Black Hat och Defcon i Las Vegas
Vi pratar med Kvadrataren och utvecklaren Per Westerlund, som har gjort en kompetensutvecklingsresa till USA.
Hej Per, du jobbar som utvecklare, berätta om din resa - men först, vad är en black hat?
- En black hat är en hackare, Black Hat är också namnet på en konferens som handlar om hacking och sårbarhet. Du lyssnar på föredrag om sårbarheter och hur man kan jobba med dem. Massvis av företag med inriktning på säkerhet är där och ställer ut. Black Hat är lite kommersiellt, mycket syftar till att företagen samlar in kontakter som de kan bearbeta.
En liten bit ifrån Black Hat hålls Defcon. Där finns det inte lika många utställare, men de har många fler besökare - ca 25 000. Där hålls föredrag med samma inriktning. Man kan faktiskt köpa biljett till båda samtidigt, det hänger ihop. Till Defcon kommer folk mer för att hacka.
Hur är en mässa som Defcon upplagd?
- Det finns huvudsakliga spår, föredragen hålls i stora salar. Sen finns det "villages" med olika teman, till exempel social engineering village med mindre workshops och föreläsningar.
Sky Talks är också ett spår, det är föreläsningar med begränsat antal platser och som inte får spelas in. Tanken är att man ska kunna tala fritt, att det inte sprids. Vissa berättar om känsliga grejor, whistleblower-grejor. Telefonen ska vara undanstoppad, innan föredragen slår de sönder en mobil med slägga på scenen så alla ska förstå vad som gäller. De kollar publiken under talksen. Annars spelas de flesta föreläsningar in och finns att köpa.
Vad drev dig att åka?
- Jag är intresserad av ämnet utan att ha djup kunskap. Det är ett sätt att lära sig mera och träffa folk. Många svenskar åker dit återkommande varje år, man kan nätverka och lära känna folk i branschen.
Men du jobbar inte med säkerhet egentligen?
- Inte alls. Men jag tror att det är bra att ha en viss grundkunskap. Många utvecklare saknar det idag, jag tror det kan vara en liten edge för mig att ha ett hum om vad det handlar om även om jag inte är expert.
En bra grej är att Kvadrats kompetensutvecklingsbidrag kan användas som delfinansiering.
Vill man inte åka utomlands finns alternativ i Sverige. Jag gick en KTH-kurs, Ethical Hacking, som är en hands on hackingkurs. Den var svår och krävde ganska mycket tid. Man lär sig hur intrång går till. De sätter upp en låtsasföretagsmiljö, med hemsida och några servrar och databaser. Sen ska man hacka sig in där och hitta grejer. Väldigt rolig kurs, roligt upplägg och lärorikt.
Behöver man kunna IT-säkerhet som utvecklare?
- Jag tror att det är bra att ha koll, man läser dagligen om data breaches, jag tänker att det kommer bli viktigare och viktigare att ha kunskaper kring detta. Det är i allra högsta grad en framtidsgrej. Jag ser det som ren kompetensutveckling för mig. Det finns säkerhetsföretag som arbetar med kodgranskning, där de letar efter svagheter. Det är ett jättestort område, det börjar med mail, där händer en hel del, till exempel med svaga lösenord. Jättemånga datorer i världen har samma, liknande enkla passwords. Dilemmat är att lösenorden också behöver vara möjliga att komma ihåg, vi människor har våra begränsningar.
Hur länge var du borta?
- Jag var borta en dryg vecka. Black Hat två dagar, Defcon tre dagar, resa fram och tillbaka och nån dag extra före och efter.
Hur summerar du resan?
- Jag träffade mycket folk i branschen, både svenskar och amerikaner. Vegas är ju roligt, det är kul att uppleva. Mässorna har också olika partyn som man kan skriva upp sig på, där träffar man ännu mer människor. För mig handlar det om kompetensutveckling, att förstå branschen och knyta kontakter.
Kommer du åka dit igen?
Det är inte omöjligt, några andra Kvadratare diskuterade att resa dit, vi kanske blir ett gäng som åker. En bra grej är att Kvadrats kompetensutvecklingsbidrag kan användas som delfinansiering.
Tack Per!