11:18
15/2/2010

Wywiad z Paulą Januszkiewicz

Pod koniec stycznia zapraszaliśmy na darmowe szkolenie z bezpieczeństwa systemów Windows prowadzone przez Paulę Januszkiewicz. Po szkoleniu postanowiliśmy podpytać Paulę o jej zainteresowania i życie zawodowe. Poniżej zapis naszej rozmowy:

Paula Januszkiewicz

Niebezpiecznik.pl: Witaj, Paula, czy możesz powiedzieć naszym czytelnikom, czym się zajmujesz?

Paula Januszkiewicz: Takie trudne pytania na początek? Prowadzę firmę CQURE.pl, szkolenia, wszelkiego rodzaju prezentacje (m.in. na TechEd, CyberCrime Security Forum), audyty, testy i lubię swoją pracę. I gotować :)

Jak zainteresowałaś się informatyką, a zwłaszcza bezpieczeństwem?

Jakkolwiek dziwnie to zabrzmi, to od samego początku (pierwszego komputera w pierwszej klasie podstawówki?) interesowało mnie to, co jeszcze nie zostało przeze mnie zgłębione. Wychodzę z założenia, że wszelka technologia, którą wymyślił człowiek nie może stanowić dla innych tajemnicy. Im technologia bardziej zaawansowana i głębiej do niej sięgamy tym ciekawiej — pojawia się wiele zależności, bez których ani rusz dalej. I tak krok po kroku, jeszcze wiele przede mną. Bezpieczeństwo jest o tyle ciekawe, że nigdy się nie kończy — pojawiają się nowe technologie, problemy związanie z bezpieczeństwem środowisk IT będą istnieć dopóty, dopóki istnieją osoby, którym zależy na generowaniu takich problemów.

Czy miałaś swojego mentora, czy wszystko czego się nauczyłaś to wynik własnej pracy?

Gdybym powiedziała, że sama, byłoby to nierozważne. Czytając książki mam świadomość, że ktoś je musiał kiedyś napisać. Nie miałam, ani nie mam żadnego konkretnego mentora, każdy człowiek natomiast, którego spotykam na swojej drodze jest w pewnym sensie mentorem. Codziennie spotykam się z ludźmi mądrzejszymi ode mnie w tej, czy innej kwestii. Z każdej sytuacji staram się czerpać coś dla siebie. Coraz częściej słyszy się o przypadkach, w których celem ataków jest korzyść finansowa, ludzie dużo na ten temat dyskutują, bo jest to temat kontrowersyjny — przykłady “z życia wzięte” są najlepszą bazą wiedzy, chociaż szkoda, że się zdarzają.

Posiadasz tytuł MVP, czy możesz przybliżyć naszym czytelnikom, na czym polega takie wyróżnienie i dlaczego właśnie ty je uzyskałaś?

Podejrzewam, że większość zapytanych Most Valued Professionals powiedziałoby “nie wiem”. Zasadniczo należy uznać, że MVP przyznawane jest za zasługi dla społeczności, prawie zawsze w swoim prywatnym czasie i nieodpłatnie. Ja uwielbiam dzielić się swoją wiedzą, na tyle ile mogę, zachęcać do tego samego innych. Uważam, że wszystkim dzięki temu będzie się łatwiej funkcjonowało, a nic mnie to nie kosztuje oprócz czasu. MVP mają dostęp do produktów “beta” Microsoft, które nie zostały jeszcze ogłoszone na rynku, dostęp do kodu Windows (tak!) na życzenie, spotykają się dwa razy do roku (w Redmond i gdzieś w Europie), biorą udział w dyskusjach na temat nowych rozwiązań Microsoft.

Zawodowo zajmujesz się audytowaniem systemów teleinformatycznych. Na czym dokładnie polega Twoja praca?

Wszystko zależy oczywiście od projektu. Ogólnie rzecz biorąc audyty, które prowadzę nie zawsze są audytami bezpieczeństwa. Często zdarzają się audyty wydajnościowe (też oparte o wszelkiego rodzaju ataki) sprawdzające, czy środowisko da sobie radę przy dużym natężeniu ruchu sieciowego określonego typu (takie pozytywne Denial of Service). Zdarzają się także audyty konfiguracyjne/inwentaryzacyjne — sprawdzam wtedy poprawność konfiguracji poszczególnych usług, począwszy od DNS, czy DHCP, skończywszy na osprzęcie sieciowym, czy firewallach.

Audyty bezpieczeństwa zwykle są kompleksową usługą zawierającą poprzednie dwa typy oraz testy bezpieczeństwa. Testy takie weryfikują stan bezpieczeństwa zewnętrznego i wewnętrznego. Polegają na uzyskaniu dostępu do zasobu przy wykorzystaniu metody uzgodnionej z właścicielem sieci. Poprzez “metodę” mam na myśli, czysto techniczne kwestie, przy wykorzystaniu laptopa, dostęp fizyczny albo też zwykły social engineering. Prowadzę także szkolenia.

Czy oprócz audytów wykonujesz również testy penetracyjne?

Tak. Jak najbardziej. Zarówno aplikacji webowych jak i styku z Internetem. Wykonywanie takich testów jest o tyle przyjemne, że jak się znajdzie już jakiś punkt wejścia – testy się nie kończą. Celem jest wyszukanie wszystkiego, co innym posłużyłoby co uzyskania dostępu. Trochę taki odwrócony Minesweeper.

Zakładając, że Jan Kowalski właśnie skończył studia, jak musi pokierować swoją karierą, żeby zostać audytorem? Od czego zacząć?

Od dodania do RSS biuletynów firm (organizacji), które mają coś wspólnego z bezpieczeństwem. Bycie na bieżąco z informacjami jest niezmiennym elementem towarzyszącym całej reszcie. Poleciłabym na początek zbudować sobie małe środowisko z podstawowymi usługami sieciowymi/aplikacjami Web i monitorować co się dzieje z systemem, gdy się go “napada” na określone sposoby.

Uważam też, że pisanie artykułów najwięcej uczy piszącego, a przy okazji inni też skorzystają. Od samego początku należy zbierać narzędzia do pracy, bardzo często się zdarza, że niektóre z nich “giną” z czasem –- przydają się w najmniej oczekiwanych sytuacjach, zwłaszcza przy starszych systemach.

Poleciłabym zaciągnąć się do firmy, w której istnieje jakiś zespół ds. bezpieczeństwa, jako pomocnik i proponować audyty jako usługę w projektach wdrożeniowych. Wszelkich. W Polsce niestety audyty nie są popularną usługą. Często firmy wolą przeznaczyć dostępne fundusze na coś innego. Mam nadzieję, że to się kiedyś zmieni, bo jest co sprawdzać.

Podczas szkolenia “Techniki hackerskie…” wspominałaś o certyfikatach, które posiadasz — oceń prosze okiem ekspertki, które ze szkoleń/certyfikatów rzeczywiście Ci się przydały, które warto zrobić, a które były stratą czasu i pieniędzy…?

Żadne moim zdaniem nie są stratą czasu i pieniędzy, dużo zależy od ich „przeznaczenia”. Najbardziej przydatnym certyfikatem dla mnie jest certyfikat trenerski Microsoft Certified Trainer, uprawniający do prowadzenia autoryzowanych szkoleń. Trenerzy mają dostęp do środowisk szkoleniowych –- gotowych skonfigurowanych zestawów maszyn wirtualnych z instrukcją ćwiczeń, poza tym spotykają się przy okazji każdych konferencji na zorganizowanych przez siebie wieczorach i dyskutują. Dodatkowo, środowisko trenerskie jest bardzo zżyte. Przyjeżdżając do innego kraju, trenerzy dzwonią do siebie i zapraszają siebie na kolacje i oprowadzenie po regionie -– ostatnio byłam w Amsterdamie na spotkaniu z dwoma trenerami. Jeden z nich stwierdził, że MCT to jak rodzina :) To chyba oddaje przyjemność z bycia trenerem.

Wiele zagranicznych firm pyta o certyfikat CISSP -– warto go mieć, jest rozpoznawany i często bywa wymaganiem przy wielu kontraktach. CISA/CISM też się przydaje, ale nie pokrywa w mojej opinii praktycznej wiedzy audytora, przynajmniej z dziedziny, którą ja się zajmuję. O CEH (Certified Ethical Hacker) też bywają pytania -– świadczy w dużej mierze o praktycznej/technicznej wiedzy audytora. Jeśli chodzi o certyfikaty MCSA/MCSE – warto je mieć. Są wymieniane w zapytaniach ofertowych w Polsce. Nie posiadam praktycznego doświadczenia z odbywania szkoleń -– na żadnym technicznym nigdy nie byłam, zaczęłam od prowadzenia niestety.

Powołałaś grupę Women in Technology, czy możesz opowieć co Cię skłoniło do tego ruchu i czego dotyczą wasze spotkania?

Skłoniła mnie czysta ciekawość ile, oprócz mnie, kobiet zajmuje się technologią. Całkiem sporo się okazuje, jest nas ponad 130! Dodatkowym motywatorem były dla mnie sytuacje, które napotkałam na swojej drodze, głównie od płci męskiej :). Czasem miłe, ale zaskakujące, czasem zupełnie negatywne wynikające z prostej dyskryminacji płci.

W Women In Technology nie ma feminizmu – celem jest motywowanie kobiet i stworzenie poczucia, że nie są osamotnione w swoich “walkach”. Spotkania odbywają się raz w miesiącu, podzielone są na dwie części: część tzw. miękką oraz część techniczną. Część miękka to tematy z zakresu zarządzania czasem, warsztaty z komunikacji, realizacji celów, bezpieczeństwa po zmroku, czasem mody. Współpracowała z nami Policja, magazyn Glamour, klub fitness oraz wiele innych wybitnych prelegentów (m.in. Tadeusz Golonka, czy Monika Michasiewicz-Krzątała). Część techniczna to dwie godziny poświęcone technologii (poziom: 250 – 300). Czasem zdarza się, że na spotkania przychodzi więcej mężczyzn.

Czy naprawdę kobietom w IT jest ciężej niż facetom? Z czego to wynika?

To zależy w jakim kobieta znajdzie się środowisku, wiele też od samej kobiety. Branża informatyczna jest zdominowana przez mężczyzn, a ci najczęściej nie zdają sobie sprawy, jak trudno kobiecie przekonać jest innych, że naprawdę jest fachowcem. Kobieta, żeby być postrzegana, jako “swoja” musi mieć co najmniej tyle samo popartej certyfikatami wiedzy co mężczyzna.

Bardzo często kobiety postrzegane są poprzez stereotyp: kobiety nadają się do zawodów “miękkich”, a mężczyźni do tych bardziej “technicznych”. Najważniejsze to się nie przejmować i robić swoje. Wiele jeszcze przed nami, ale wszystko zmierza w dobrym kierunku. Nie jest źle!

Kiedy znów będziemy mogli posłuchać Twojego wykładu i czego będzie on dotyczył?

W najbliższym czasie to ja jadę na urlop! Jak wrócę z urlopu pierwszą moją sesją będzie sesja na Dniach Otwartych Uniwersytetu Gdańskiego (o bezpieczeństwie komputerów domowych, o kobietach i możliwościach rozwoju w kierunku informatycznym) –- 18 marca 2010, potem organizujemy pierwszą z pięciu konferencji DigiGirlz (ogólnopolska konferencja dla młodych pasjonatek i pasjonatów informatyki), potem najprawdopodobniej (nie znam szczegółowej daty) poprowadzę dwie sesje dla VirtualStudy.pl o łamaniu haseł i zaawansowanym badaniu sieci. Szykuje się także konferencja Microsoft o bezpieczeństwie –- pewnie też coś na niej poopowiadam, zobaczymy, oraz kolejna edycja CyberCrime Security Forum.

Dziękuję za poświęcony czas oraz serdecznie pozdrawiam czytelników Niebezpiecznika.

Dziekujemy za rozmowę!

Przeczytaj także:

20 komentarzy

Dodaj komentarz
  1. Dostęp do kodu windowsa – wypas
    co trzeba zrobić żeby zdobyć MVP ;D

  2. Bardziej od treści do gustu przypadła mi ona ale to chyba dobrze:)

  3. Nie ma co się dziwić – to w końcu Polki, a wiadomo, że polskie dziewczyny mają najwięcej witaminy. ;]

  4. No całkiem sympatyczny wywiad :) I dobrze Paula, że mówisz o kobietach pracujących w IT i to tym ciężkim (audyty, security) – bo czasem mam wrażenie, że na słowo “kobieta w IT” to ludzie myślą “no jak świnka morska – ni to świnka ni to morska”.

    @Frank: Co trzeba zrobić, żeby zostać takim MVP? Udzielać się w różnych miejscach sieci, zostać zauważonym przez społeczność i przez ludzi w Microsoft. Być prelegentem na spotkaniach grup (m.in. takich o jakich mówiła Paula), pisać artykuły, dzielić się wiedzą na forach, itp.

    Sporo informacji o MVP znajdziesz na stronie http://www.mvp.pl – a my tak czy inaczej staramy się szukać takich ludzi w różnych miejscach i nadawać im taki tytuł/nagrodę.

  5. Kilka pytań do treści wywiadu :)

    […] dostęp do kodu Windows (tak!) na życzenie […]
    Mówa o PEŁNYM kodzie Windowsa, czy o WRK ?

    […] (poziom: 250 – 300) […]
    Ten fragment stanowi dla mnie zagadkę :) 250-300 wg. jakiej skali?

    Anyway, wywiad bardzo sympatyczny :)

  6. @Gynvael Coldwind
    Taka skala ;)
    100 (podstawy)
    200 (średnio zaawansowany)
    300 (zaawansowany)
    400 (deep dive)

  7. @Zmianowy
    I o to mi chodziło :) Thx :)
    Ta skala ma jakąś nazwę?

  8. @Gynvael Coldwind: jest to dostęp do pełnego kodu Windows XP, Windows 2003, Windows Vista, Windows 2008 i Windows 7. Dostęp odbywa się przez stronę https://codepremium.msdn.microsoft.com/

  9. “Bezpieczeństwo jest o tyle ciekawe, że nigdy się nie kończy” – dobrze powiedziane. Gdyby panna Paula dodala jeszcze, ze ‘bezpieczenstwo to nie produkt, lecz proces’, to bylbym w pelni kontent, ale wynika to poniekad z powyzszego ;)

    Co do sytuacji kobiet, to nie jest ona zla. Nikt nie blokuje im na szczescie dostepu do sektora IT i wszelkie zakladane stowarzyszenia kobiet w IT maja raczej charakter towarzyski. Niedawno mowila o tym dosc wyraznie i sensownie “FreeBSD Girl” w podcascie FLOSS Weekly.

  10. @Grzegorz
    Dzięki ;>

    @Heinrich
    Blokowanie blokowaniem, ale przyznać musisz że w większości środowisk IT traktuje się kobiety w IT jak maskotki / coś na co można popatrzeć. Popatrz np. na 2 i 3ci komentarz pod niniejszym wywiadem ;)

  11. Traktuje jak maskotki choc w wielu sprawach czasami posiadaja wieksza wiedze od pseudo mądralińskich panów z IT

  12. @Gynvael Coldwind – to niestety prawda. Wydaje mi sie jednak, ze problem tkwi w meskich … glowach ;) osobiscie bardzo cenie kobieca inteligencje. Na ogol jest nieco bardziej wnikliwa i analityczna od meskiej. Generalnie jednak – na poziomie intelektualnym – nie ma przeciez wiekszych roznic pomiedzy kobieta i mezczyzna, mozgi mamy bardzo podobne …

  13. Jak to możliwe, że ten kod Windowsa jeszcze nie wyciekł? ;)

  14. @sec
    Pewnie trzeba tyle NDA podpisać z takimi odszkodowaniami że nikt woli nie ryzykować ;>
    Szczególnie że w tym wypadku Microsoft dokładnie wie kto ma dostęp do kodu, a i zapewne do których partii tego kodu…

  15. @Heinrich
    Ciekawe :)
    Niemniej jednak ten artykuł nie jest najwyższych lotów, i szczerze to uznam go za ciekawostkę typu “więcej w Fakcie” :)

    Np.
    “kobiety nie umieją dochować sekretu” – wniosek oparty o wyniki typu 30% to, 40% tamto, 45% siamto… no to mówimy o “kobiety” czy “niektóre kobiety” czy też “mniejsza część kobiet”?
    Po za tym brak w tym artykule podstawowych informacji żeby wyciągać jakiekolwiek wnioski tego typu, takich jak:
    – jak badanie było przeprowadzone?
    – kto je przeprowadzał? (wiadomo kto zamówił, a nie kto przeprowadził)
    – kim były badane kobiety (tj. jakiej narodowości? same Brytyjki?)
    – jak się mają ów badania do kobiet innych narodowości?
    – czy podobne badania były przeprowadzane na mężczyznach? jak różniły się wyniki?
    etc….

    Podsumowanie: “Amerykańscy naukowcy odkryli że kobiety umieją lub nie umieją dotrzymać tajemnicy” ;D

  16. @Gynvael Coldwind – naturalnie. Podalem jako ciekawostke i element humorystyczny. Osobiscie podchodze do amerykanskich dokonan ‘naukowych’ z duzym sceptycyzmem.
    Mysle, ze brakuje w tym solidnej metodologii naukowej i logiki – jak piszesz: “kazda S jest P”, “niektore S sa P”, itd ;)

    Pozdrawiam

  17. @Heinrich
    Tzn imo metody naukowe (z tego co mi wiadomo) są dobre. Problemem jak zwykle są media, które albo przekłamują wyniki (bo pan redaktor nie zrozumiał, lub też bo przemilczenie paru faktów podwoi sprzedaż), albo podają je niepełne…
    Cóż :)

    Pozdrawiam :)

  18. @Gynvael Coldwind – a wiec w ten sposob na to patrzysz … coz, mozliwe, ze i tak jest. Niestety nie podazalem za zrodlem, z ktorego czerpal swoja wiedze redaktor tego artykulu.

  19. @Heinrich
    Ani ja, to była raczej ogólna uwaga (czy też raczej “ogólne imho” ;>)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: