Aktualności
2011-03-17
Wzmocnić najsłabsze ogniwo
Szkolenie bezpieczeństwa "Bring Your Own Laptop" w Poznaniu
Szkolenia użytkowników systemów IT.
Człowiek lub użytkownik – to częste odpowiedzi na pytanie o najsłabsze ogniwo włańcuchu zabezpieczeń teleinformatycznych systemu czy usługi. To prawda – jesteśmy nieprzewidywalni, a jednocześnie to my mamy największą kontrolę nad obsługiwaną aplikacją.

Nie da się nas też zaprogramować (na szczęście!), abyśmy zawsze unikali błędów. Brakuje nam często wiedzy i doświadczenia. Wiele osób wykorzystuje komputery dla ułatwienia codziennej pracy, ale nie są one jej istotą. Nie muszą oni więc być wykwalifikowanymi specjalistami informatyki.

Zdrugiej strony – pewien zakres wiedzy, dotyczącej choćby bezpiecznego korzystania z usług IT, wydaje się niezbędny każdemu. W uzyskaniu takiego „komputerowego prawa jazdy” muszą oczywiście pomóc instruktorzy – eksperci. Dlatego szkolenia użytkowników to jeden z obszarów działalności Poznańskiego Centrum Superkomputerowo-Sieciowego. Pracownicy PCSS regularnie dzielą się swoją wiedzą z różnymi grupami użytkowników. Od szkoleń wewnętrznych dla pracowników, przez te organizowane w ramach projektów naukowo badawczych – aż po bezpłatne, otwarte szkolenia dla użytkowników domowych, korporacyjnych, administratorów systemów, programistów, specjalistów bezpieczeństwa. Informacje przekazywane są w sposób zrozumiały, uczestnik szkolenia jest partnerem, a nie „użyszkodnikiem”. Szkolenia to nie tylko upowszechnianie wiadomości, które ułatwią życie nam wszystkim, ale często również możliwość szerszej prezentacji wyników aktualnie prowadzonych prac albo promocja innowacyjnych rozwiązań.

Jednym ze sposobów na pozyskanie cennej wiedzy jest uczestnictwo w szkoleniu Działu Komputerów Dużej Mocy PCSS. Wykłady te odbywają się dość regularnie – ich częstotliwość nie jest co prawda stała (prowadzący prelekcje mogą być czasowo zaangażowani w inne pilne zadania), ale w ciągu roku z pewnością napotkać można na co najmniej pięć lub sześć interesujących tematów. Warto zatem odwiedzić stronę http://szkolenia.man.poznan.pl, a jeszcze lepiej – zapisać się tam na listę mailingową, na którą przesyłane są informacje o planowanych spotkaniach szkoleniowych.

Tematyka szkoleń jest oczywiście związana z codzienną pracą poznańskich naukowców. Dzięki temu łatwiej przygotować szkolenie, a jego uczestnicy zyskują zapewnienie, że przekazana wiedza nie jest konspektem kilku artykułów pobranych z Internetu, lecz pochodną aktualnego stanu wiedzy, wspieranego przez realne, często kilkunastoletnie, doświadczenie prowadzącego. Spotkania są wartościowe również dla prelegentów: wiedza na temat problemów użytkowników związanych z konkretnym zakresem tematycznym jest nie do przecenienia.

Do podstawowych tematów poruszanych na szkoleniach należą obliczenia dużej mocy i bezpieczeństwo. Dziedzina HPC to oczywiście bezpośredni obszar zainteresowania Działu KDM. Stąd szkolenia dotyczące przetwarzania rozproszonego, wykorzystania kompilatorów, optymalizacji wykorzystania pamięci czy programowania równoległego. Jeśli nawet zagadnienia te wydają się hermetyczne – dzięki naszej codziennej pracy wiemy dobrze, jak są istotne dla środowiska naukowego.

Częścią Działu Komputerów Dużej Mocy jest Zespół Bezpieczeństwa PCSS. Można zatem nauczyć się również, jak ochronić swój komputer czy sieć (a wiadomo, że „bezpiecznicy” lubią chronić, atakując…) – i to zagadnienie interesuje już potencjalnie szersze grono użytkowników. Do przykładowych tematów poruszanych w ostatnich latach należały: wykorzystanie technologii IPSec oraz OpenSSL, ochrona aplikacji internetowych, bezpieczeństwo serwera WWW Apache czy walka ze spamem przy pomocy poszczególnych rozwiązań do obsługi poczty. Zespół prowadzi również szkolenia związane z bezpieczeństwem technologii autorstwa Microsoftu (w ramach projektu Centrum Innowacji Microsoft wPoznaniu).

Szkolenia trwają najczęściej od dwóch do trzech godzin (z krótką przerwą na przysłowiowe zaczerpnięcie oddechu) isą organizowane w języku polskim – wformie wykładów lub warsztatów. Te ostatnie (jak na przykład przygotowane wramach projektu Centrum Innowacji Microsoft praktyczne szkolenie z omijania firewalli w systemach Windows) bardzo podobają się uczestnikom, jednak ilość pracy niezbędna do ich przygotowania jest bardzo duża – i taka możliwość nie zawsze rysuje się w kontekście wielu innych, także przecież ważnych, wykonywanych zadań.

Doświadczenie w realizacji wykładów, zyskane podczas szkoleń otwartych, przydaje się też w projektach naukowo-badawczych, w których zapewnienie optymalnego przepływu wiedzy i umiejętności bezpośrednio przekłada się na jakość uzyskanych wyników. Warto w tym miejscu opisać szkolenie, zrealizowane wPoznaniu w ramach projektu GÉANT3 wczerwcu tego roku.

Szkolenie zrealizowano w ramach usługi GÉANT Security Expertise Delivery (SED), będącej jednym z obszarów prac zadania 4 pakietu roboczego SA2 (Usługi Wielodomenowe – bezpieczeństwo). Celem uruchomienia usługi było dostarczenie wiedzy zorientowanej na bezpieczeństwo teleinformatyczne dla osób tworzących lub adaptujących usługi wielodomenowe w ramach projektu. Należy zatem nie tylko zapewnić, aby kwestie bezpieczeństwa stały się nieodzowną częścią całego cyklu życia usługi, a także aby zostały uwzględnione w odpowiednim zakresie i na stosownym poziomie.

Jako jedną z dróg, wiodącą do realizacji powyższego celu, wybrano przeprowadzenie dwudniowego szkolenia dla programistów z zakresu tworzenia bezpiecznego kodu. Szkolenie zorganizowano we współpracy z uczestnikami pakietu roboczego SA4 (Zarządzanie oprogramowaniem) oraz przy wydatnej pomocy organizacyjnej Biura Projektu, prowadzonego przez organizację DANTE (Delivery of Advanced Network Technology to Europe). Wykłady prowadzili: Milan Potocnik z Centrum Obliczeniowego Uniwersytetu w Belgradzie oraz Tomasz Nowak i Gerard Frankowski z Zespołu Bezpieczeństwa PCSS.

Wpierwszym dniu szkolenia zaprezentowano koszt tworzenia oprogramowania zawierającego błędy bezpieczeństwa, przytaczając przykłady katastrofalnych omyłek programistów. Później nastąpił przegląd dobrych praktyk bezpieczeństwa (jak np. prawidłowe uwierzytelnianie, implementacja sesji w aplikacjach internetowych, unikanie wycieku informacji, odpowiednia obsługa błędów itd.). Po południu odbyły się wykłady zochrony Web Services, wykorzystania infrastruktury klucza publicznego oraz zaprezentowano usługę eduGAIN, służącą do zarządzania tożsamością.

Drugi dzień szkolenia upłynął pod znakiem poszczególnych typów podatności oprogramowania. Każda z nich została najpierw opisana teoretycznie, a następnie uwidoczniona na przykładach w jednym lub kilku popularnych językach oprogramowania (najczęściej Java, C/C++, PHP). Uczestnicy mogli także wykonać krótkie ćwiczenia. Omówiono następujące podatności: wykorzystanie tzw. niebezpiecznych funkcji, obsługa wrażliwych danych, przepełnienia bufora, wycieki pamięci i zasobów, sytuacje wyścigu, dereferencja wskaźnika NULL, błędy ciągów formatujących, przewinięcia licznika, błąd „płotu i słupków”. Wodniesieniu do kodu Javy przygotowano prezentacje na temat nieprawidłowej obsługi wyjątków, nieoptymalnych wzorców kodowania i błędów w dostępie do klas. Wreszcie aplikacje webowe – oczywiście ataki XSS i SQL Injection, jak również wstrzykiwanie poleceń, wycieki informacji czy Path Traversal.

Ostatni, krótszy już blok szkoleniowy, poświęcono analizie kodu źródłowego przy pomocy kilku prostych w użyciu idostępnych bez opłat skanerów kodu Javy, C/C++ oraz PHP.  Po omówieniu zakresu przydatności tych narzędzi dla programistów, krótko zaprezentowano kilka z nich.

Wydaje się, że dla większych projektów podobne szkolenia są nieodzowne. Nie tylko lekarze są zdania, że lepiej zapobiegać niż leczyć (a choroby przecież nie znikną). Choć wiedza kosztuje dziś coraz więcej, nie powinniśmy tworzyć jej hermetycznych enklaw. Przekazywanie informacji innym – to nie tylko szczytne hasło, ale też realna pomoc dla małych firm, jednostek naukowych, użytkowników indywidualnych.

Zapraszamy także do współpracy jednostki MAN: może warto pomyśleć o organizacji dni szkoleniowych? Kilka, powiązanych tematycznie, prezentacji prowadzonych przez różne osoby zwiększy jeszcze korzyść osiągniętą przez użytkownika, a wkład pracy wymagany od poszczególnych prelegentów nie będzie aż tak znaczący.
Szkolenie bezpieczeństwa "Bring Your Own Laptop" w Poznaniu