mi­stów odby­wa­ją­cą się pod patro­na­tem blo­ga cyberprzestępczość.pl. Dzi­siaj mam małą rela­cję z tego wyda­rze­nia. Omó­wię naj­cie­kaw­sze dla mnie wystą­pie­nia oraz krót­ko stresz­czę o czym tam mówiłem.

Moje wrażenia

Bez sło­dze­nia trze­ba przy­znać, że Orga­ni­za­to­rzy się posta­ra­li. Począw­szy od same­go spo­so­bu zróż­ni­co­wa­nia tema­ty­ki kon­fe­ren­cji, jej miej­sca (w Kra­ko­wie Cen­trum Kon­gre­so­we ICE, a w War­sza­wie Sta­dion Naro­do­wy), zapew­nie­nia sze­ro­kie­go wachla­rza pre­le­gen­tów – byli nie tyl­ko pro­gra­mi­ści, ale też coacho­wie, kon­sul­tan­ci… no i praw­nik czy­li ja ????. Kwe­stie typo­wo orga­ni­za­cyj­ne po pro­stu były dobrze ogar­nię­te – i to zarów­no dla słu­cha­czy (począt­ku­ją­cy pro­gra­mi­ści mogli wyka­zać się w licz­nych kon­kur­sach lub poroz­ma­wiać z poten­cjal­ny­mi pra­co­daw­ca­mi) jak i dla pre­le­gen­tów (wydzie­lo­ne dla nas pomiesz­cze­nia pozwa­la­ły wypo­cząć przed wła­snym wystą­pie­niem czy spo­koj­nie poga­dać – dla­cze­go tego nie ma na innych kon­fe­ren­cjach?). Posta­ra­li się rów­nież słu­cha­cze, któ­rzy dopi­sa­li w nie­by­wa­łych ilo­ściach. Orga­ni­za­to­rzy poda­wa­li licz­by wyno­szą­ce 5400 uczest­ni­ków w Kra­ko­wie oraz trosz­kę mniej w War­sza­wie. Na kon­fe­ren­cjach praw­ni­czych… jest dobrze, gdy uwzględ­nia­jąc pre­le­gen­tów mamy 50 osób 🙂

Najciekawsze wystąpienia

Przyszłe zawody w IT i Nowe technologie zmieniają rynek pracy

Jak zapo­wia­da­łem – cze­ka­łem na te wystą­pie­nia (a w zasa­dzie pane­le). I jestem zasko­czo­ny. Pane­li­ści oka­za­li się być bar­dzo ostroż­ni w swo­ich prze­wi­dy­wa­niach. Co wię­cej – oni byli wręcz scep­tycz­nie nasta­wie­ni wobec pew­ne­go medial­ne­go haj­pu, szum­nie zapo­wia­da­nych i rewo­lu­cyj­nych zmian na ryn­ku pra­cy. Jed­ną z myśli prze­wod­nich, któ­ra przy­świe­ca­ła dys­ku­tan­tom było to, że obec­nie nie do koń­ca powin­ni­śmy kłaść nacisk na osią­ga­nie okre­ślo­nych spe­cja­li­za­cji, bo te w per­spek­ty­wie lat się zmie­nia­ją. Pane­li­ści za to pod­kre­śla­li rolę kom­pe­ten­cji, ich uni­wer­sal­ność i łatwość ich sto­so­wa­nia w róż­nych zawo­dach. Myślę, że te uwa­gi są bar­dzo cie­ka­we. Zwłasz­cza, że oso­by je wyra­ża­ją­ce na co dzień dzia­ła­ją i (też) rekru­tu­ją w takich spół­kach jak Comarch, Atos, Sygni­ty czy Asse­co. A kto lepiej wyzna­cza tren­dy na ryn­ku, jeśli nie tego typu korporacje?

Całość jed­nak pod­kre­śla­ła (ku moje­mu zasko­cze­niu) wagę, jaką nadal peł­ni wyż­sze wykształ­ce­nie w sek­to­rze pro­gra­mi­stów. Wie­lo­krot­nie sły­sza­łem, że stu­dia i fakt ich ukoń­cze­nia na tym ryn­ku są bez więk­sze­go zna­cze­nia. Jed­nak dys­ku­tan­ci pod­kre­śla­li, że nie do koń­ca tak jest – dają one bowiem w ich oce­nie pewien rdzeń tych uni­wer­sal­nych kom­pe­ten­cji – np. z zakre­su mate­ma­ty­ki czy sta­ty­sty­ki. Ja od sie­bie mogę chy­ba dodać tyl­ko, że fak­tycz­nie coś jest na rze­czy… Mnie stu­dia praw­ni­cze nie nauczy­ły zbyt wie­le w zakre­sie tego, czym się zaj­mu­ję zawo­do­wo. Ale dały mi napraw­dę nie­zły wachlarz kom­pe­ten­cji, bez któ­rych było­by cięż­ko zro­zu­mieć dzia­ła­nie pra­wa i zasto­so­wać je w praktyce.

Z zapo­wie­dzi – bo w sumie po to na te pane­le posze­dłem – moż­na było się dowie­dzieć, że na pod­sta­wo­we usłu­gi sup­por­tu IT wkrót­ce skoń­czy się rynek. Ma być to skut­kiem roz­wo­ju tech­no­lo­gii ucze­nia maszy­no­we­go, któ­re zaczy­na sobie radzić z tego typu pro­ble­ma­mi. Jak będzie w rze­czy­wi­sto­ści? Pew­nie te zawo­dy znik­ną, ale patrząc na to jak wyglą­da umie­jęt­ność radze­nia sobie z napraw­dę pod­sta­wo­wy­mi pro­ble­ma­mi z zakre­su IT choć­by w kan­ce­la­riach praw­nych… chy­ba nie nastą­pi to zbyt prędko .

Go hack yourself… or someone else will – Frans Rosén

W kon­fe­ren­cjach obej­mu­ją­cych swo­ją tema­ty­ką zagad­nie­nia cyber­sec jed­ną z naj­faj­niej­szych rze­czy jest to, że moż­na spo­tkać oso­by auten­tycz­nie kocha­ją­ce to co robią. Frans Rosén ewi­dent­nie taką oso­bą jest i jego wystą­pie­nie po pro­stu poza­mia­ta­ło. Poszu­ki­wa­nie bug boun­ty w jego wyda­niu jest wyni­kiem pew­nej kom­bi­na­cji szczę­ścia, umie­jęt­no­ści i pasji. Posłu­chać o tym, jak to Frans wyszu­kał podat­no­ści Pay­Pa­la war­tych 4 tysią­ce dola­rów zary­wa­jąc noc­kę pod­czas waka­cji w Indo­ne­zji na iPho­nie… było po pro­stu dobrą zaba­wą ????. Poza tym, autor przed­sta­wił cał­kiem nie­złe paten­ty na poszu­ki­wa­nie podat­no­ści, któ­re oso­bom sta­wia­ją­cym pierw­sze kro­ki w pro­gra­mach bug boun­ty pew­nie nie­co pomo­gą. Co mnie cie­szy – po tym wystą­pie­niu wie­dzia­łem już, że nie jestem jedy­ną oso­bą, któ­ra ma zastrze­że­nia do przy­ci­sków Face­bo­ok Connect.

So, how do Google, Bing and Yahoo work? – Allen O’Neill

Na to wystą­pie­nie napraw­dę cze­ka­łem… i nie zawio­dłem się. Było o AWS Lam­ba, o DNSie, page­ran­kach. O tym jak dzia­ła indek­so­wa­nie i ile osób się nim fizycz­nie zaj­mu­je (a wyda­wa­ło­by się, że robią to w peł­ni samo­dziel­nie algo­ryt­my). Wie­le razy czy­ta­łem, że są (lub były) spo­so­by na to by „ograć” algo­ryt­my Google. Allen się do tego odniósł pod­kre­śla­jąc rolę sie­ci neu­ro­no­wych i machi­ne lear­nin­gu w wykry­wa­niu tego typu gier. Co cie­ka­we, zda­niem Alle­na rola tzw. site­maps nie jest już dzi­siaj taka waż­na jak jesz­cze kil­ka lat temu. Dzi­siaj boty raczej chcą symu­lo­wać zacho­wa­nia ludzi, a aktu­al­na moc obli­cze­nio­wa jest już do tego celu wystar­cza­ją­ca. Mia­łem oka­zję poroz­ma­wiać jesz­cze tro­chę w stre­fie dla pre­le­gen­tów na ten temat z Alle­nem. Obie­cał mi, że prze­pro­wa­dzi­my wywiad, w któ­rym poroz­ma­wia­my tro­chę o roli i zna­cze­niu dark­ne­tu w obec­nej sie­ci. A zatem… stay tuned

Na drodze do cyfrowej komunikacji obywatela z urzędem – Grzegorz Zajączkowski w zastępstwie Minister Anny Streżyńskiej

Nie­ste­ty Pani Mini­ster nie dotar­ła ze wzglę­du na pil­ne posie­dze­nie rzą­du. Dotarł za to Pan Grze­gorz Zającz­kow­ski, któ­ry jest dorad­cą Mini­ster Cyfry­za­cji. Wystą­pie­nie było dość spe­cy­ficz­ne – sta­no­wi­ło nie­ja­ko pod­su­mo­wa­nie zapy­tań wyko­ny­wa­nych na stro­nie oby​wa​tel​.gov​.pl. Co cie­ka­we – zgod­nie z zapo­wie­dzią Pana Zającz­kow­skie­go, całość danych na któ­re powo­ły­wał się w swo­im wystą­pie­niu jest obec­nie dostęp­na we wspo­mnia­nym ser­wi­sie. Jeśli ktoś jest zain­te­re­so­wa­ny dany­mi, to zapra­szam w to miej­sce. Pod­su­mo­wu­jąc w spo­sób ogól­ny to wystą­pie­nie, chy­ba nale­ży się tro­chę cie­szyć z tego, że Mini­ster­stwo ana­li­zu­je cze­go Pola­cy szu­ka­ją w sie­ci i roz­po­czy­na pra­ce mają­ce na celu dosto­so­wa­nie ofer­ty e‑administracji do real­nych potrzeb oby­wa­te­li. Oka­zu­je się, że szu­ka­my rze­czy pro­stych, któ­rych jak dotąd nikt nie zebrał w jed­nym miej­scu – co zro­bić, gdy zgu­bię dowód oso­bi­sty albo jak anu­lo­wać man­dat za prze­kro­cze­nie pręd­ko­ści (wg. danych ana­li­tycz­nych ktoś zapy­tał nawet „jak wysa­dzić w powie­trze mandat?” :))

Zastosowanie uczenia maszynowego w IoT i aplikacjach mobilnych – dr Marcin Skoczylas

Pro­wa­dzą­cy sku­pił się przede wszyst­kim na moż­li­wo­ściach jakie daje wyko­rzy­sta­nie Big Data zbie­ra­ne­go przez urzą­dze­nia IoT. Do 2020 r. mamy mieć 50 miliar­dów urzą­dzeń, któ­re będą tego typu dane gene­ro­wa­ły – cho­ciaż­by smart opa­ski mie­rzą­ce tęt­no czy glu­ko­me­try dla dia­be­ty­ków. Mar­cin wska­zał na 3 pod­sta­wo­we ele­men­ty, któ­re powin­ny speł­niać IoT byśmy mogli w ogó­le je wyróż­niać. Pod­kre­ślał też, że wobec ogro­mu osób korzy­sta­ją­cych z inter­ne­tu rze­czy, nie ma obec­nie za bar­dzo innej dro­gi niż wyko­rzy­sta­nie machi­ne lear­ning. Ucze­nie maszy­no­we, cho­ciaż i może nie­do­sko­na­łe pozwa­la jakoś zop­ty­ma­li­zo­wać spo­sób prze­twa­rza­nia danych.

Naj­bar­dziej w tym wystą­pie­niu prze­ra­zi­ła mnie jed­nak łatwość, z jaką zebra­ne w ten spo­sób dane poma­ga­ją pro­fi­lo­wać oso­by prze­twa­rza­jąc ich dane (w tym przy­pad­ku już oso­bo­we). Dzi­siaj już bez pro­ble­mu z zebra­nych danych może­my doko­ny­wać seg­men­ta­cji i gru­po­wa­nia klien­tów (np. na zama­wia­ją­cych okre­ślo­ne­go typu pro­duk­ty). Na szczę­ście pra­wo ochro­ny danych (w Euro­pie) czy­ni takie dzia­ła­nia bez wyraź­nej zgo­dy nie­le­gal­ny­mi. Uff.

Analiza powłamaniowa – przypadki, błędy i best practices – Mateusz Dalewski

Nie wiem jak Ty, mój dro­gi Czy­tel­ni­ku, ale moim zda­niem wystą­pie­nia poru­sza­ją­ce kwe­stie wła­mań, ana­liz i zabez­pie­cza­nia się przed nimi sprzy­ja­ją czę­sto gwiaz­do­rze­niu na wszel­kiej maści kon­fe­ren­cjach. Z tego też powo­du śred­nio je lubię, bo czę­sto poza gwiaz­do­rze­niem pro­wa­dzą­cy nie mówią nic kon­kret­ne­go. Odno­si się to nie tyl­ko do ana­li­ty­ków, pen­te­ste­rów ale też i praw­ni­ków… Od 2013 roku dwa razy już byłem świad­kiem, gdy praw­ni­cy pró­bo­wa­li podo­łać temu tema­to­wi i zawsze były to wystą­pie­nia nie­ste­ty odtwór­cze i opar­te na tym, co uda­ło im się zna­leźć w Google.

Na szczę­ście w tym przy­pad­ku Mate­usz napraw­dę poka­zał coś cie­ka­we­go. Sku­pił się po pro­stu na robo­cie, poka­zu­jąc nie­co warsz­ta­tu. Nie było śmiesz­nych kotów, dziw­nych obraz­ków i gwiaz­do­rze­nia. Za to moż­na było posłu­chać o moż­li­wych kom­pli­ka­cjach wyni­ka­ją­cych z wła­ma­nia, rodza­jach ata­ków czy naj­częst­szych ich wek­to­rach. Mate­usz przed­sta­wił kil­ka narzę­dzi i napraw­dę pod­sta­wo­we rze­czy, któ­re moż­na za ich pomo­cą zro­bić. Były też tytu­ło­we best prac­ti­cies, odwo­łu­ją­ce się przede wszyst­kim do doświad­cze­nia jak i… zdro­we­go roz­sąd­ku. Mimo począt­ko­wych obaw, napraw­dę byłem pod wra­że­niem skrom­no­ści auto­ra i pozio­mu mete­ory­tycz­ne­go wystąpienia.

A ja mówiłem o…

…ochro­nie danych oso­bo­wych w fazie pro­jek­to­wa­nia i domyśl­nej ochro­nie danych. Sku­pi­łem się na apli­ka­cjach mobil­nych – jeśli chcesz zoba­czyć pre­zen­ta­cję i prze­czy­tać nie­co wię­cej o podej­mo­wa­nej prze­ze mnie tema­ty­ce to zapra­szam do kolej­ne­go wpi­su – wystar­czy, że klik­niesz tutaj.