[final] Microsoft Security Summit, dzień 1, almost live :)
W cyklu imprez sponsorowanych przez Microsoft pojawiła się ciekawa propozycja, pokazująca zmieniające się nastawienie tej firmy do bezpieczeństwa - Microsoft Security Summit. Konferencja skierowana głównie do specjalistów IT, chociaż także ciut do developerów. W zasadzie pierwszy dzień powinien być także dla developerów, ze względu na dość holistyczne przedstawienie kwestii bezpieczeństwa. Właśnie - holistyczne, bo głównym i jedynym prelegentem pierwszego dnia był autor znanych showcastów “Holistic security” - Rafał Łukawiecki.
No ale warto opowieść zacząć od początku… Pomimo pewnych zabawnych drogowych perturabcji udało mi się dotrzeć do Warszawy na Security Summit. Niestety byłem trochę, (cóż to jest godzina wobec wieczności) spóźniony, więc nie mogłem uczestniczyć w sesji otwierającej. Do przerwy przejrzałem za to ofertę kilku ledwie wystawów (szkolenia CSS, Altkom, Apollo - to nowość; unizeto z rozwiązaniami security no i książki wydawnictwa MS Press). Z ciekawostek - każdy uczestnik konferencji dostał darmową książkę o ocenie bezpieczeństwa sieciowego (z zasłyszanych opinii - podobno ciekawa, przeczytam wkrótce). Ponadto można było wziąć leżące prawie dosłowenie wszędzie egzemplarze chipa z początku roku - czyli jak zwykle na konferencji MS zapoznać się z w miarę bieżącą prasą.
OK, ale ad rem. Pierwszy dzień konferencji prowadzi Rafał Łukawiecki - osoba której chyba nikomu nie trzeba przedstawiać - nie dość, że osoba znająca się na tematyce bezpieczeństwa i jej koncepcjch, to na dodatek naprawdę dobry, porywający mową spiker. Który wie, kiedy powiedzieć kilka śmieszych anegdot. Rafał oczywiście podkreśla, ze nie jest powiązany z Microsoftem, chociaż przedstawia ich rozwiązania. Oczywiście jest to seminarium tyczące się bezpieczeństwa, więc cóż. Nie za bardzo można mu ufać 
[update]
Pierwsza przeprowadzona przez Rafała sesja mówiła o jednym - o koncepcji systemu bezpieczeństwa, który byłby wspólnym systemem przedstawiającym poświadczenia w sposób inny, niż istniejące, (w szczególności Microsoft Passport). No i oczywiście, ze względu na słówko “meta”, powinna być to grupa systemów, mówiąca grupą protokołów zachowująca chociażby standardy ws-*. Ponadto przedstawił koncepcje systemów poświadczeń, (systemów, bo poświadczenie nie wynikają z jednego serwisu, ale raczej z grupy serwisów), które przekazują odpowiednie dane identyfikujące, a może raczej opisujące pewne cechy, użytkownika. Przekazują - ponieważ pownny one, (znów koncepcja bezpieczeństwa informacji), podawać jedynie minimum informacji, tak oby strona, wobec której dokonujemy autentykacji dostała tylko informacje, które sa potrzebne - np. mamy > 18 lat, czy też nie. Ten meta system powinien w szczególności być pewną replikacją rzeczywistości - czyli podawać konretne dane, w konkretnym kontekście, tak - aby obie strony były wobec siebie uwierzytelnione. Co ciekawe, mówiąc o tym temacie Rafał nie odwoływał się za bardzo do rozwiązań Microsoft. Wspominał oczywiście o standardach ws-*, których Microsoft opierająco się mocno o koncepcje Web Services wspiera, ale to jednak otwarta specyfikacja.
Inną ciekawostką było powiedznie przez Rafała “PKI is dead”, (no dobra - nie wprost, ale prawie). Oczywiście nie wprost, ponieważ sama infrastruktura musi być i istnieć i jest jedną z ciekawszych rzeczy pozwalających na uwierzytelninaie informacji, niemniej powinna być ona oddalona - mocno oddalona od użytkownika, który w zasadzie ma zazwyczaj problemy, z tym co jest publiczne, co prywatne i w zasadzie czego musi użyć, żeby coś do kogoś napisać, podpisać czy cokolwiek. To wszystko działa niestety wbrew logice - i bez lądnego interfejsu jest trudne dla użytkownika. Dobrze, że Rafał nie wspomniał jak wygląda PKI w Exchange, bo to dopiero jest user unfriendly (ileż trzeba, żeby się certy zroloutowały i dodały do systemów klienckich…) Swoją ciekawe co wobec tego jutro o wdrożeniu PKI w Polkomtel SA powie CSS? Pewnie się będą chwalić na maksa, ale nie chcę im zarzucać bycia marketoidami od razu 
Oczywiście ten cały talk potrzebny był do tego, żeby przedstawić pewne produkty Microsoft. Na szczęście niw była to marketingowa gadka, ale wprowadzenie do dość istotnego problemu, (niestety zazwyczaj w dużych tylko firmach), czyli czegoś na wzór Single Sign-On. MIIS, (albo jego mniejsza forma IIFP), pozwalająca na synchronizację haseł, chociaż ponoć nie tylko, pomiędzy wieloma systemi w sieci. Systemami na tyle różnorodnymi jak SAP, SQL server, AD/ADAM i inne. Pozwala to użytkownikowi na łatwą integrację poświadczeń (no, może nie do końca poświadczeń) w środowisku firmowym. Ogólnie nazywa się to Zarządzanie cyklem życia tożsamości (Identity Lifecycle Management) i sprowadza do tworzenia i kasowania kont przy fluktuacji pracowników czy też zmianie ich pozycji w firmie.
[update]
Po smacznym obiadku sesje poobiednie. Pierwsza z nich opisała zarządzanie dostępem, przybliżając trochę WS-Security i WS-Federation, ale bardzie skupiając się na nowym w 2k3 R2 elemencie AzMan (Authorization Manager). Ciekawa sprawa… która już dawno powinna być w systemie. Smaczniejsze było jednak to co było potem - czyli sesja o różnych sposobach autentykacji. Rafał pastwił się nad biometrią, wypominając głupoty, jakie różne marketoidy wymyślają, żeby pokazać jak coś jest bezpieczne. Przykładem może być klawiatura biometryczna, która sprawdza odciski palców… które są na niej cały czas, i którą najłatwiej jest po prostu ukraść. Przy okazji wspomniał też o banalnej możliwości oszukiwania systemów biometrycznych takich jak siatkówka narysowana na szkiełku kontaktowym czy też cyjanoakryl na palcu, które to metody pozwalają na pominięcie takich drobiazgów jak sprawdzenie czy faktycznie aktor jest przy urządzeniu i czy się uwierzytelniasam, a nie podtykając odrąbany palec, a także sprawdzenie oznak życia (czy w palcu płynie krew i jaka jest zawartość w niej tlenu - bezinwazyjnie!). Wykłady Rafała zamknęła sesja Q&A, gdzie padły mądrzejsze i głupsze pytania, ogólnie poruszające się w tematyce bezpieczeństwa.
Podsumowując - pierwszy dzień naprawdę super. Widać, że polski odział Microsoft jest coraz lepszy w organizacji imprez masowych. (Ja wiem, że to mało IT, ale takie rzeczy mają wpływ na odbiór). Parking był, (gdybym się nie spóźnił to nawet darmowy), szatnia była duża i z dobrym dostępem, miejsce niezłe (hotel Gromada, koło Okęcia), rejestracja bezproblemowa, bufet smaczny… No i gifty! Jak zwykle kilka drobiazgów - książka z MS Press powiązana tematycznie ze spotkaniem, Windows Vista CTP datowane na luty 2006, pełny Right Management Services, chip 1 i 2/2006. W połączeniu z naprawdę ciekawymi wykładami, nie mogę się doczekać następnego dnia…
P.S. Na sam koniec był jeszcze bilet do kina na Nagi Instynkt 2. Heh, że też musiałem wyjechać z Warszawy…
P.S. 2 Dziwne, strona Security Summit znikła. Czyżby ktoś ją zhackował? :>