[Felhívás] Ne csak a szád járjon, most mutasd meg mit tudsz!

HUP

HUP olvasóként itt a lehetőség előtted, hogy széles körben megmutasd tudásod: előadók jelentkezését várjuk a HWSW free! meetup-sorozat online rendezvényeire. Ha úgy érzed, hogy marketing bullshit-mentesen tudnál 15 percben szakmai előadást tartani IT üzemeltetés, IT security, DevOps, Microservices, AWS,  UX, AI-ML-Data, mobilfejlesztés, CI/CD, Javascript, DevSecOps, Cloud stb. témákban és ezt meg is mutatnád, akkor erre most itt a tökéletes alkalom!

Kezdhetsz mindjárt a jövő heti (július 7.) üzemeltetői meetup-on, de az utána következő IT security témájúra is van még hely. Ha esetleg olyan témában érzed magad erősnek, ami már lement (Scrum, biztonságos szoftverfejlesztés, Kubernetes, Java), akkor is érdemes jelentkezned, mert biztosan lesz még ilyen rendezvényünk a közeljövőben!

Részvételi szándékod online jelentkezési ívünkön tudod.

( buki | 2021. 07. 03., szo – 12:34 )

Előre kell bocsátanom, csak a szám jár, de jobbító szándékkal!

A nagy COVID shutdown alatt többek között azzal szórakoztam, hogy mindenféle témákban előadásokat hallgattam. Volt Matlab, diffegyenletek, vektoranalízis, egy komplett sorozat a Fibonacci-számokról, Lua, TCL, meg minden.

És egy nagyobb adag HWSW. Nem mintha érintett lennék üzemeltetésben, vagy terveznék bármi ilyesmit, csak mindig érdekeltek az új dolgok, szeretek tanulni. (Ez talán valami forrasztási hiba lehet nálam, de ez van.)

A HWSW-vel kapcsolatos konklúzióm pedig igen röviden összefoglalható: nem értem.

Egyszerűen nem világos, hogy mi a cél?

Eleve az eddigi - más jellegű - élettapasztalataim alapján van egy olyan erős megérzésem, hogy ha úgy kerestek előadókat, hogy "tegye fel a kezét, aki úgy érzi, hogy akar előadni", akkor néhány értelmes ember mellett rengeteg fura fazon fog jelentkezni, aki nem a hatalmas tapasztalata okán, hanem bizonyos megalomániás meggyőződései miatt vágyik a megjelenésre.

Aztán nem világos, miért hiszitek, hogy egy 15 perces előadásból szakmailag profitálni tud valaki, akinek az adott téma tényleg új. Én tényleg őszinte érdeklődéssel néztem az előadásaitokat, de arra jutottam, hogy ha van is a témakörök között bármi érdekes, hát azt nem innen fogom megtanulni.

Volt olyan előadás, amit azért néztem végig kétszer, mert nem akartam elhinni, hogy tényleg a semmiről szól. Pedig tényleg.

Szóval rákérdeznék: tulajdonképpen mi itt az elképzelés?

Science for fun...

a hwsw fizetős előadásait nem ismerem, de sok egyéb esetben is mintha csak arról szólna az egész, hogy manapság előadások tartásával lehet jó lóvét szakítani, ezért mindenki csinálja. Meg eseteg céges továbbképzéses keretek leszívására jó. Esetleg cv-kben feltüntethető buzzwordok, hogy milyen szupi előadásokat ismer a delikvens.

15 perc nyekegés nyökögés egy gyakorlatlan és szétszórt előadótól -persze hogy nem fizetnek érte, viszont az időt legalább kitölti. Más kérdés, hogy ki az, aki képes lesz hosszabb ideig hallgatni egy ilyet...

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Erről volt egy beszélgetésem egyszer az akkori HWSW-s főszerkkel, Gálffy Csabával: soha egy fillért nem kerestem HWSW-s előadásból, egyedül Oregon jött oda hozzám, aki a HUP-ról azért ismert már. 
 

De lehet hogy én csinálom rosszul, mert ismeretet próbáltam átadni, és nem valami cliffhangerrel azt mondani, hogy a folytatást tanácsadói szerepben 10 forintért megmondom :)

Jellemzően gondolat ébresztők, rövid bemutatókra lehetnek jók ezek. Attól "meetup", hogy több témakörben próbálnak mutatni valamit, ami nekik bevált adott problémára, vagy simán elkezdték használni mert ugye nagyonjó. Egy picit hasonlók adott nagyobb forgalmazók "szakmai nap" jellegű sztorija, ahol persze eladni akarják az újdonságaikat. Ha normális a forgalmazó, akkor tényleg a jó dolgokkal találkozol, mert követik, hogy mik azok, amikkel épp tényleg valami pluszt tudnak adni. Adott esetben nem is biztos, hogy meg kell venned a terméket, mert egy már meglévő funkció tudására világítanak rá, vagy megerősítik a bevált gyakorlatot. Voltunk például több hasonlón anno, amikor a GDPR eleje/bevezetése volt fókuszban és egészen hasznosak voltak, de persze mára ezekkel mindenki tisztában van. :)

Tényleges tudás specifikus és hosszú elóadásokból, vagy soksok dokumentáció olvasásból és legfőképpen konkrét gyakorlatból/tapasztalatból lesz. Egy ilyen 15 perces tök jó lehet olyanra, hogy megtudd eszik-e vagy isszák a dolgot, neked az segít-e bármiben, és ha igen, akkor merre indulj tovább.

A 15 percnyi időtartam miatt nyilván én se azt vártam, hogy ezekben az előadásokban teljes technológiákat fognak szépen bemutatni.

A gondom pont az volt, hogy az esetek többségében ez a bizonyos eszik/isszák jellegű információ se jött át. Egyszerűen semmi. Ennek talán valamiféle minőségbiztosítással lehetne elejét venni.

Kellene az egész projektnek valami "küldetésfélét" kitalálni, célközönséget meghatározni és ezt az előadókkal is tisztázni. Előzetesen meg kellene hallgatni őket és rámutatni a kisiklásokra. Ez jó eséllyel harmadolná a létszámot, mivel a megalomán beállítottságúak nem szoktak kritikát elfogadni, viszont akik maradnának, azok valóban reklámot jelentenének a cégnek.

Lehet persze erre azt mondani, hogy a minőségbiztosítást majd a nézők elvégzik azzal, hogy elkattintanak máshova, elvégre ez az egész ingyen van. Ezzel annyi a gond, hogy egy másfél órás előadásról 15 perc után meg tudom mondani, hogy kell-e nekem, egy 15 percest viszont kvázi kénytelen vagyok végighallgatni.

Ezzel persze még mindig pontosan ugyanott tartok a két esetben: elpocsékoltam az életemből 15 percet. Csakhogy a másfél órásnál legalább az esélyem megvolt! A többségnél a végeredmény egy feltételes kattintási reflex kialakulása lesz, vagyis a közönség önmagát fogja "hozzászelektálni" a kínálathoz. 

A kérdés csak az, hogy marad-e valaki a végén.

Science for fun...

+1 én sem látom ezeknek a 15perces bohóckodásoknak a célközönségét. Főleg h. az összes megnézett korábbi ilyen hwsw 15perces videóban az előadók mind ugyanabba a hibába estek bele: látszott h. nem tudják kit szólítsanak meg. Azt aki 0,0%-ot foglalkozott a témával, azaz nála szószerint a 0,0-ról kéne indulni? Csak ott a 15perc elmegy a felvezetésre, a konkrét témára már nem jut idő. Azt, aki már valamilyen szinten ért ehhez, azaz az alapokat már érti, es untatná ha csak arról lenne szó? A profit, aki valamilyen praktikus trükkhöz, a  valóéletből szerzett tapasztalathoz akarna hozzájutni egy ezen a területen dolgozó másik kollégától? Na ezen 3 egyvelege szokott előjönni a hwsw 15percesekben, 1 előadáson belül.

( dotnetlinux | 2021. 07. 03., szo – 18:11 )

Én most gondolkodom. Mesélnék az elmúlt 22 évemről. Állítólag megy is nekem. És "sajnos" nincs kit reklámoznom, csak a szakmai tudásátadás miatt jelentkeznék.

Lenne ráció abban, hogy régi motorosakat meginterjúvolni az elmúlt 20-30 évükről. Lassan egy emberöltő távlatából lehetne szemlélni azt, hogy miként lett a számítástechnikából informatika. Hogyan lett a programozóból kóder és a természetes intelligenciából mesterséges. A szükségszerű gagyisodás milyen veszélyeket rejt magában és, hogy igazán összekutyulni csak számítogéppel lehet valamit. Lehetne beszélgetni arról, hogy az elektronikus adattárolás hogyan és miért növelte meg a papírigényt és miként vált eldobhatóvá az információ, amely a környezetszennyezés egyik formájává vált.

Tehát lenne miről mesélni... és talán lenne benne néhány szakmai érdekesség is, de okulás a fiataloknak egészen biztos.

 

Szerintem...

> Sol omnibus lucet.

Az ilyen összejövetelek abba az irányba szoktak elmenni, hogy 20+ éves, jelenleg kicsit sem releváns technológiákról osztanak meg anekdotákat a résztvevők. Ez tud teljesen szórakoztató lenni, viszont nagyon kevéssé hasznos.

Amit meg igazából keresel, hogy a trendekről legyen beszélgetés, nos, azt nagyon kevesen tudják jól megfogalmazni. Az átlagos régi motorosok viszonylag kis szeletét látták/látják az IT-nak, ami nem ad jó képet, félrevezető.

"Az átlagos régi motorosok viszonylag kis szeletét látták/látják az IT-nak, ami nem ad jó képet, félrevezető": talán többet láttak a dologból, értik a mikéntjét is. Én pl. annyira hozzászoktam az elmúlt 10 évben a generikus típusokhoz és a végtelen memóriához, hogy most amikor egy Stm32+Atmeg328 elé leültem, nem ugrott be elsőre (na jó min. 30 perc kellett) a következő elengedhetetlen (freemem megjelenítése után kB helyett b-t kell csak tenni, szabad memória induláskor 2000b, futáskor 7-800b (!), szóval kell) halmaz:

- delete[]

- typedef + struct + union

- String& debuginfo...

10 évnyi ügyviteli .NET után ez egy másik világ. Na erről lehetne anekdótázni. És igen, haszna nincs, jó időtöltés.

A fiatalok nem akarnak az öregektől okulni: eleve ahhoz el kell érni egy senioritási szintet, hogy valaki azt felfogja, a legújabb patchlevel a react verziószámában nem fog forradalmi áttörést hozni, akárki is nyomja ezt a szöveget. A fiatalok azt szeretik tudni, mi az a forradalmi áttörés amit a Google mérnökei a legutóbbi féléves fejlesztési ciklusukban leraktak.

Szóval azt csak az öregek fogják fel, hogy a legtöbb probléma régebben is létezett, hogy a Docker az egy glorified jail vagy inkább valami Solaris zóna, hogy egy csomó dolog annak köszönhető hogy az SSD-ken baromi gyorsan tudunk image-eket felrakni és felbootolni. Ez talán valami medior szint végefelé jó insight, de a fiatalok el se hiszik, meg nem is érdekes nekik, hol van már jail meg Solaris. Nekik az az érdekes, mit tud a következő Docker release.

( uid_4656 v | 2021. 07. 04., v – 13:56 )

Egy jó 15 perces előadást összerakni valamiről, amivel egyébként is foglalkozol, nagyjából 2-3 nap munka (pár hete csináltam ilyet AWS költségcsökkentés témában, bár ott a megcélzott időtartam 20 perc + 5 perc kérdések/válaszok volt). Ez akkor tud megtérülni, ha:

  • vagy fizet érte valaki (szerintem olyan 1500 EUR reális ár lehet erre)
  • vagy reklámozhatod magadat/a saját cégedet, hogy legyen egy rakás megrendelésed és onnan folyjon be a pénz (szerintem aki tényleg ért valamihez az IT területén az inkább a fordítottján kesereg, hogy vissza kell utasítani egy rakás megrendelést erőforrások hiányában)

Ez így elsőre eléggé no-go dolognak tűnik.

Pontosan miért is lenne jó tartani egy ilyen előadást?

40 felett az ember nem mindent pénzért csinál, bizonyos átbillenés után kevés dolgot csinál pénzért. (Tudom, hogy ez elsőre bullshit, de megtapasztaltam). Társadalami felelősségvállalás, hasznosság érzése, jövő generáció okítása, önmegvalósítás, kb. ezeket tudom felsorolni a miért volna jó tartani egy ilyet.

Vagy éppen kezdőként. Tehetséges kezdőként feltedd magad a térképre? Szerintem pl. IT security-sként, ha 1 perc alatt távolról feltörsz egy fullra patchelt Windowst egy ilyen meetup demo keretében, akkor a maradék 14 percben már csak a vastapsot kell learatnod. De ez csak egy példa volt.

Szerzett így hírnevet magának jó pár olyan szakember, aki utána a Google P0 stb. csapatokban landolt.

trey @ gépház

Hallottam. Az általad leírt módszer ugyanakkor egy kotrollálatlan full disclosure, amivel jó esetben romba lehet dönteni a világot.

Ha viszont előzetesen bejelentett hibát demóz az illető, akkor nem az előadással tette fel magát a térképre, hanem már jóval korábban. Az előadáson max. a tapsot kapja.

Mellesleg itt most a HWSW előadásainak minőségéről volt szó, annak pedig bizonyára nulla a valószínűsége, hogy ott ilyesmi megtörténjen.

A többi stimmel.

Science for fun...

Nos, nem tisztem, hogy a HWSW mellett érveljek, de legyen!

Gábor, én úgy érzem, nagy jót tennél az emberiséggel, ha tartanál egy 15 perces előadást a HWSW Free! meetupon a következő címmel:

"Etikus hackelés és várható élettartam a Windows világában... Példák, tézisek és protézisek"

Science for fun...

Azt nem értem, hogy ha egy etikus hacker jelzi a hibát a vendornak, akkor a vendor első kérése jellemzően az, hogy lcci' ne szólj róla senkinek, dolgozunk rajta, és ebbe az is beletartozik, hogy nem ad elő a hibáról semmit.

Számtalan ilyenre van és volt példa.

Párat tudsz lcci mutatni?

Pwn2Own. 0day (gondolom tudod mit jelent) hibák kihasználásának bemutatásáról szól. A hibák kihasználását egy rövid (megszabott idő) előadás keretében bemutatják. A Zero Day Initiative által rendezett eseményt általában nagy cégek szponzorálják (Microsoft stb.).

A sikeres hackereket senki sem viszi el. Sőt, hírnevet szereznek, előnyöket, állásajánlatokat kapnak és komoly pénz/dologi díjazást is.

trey @ gépház

Igen, de az deklaráltan egy olyan hely, ahol ezt szabad. Mindenki számít rá.

Ezért is ülnek ott az FBI, az NSA meg ki tudja még milyen hárombetűs szervezetek képviselői és ezért van az a megállapodás is, hogy bár ott ülnek, nem intézkednek, nem visznek el senkit. Hasznosabb nekik tudni valamit, mint hajkurászni azt, aki tudja, amit ők még nem.

De ember, hogy jön ez az egész a HWSW-hez?! :-)

Science for fun...

Nocsak, kaptál példát, most meg kapálódzol tovább? Miért nem olvasod el, hogy hogyan indult a Pwn2Own? Kinek a megbízásából terjeszted a FUD-ot? Black Hat konferencia összes előadóját bilincsben viszik el szerinted? Engem elvittek bilincsben már, mert itt a HUP-on 0day exploitot linkeltem nagy nyilvánosság számára?

trey @ gépház

A leghatározottabban az az érzésem támadt, hogy te teljesen érted, amit írok, csak nem akarod érteni.

Elárulod, hogy miért?

De tudod mit? Legyen neked igazad.

Ezennel kijelentem, hogy egy fogalmatlan (hubazmeg, elfelejtettem a megfelelő terminus technicust) kivénhedt netbohóc (?) vagyok, aki még a HWSW előadásait se érti. Minden amit mondtam, törlendő.

Science for fun...

Érted te is, hogy mit írok, csak érteni nem akarod. Azt akartad itt elmagyarázni, hogy ha valaki kihasználható hibát talál a Windowsban és arról 15 percben előadást tart, majd jól elviszi a rendőrség, FBI stb.

Ez a feltételezés minden alapot nélkülöző FUD. Egyrészt, a kutya nem mondta, hogy az előadáson minden részletet közölni kell. Azt sem, hogy weaponized exploitikat kell majd szétszórni a közönség köreiben. De te már bilincset vizionáltál. Miért?

Számtalan olyan blog született a neten egy-egy ilyen hibáról, amiben teaser jelleggel elmondták, netán be is mutatták a hibát, de a pontos részleteket nem árulták el, hivatkozva az embargóra, amit azután hoztak nyilvánosságra, hogy kinn volt a javítás. Mondd, te miért nem tudsz egy ilyet elképzelni? Hmm?

trey @ gépház

Nincs itt semmi ellentmondás. Van példa ilyenre is, olyanra is. Azért mert te egy operációs rendszerben hibát találsz, senki sem fog elvinni. Ne keverd azzal, amikor a megtalált hibát kihasználva betörtél valahova és kárt okoztál.

Annak idején a billió dollárral rendelkező Sony, amiből GeoHot teljes bohócot csinált, sem tudott fogást találni ügyvédek hadával sem:

https://en.wikipedia.org/wiki/Sony_Computer_Entertainment_America,_Inc…

Az erkölcsi győzelem GeoHot-é volt, aki később olyan prominens biztonsági csapat tagja lett, mint a Google P0.

https://www.bbc.com/news/technology-28327117

trey @ gépház

40 felett az ember nem mindent pénzért csinál, bizonyos átbillenés után kevés dolgot csinál pénzért

YMMV, én pont az ellenkezőjét tapasztalom. Pályakezdőként simán elmentem a cégnél az egyik nagyfőni haverjához laptopot költöztetni csokiért/sörért, most már biztosan nem tenném. Értékesebb - nem (csak) pénzben mérve - ennél az időm.

Yogos a YMMV. Két gyerkőc van, szeretek velük időt tölteni, reggel együtt kelünk és általában 16h felé már otthon vagyok. De úgy szakítok időt, hogy meg tudjak valósulni. Ebbe egy ilyen oktatás is beleférne. Mondjuk ha Kaposvárra kellene utazni miatta, akkor nem. De ha online és meg is tudom vágni publ. előtt, akkor tök okés. Már csak a téma :)

Biztos az a baj, hogy pont csak 39 éves vagyok :-D

Szerintem ez igazából nem életkorfüggő. Egy csomó ismerősöm (40 alatt és 40 felett is) törekszik arra, hogy pl. jobb világot teremtsen - bennem viszont pl. kicsit sincs meg ez a vágy. A közvetlen ismerőseimnek szeretek segíteni, de a világot nem akarom meg tudom megváltoztatni.